This dissertation has been submitted by a student. This is not an example of the work written by our professional dissertation writers.

1. INTRODUCAO

1.1 Importancia do tema

Diante dos avancos das tecnologias da informacao e comunicacoes, todos os setores tem se transformado profundamente, a grande maioria das organizacoes enfrenta problemas devido as continuas mudancas ocasionadas pela alta velocidade com que sao gerados conhecimentos. e cada vez mais necessario ter a capacidade de aprender e mudar paradigmas, assumindo um poder de versatilidade e de adaptacao aos novos tempos.

Segundo Jasperson, Carter e Zmud, 2005, os investimentos em tecnologia da informacao (TI) atingiram praticamente todos os tipos de sistemas de trabalho organizacionais nos ultimos 25 anos, tornando a TI presente em todos os ambientes organizacionais. Um bom exemplo da importancia dos investimentos em TI, segundo esses autores, sao os realizados em sistemas de gestao integrada que, somente na decada de 90, consumiram aproximadamente 300 bilhoes de dolares no Mundo todo.

No setor bancario, as tecnologias fazem com que as atividades estejam disponiveis vinte e quatro horas por dia em qualquer parte do mundo. A Internet tem possibilitado que as empresas tornem-se globais em termos de escopo. Sob outra otica, na medida em que as tecnologias permitem a expansao dos negocios das organizacoes, aumenta a complexidade de sua propria administracao e tambem dos riscos associados a estes negocios.

Neste cenario, a Governanca Corporativa e um elemento critico para a estabilidade financeira, pois nos bancos impacta na preservacao do sistema financeiro. Por sua vez, a Governanca dos Bancos Centrais influencia a atuacao dos demais bancos no mercado financeiro, e, no papel de supervisores bancarios, os Bancos Centrais com base em seu poder normativo, contribuem para a efetividade da governanca corporativa das instituicoes financeiras. Portanto, e imprescindivel que os instrumentos de monitoramento e controle das organizacoes estejam focados em todos os aspectos relevantes da sua governanca, e estejam em constante aperfeicoamento.

Nesse contexto se insere a crescente importancia da Governanca da TI, face a sua criticidade na governabilidade das tecnologias alinhadas a governabilidade corporativa. Para Streit, 2004, a governanca de TI esta diretamente relacionada com o objetivo de obter melhorias no desempenho da TI no ambito corporativo, envolvendo a adocao de uma serie de tarefas que influenciam o comportamento empresarial e buscam direcionar as atividades de TI.

Os gestores necessitam de informacoes precisas para a eficacia de suas atividades, e devem garantir que as novas informacoes sejam transmitidas de forma correta a todos os niveis da empresa e tambem fazer com que o negocio se adapte com eficiencia as constantes mudancas a que estao sujeitos os ambientes de negocio.

O alinhamento estrategico das Tecnologias da Informacao com os negocios e um assunto de grande relevancia, principalmente pelo papel chave que a TI pode desempenhar nas estrategias de negocio das organizacoes. De fato, nao ha duvidas de que a contribuicao da TI para os negocios e indispensavel.

Entretanto, apesar do consenso sobre a importancia e os beneficios da TI para o alcance dos objetivos organizacionais, muitas empresas, publicas e privadas, nao percebem que a sua governanca corporativa somente sera efetiva quando houver uma boa gestao da informacao e da TI. Portanto, a gestao da informacao e da TI, ou a Governanca da TI, deve ser compreendida como um componente fundamental da Governanca das organizacoes. Segundo Seixas e Valverde, 2005, existem diversas firmas especializadas em governanca de TI, porem a aplicacao do conceito nas praticas organizacionais, no mercado brasileiro, ainda e algo raro. Consultores e profissionais da area de TI tem discutido amplamente o conceito de governanca de TI e as melhores formas de implementa-las

Uma das melhores praticas de gestao dos processos de governanca de TI em uma organizacao e a metodologia COBIT, sigla para Control Objectives for Information and Related Technology, capaz de organizar as praticas de governanca em quatro areas de dominio da gestao de TI, chamadas de PO (do ingles Plan and Organise) Planejar e Organizar, de AI - Adquirir e Implementar, DS -. Entrega e Suporte e ME - Monitoramentos e Garantia.

Diante destas informacoes, este trabalho, fundamentado no conceito da governanca de TI e da metodologia COBIT, ira utilizar ferramentas da gestao da qualidade no intuito de encontrar processos prioritarios a fim de otimizar recursos em sua implementacao e melhorar a sua qualidade.

1.2 Justificativa do tema

De acordo com a pesquisa anual do ano de 2009, realizada pelo Centro de Tecnologia de Informacao aplicada (CIA) da Fundacao Getulio Vargas, os investimentos em TI realizados por organizacoes de medio e grande porte nacionais privadas atingiu em 2008, 6% sobre o faturamento liquido, sendo que, desde quando esta pesquisa comecou a ser realizada, em 1989 e portanto na sua 20ª edicao, este valor vem crescendo a uma taxa praticamente constante, de 8% ao ano. Demonstrado no grafico referente a figura 1. Vale dizer que esta pesquisa utiliza como base amostral 60% das maiores empresas privadas de medio e grande porte do pais, e este valor varia conforme o segmento ao qual a organizacao pertence, podendo atingir valores elevados, como 12% para o setor de servicos motivados pelas atividades bancarias inseridas neste setor, ou a valores inferiores a 3% sobre o faturamento liquido caso de organizacoes do setor industrial ou de comercio.

Entretanto, poucos sao os estudos que comprovam se os altos investimentos realizados em TI trazem beneficios reais para as organizacoes. Cada vez mais se percebe a dependencia tecnologica de grandes empresas, em particular instituicoes financeiras, fazendo com que algumas comecem a se questionar sobre as suas demandas de TI, nao tendo certeza se os beneficios obtidos compensam os investimentos realizados (Maselli, 2000). O relacionamento entre investimento em TI, performance organizacional e produtividade tem sido objeto de muita discussao entre pesquisadores da area (Hogan, 1999; Mahmood e Mann, 2000; Sircar et al., 2000) porque, apesar de muito se investir em TI, tem-se mostrado extremamente dificil apontar os efeitos destes investimentos nas organizacoes, principalmente os impactos estrategicos e economicos.

Davenport (1994) e Strassman (1997) nao encontraram evidencias empiricas que os investimentos em TI melhoraram a competitividade das organizacoes, nem geraram ganhos em lucratividade e produtividade em varios setores da economia americana. Entretanto, outras pesquisas, realizadas em empresas de diferentes setores, tem relatado efeitos positivos e significantes (Hitt e Brynjolfsson, 1993; Macada e Becker, 1999; Mahmood e Mann, 2000). Pesquisadores e praticantes tem sugerido que as analises tradicionais, focalizadas somente em aspectos financeiros ou tecnologicos nao sao completas, devendo incorporar outros metodos de analise (Kempis et al., 1999). A falta de medidas quantitativas para o valor criado pela TI tem dificultado a tarefa de justificar os investimentos.

A lei Sarbanes-Oxley (SOX), publicada em 2002 pelo governo norte-americano, obrigou empresas brasileiras que negociam valores na bolsa de Nova Iorque (NYSE) a se adaptarem adotando padroes mais rigidos de governanca e de controles internos, melhorando o relacionamento com seus investidores, aumentando a qualidade das informacoes prestadas ao mercado. Portanto torna-se inevitavel que todas as demais empresas se adeqüem a medidas regulatorias impostas por um mercado global cada vez mais exigente. A SOX estabelece varios pontos de controle nas operacoes das organizacoes, mas nao especifica como esses pontos de controle devem ser implementados e que pontos criticos devem ser protegidos. O COBIT cobre 80% desses pontos, de acordo com a portal InfoExame Online.

Os recursos dessas organizacoes sao provenientes dos mercados de capitais e da confianca de investidores que financiam seus projetos estrategicos de longo prazo e garantem acesso aos principais mercados mundiais, portanto o tempo de resposta a mudancas e considerado vantagem competitiva.

1.3 Relevancia e Oportunidade

A solidez dos mercados de capitais tornou-se fundamental para a economia dos paises capitalistas e para o estabelecimento do gigantismo das corporacoes (GALBRAITH, 1976), porem os sucessivos escandalos como a crise imobiliaria norte-americana que trouxe conseqüencias para toda a cadeia global em 2008/2009 mostram que ha um longo caminho a ser percorrido.

Este trabalho explora a oportunidade de aplicar conceitos e ferramentas da gestao da qualidade, aprendidos durante o curso de graduacao em Engenharia de Producao, utilizados como auxiliares a adequacao de processos de TI ao modelo COBIT, contribuindo assim, para otimizar o dispendio de recursos necessarios a implementacao ou adequacao dos processos de TI e aumentar a qualidade das informacoes disponibilizadas pelos processos de TI.

1.4 Perguntas de Pesquisa

Apos definidas as entradas e saidas dos processos existentes em um processo de gestao de riscos de TI, o uso do QFD aliado ao diagrama de Pareto, sera eficiente na identificacao dos processos organizacionais que influenciam direta ou indiretamente na qualidade final das saidas do processo de gestao de riscos de TI?

1.5 Hipotese

A simulacao dos dados na ferramenta QFD, definira, de acordo com a situacao atual da organizacao, qual a participacao das saidas dos processos, na qualidade final do processo em estudo.

1.6 Objetivo geral

O objetivo geral deste trabalho e verificar a aderencia das ferramentas da qualidade como auxilio a adequacao de um processo de TI ao modelo COBIT, verificando atraves do QFD qual o grau de participacao das saida dos processos fornecedores, na qualidade da informacao que sera disponibilizada pelo processo em estudo.

1.6.1 Objetivos especificos

Para chegar ao objetivo geral e necessario o desenvolvimento de alguns objetivos especificos, que serao listados abaixo.

  • Levantamento dos principais processos de cadeia de valor da TI;
  • Definicao do processo de TI a ser estudado;
  • Mapear o processo de acordo com o modelo COBIT (Definindo entradas e saidas);
  • Pesquisar quais atividades necessarias ao processo ja sao realizadas nos departamentos relacionadas ao processo em estudo;
  • Encontrar os desvios existentes entre a situacao atual e a situacao desejada;
  • Avaliar maturidade e realizar benchmarks;
  • Simulacao dos dados no QFD;
  • Simulacao dos dados obtidos com o QFD no diagrama de Pareto;
  • Analise dos dados obtidos com o diagrama de Pareto;

1.7 Tipo de Pesquisa

Este trabalho se caracterizara pelo levantamento da Cadeia de Valor dos processos existentes na organizacao, definindo qual a relacao dos demais processos com o processo de Gestao de Riscos de TI, este estudo utilizara como base inicial uma cadeia, de processos de TI, generica que representa como os negocios de empresas que utilizam a TI como fator estrategico aos seus negocios.

A partir disso serao mapeado quais dos 34 dominios COBIT devem ser seguidos em cada processo da cadeia de valor.

Uma pesquisa contendo perguntas abertas aos departamentos relacionados nos processos foi realizada no intuito de se conhecer quais processos existentes nos departamentos atendem as exigencias dos Dominios COBIT e quais processos devem ser prioritariamente estruturados.

Perguntas balizadoras:

Qual o framework de gestao de riscos de TI?

As politicas e organizacoes de TI estao alinhadas com as diretrizes corporativas de SI?

Os niveis de vulnerabilidade e exposicao a riscos de TI sao compativeis com as diretrizes corporativas e com os respectivos custos de mitigacao?

As estrategias de continuidade TI sao compativeis com os requisitos de continuidade dos negocios, potenciais impactos e custos associados? Em que medida TI esta preparada para a continuidade de negocio? Qual a capacidade de reacao de TI?Em que grau os usuarios sao adequadamente capacitados?

Em que medida TI atende e monitora o nivel de aderencia dos requisitos de compliance em relacao a politicas internas e orgaos reguladores? Em que medida os controles estao alinhados com o framework de riscos definido para TI?

1.8 Local de Pesquisa

A pesquisa foi realizada no ambito da Governanca de Tecnologia da Informacao de uma instituicao posicionada no quadrante estrategico da utilizacao de TI.

1.9 Plano de divisao do Trabalho

Este trabalho, alem deste capitulo (introducao) ja explicado e detalhado, esta composto por mais tres capitulos. A seguir faremos uma breve descricao do que sera visto em cada um deles.

Do capitulo 4 ao capitulo 6, sao definidas bases conceituais e bibliograficas, serao apresentados e explicados os conceitos que tomaremos como base para a realizacao deste trabalho. Inicialmente, sera abordado o conceito relativo a tecnologia de informacao. Em seguida, sera abordado o assunto referente a governanca de SI/TI, apresentando e explicando o COBIT, considerado o principal modelo de governanca. Ainda no capitulo dois, sera abordado tambem o conceito da gestao por processos e da gestao da qualidade, apresentando e explicando (dentro da gestao da qualidade) o ciclo PDCA, a ferramenta QFD (casa da qualidade) e as definicoes sobre qualidade. O diagrama de Pareto e a classificacao de processos tambem sera visto neste capitulo. Serao explanados alguns conceitos referentes ao PMBOK e por fim uma analise dos processos da gestao de riscos.

No capitulo sete, chamado estudo de caso, sera feita uma breve descricao sobre organizacao denominada organizacao Estrategica, e o sobre sua situacao atual e diagnostico. Em seguida, a aplicacao dos conceitos vistos no capitulo dois, e finalmente sera feita uma analise dos resultados esperados.

Finalizando o trabalho, no capitulo oito, chamado conclusao, serao apresentadas as conclusoes sobre os resultados do estudo de caso a partir dos conhecimentos contidos na base conceitual. Tambem neste capitulo sera feita a apresentacao das dificuldades encontradas para a realizacao do trabalho.

2. Tecnologia da Informacao

A tecnologia da informacao (TI) pode ser definida como os conjuntos de componentes tangiveis (hardware) ou intangiveis (software), que possibilitam o tratamento dos dados (informacoes) que a organizacao fornece como entrada a estes conjuntos. Para que estes conjuntos sejam eficientes, e preciso organiza-los na forma de processos, e podem necessitar de analises profissionais, para entregar as informacoes requisitadas. Com a evolucao das tecnologias das comunicacoes, a rede global de computadores, tambem conhecida como Internet, possibilitou a transmissao destes dados, tornando indispensavel sua utilizacao, o termo TI tambem e utilizado para se referir as tecnologias de transmissao de dados.

Muitos desses dados guardam informacoes valiosas que podem ser usadas para melhorar as decisoes do negocio. Com isso, as organizacoes vem passando por constantes reestruturacoes a fim de fortalecer a sua competitividade, e vem encontrando nos projetos de TI, apoio para a inovacao ou melhoria nos niveis de qualidade dos servicos.

A TI aparece como um forte indicador de melhoria na performance e na produtividade organizacional (Lunardi, 2001), alem de representar um importante papel na continuacao de esforcos das empresas para tornarem os seus processos mais ageis e produtivos (Shaw et al., 1997).

Ha um consenso entre especialistas das mais diversas areas de que as empresas de sucesso no seculo XXI sao aquelas que estao baseadas no desenvolvimento de conhecimento a partir do fluxo intenso de informacoes em que estao inseridas, e em pessoas capacitadas a tomar decisoes. Nesse contexto surgiram os Sistemas de Apoio a Decisao (SAD) que sao sistemas de informacao auxiliares a tomada de decisao, proporcionando ao decisor, acesso facil ao organizacao de dados, apoiando a tomada de decisao (SPRAGUE E WATSON 1989).

Porem o desenvolvimento de um sistema SAD e uma tarefa dificil uma vez que nao se pode conhecer todos os requisitos funcionais antecipadamente, o profissional de TI e o decisor, adquirem conhecimento acerca do problema ao longo do processo desenvolvimento e melhoria do sistema SAD (ALVIM, 2002).

2.1 Metodologias para gestao de riscos de TI

  • COSO ERM
  • NZS/AS 4360 - ISO 31000
  • ISO 27002
  • ISO 27005
  • OCTAVE
  • ISF
  • CRAMM
  • Westerman book on IT Risk Management
  • Outras iniciativas

2.2 Governanca de TI

De acordo com o IT Governance Institute (2005), “A governanca de TI e de responsabilidade da alta administracao (incluindo diretores e executivos), na lideranca, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estrategias e objetivos da organizacao.”

O escopo da Governanca de TI, pode ser classificado em cinco areas, de acordo com o ISACA, sao elas:

Segundo conceitos academicos (Popper 2000), um modelo de Governanca da TI deve abranger tres objetivos, conforme segue:

  • O alinhamento das funcoes da TI com o negocio, estrategicamente e taticamente;
  • A relacao custo/beneficio, no qual o custo da TI e claramente relacionado com o valor que ela agrega para a organizacao;
  • A excelencia operacional, que e a entrega de projetos de TI e servicos com alta qualidade, alta eficiencia e com niveis de servico pre-estabelecidos.

Observa-se pelos requisitos de gestao da TI descritos acima que, apesar da governanca da TI ser um componente da governanca, ela possui enfoque proprio, em funcao das suas caracteristicas e importancia. Desta forma, algumas definicoes sobre a governanca de TI sao apresentadas nos proximos paragrafos, com o objetivo de melhor conceituar o termo.

O “Pai da Governanca de TI”, o prof. Peter Weill, do MIT Sloan, em 1998, publica em seu livro “Leveraging The New Infrastructure: How market leaders capitalize on Information Technology” a seguinte definicao:

“Governanca de TI e a definicao dos direitos decisorios, do framework de controles e responsabilidades para estimular comportamentos desejaveis na utilizacao da TI.”

No manual Control Objectives do COBIT (Control Objectives for Information and related Technology), destacam-se os seguintes aspectos relativos a governanca da TI (ITGI, 2000):

  • Governanca de TI e o processo pelo qual se:
  • Fornece a estrutura que garante a aderencia das estrategias e os objetivos da organizacao com os processos de TI, os recursos e as informacoes;
  • Integra e institucionaliza as melhores praticas de planejamento e organizacao, adquirindo e implementando, entregando e suportando, e monitorando a performance de TI, para assegurar que as informacoes da organizacao e as tecnologias estejam alinhadas com os objetivos de negocio;
  • Habilita a organizacao a obter todas as vantagens das suas informacoes, por intermedio da maximizacao dos seus beneficios, capitalizacao nas oportunidades e ganhos de vantagens competitivas.

Conforme destacado no documento Board Briefing on IT Governance, publicado pelo IT Governance Institute (ITGI, 2003):

“A Governanca de TI e o termo usado para descrever como as pessoas comprometidas com a governanca de uma entidade irao considerar a TI na supervisao, monitoramento, controle e direcao da entidade. A forma como a TI e aplicada dentro da entidade tera um grande impacto na realizacao da visao, missao e objetivos estrategicos da entidade.”(Robert S. Roussey - University of Southern California).

A FGV desde 2003 apresenta ao Mercado Brasileiro e Internacional, a definicao de “Governanca de TI” a seguir especificada:

“Governanca de TI e um conjunto de praticas, padroes e relacionamentos estruturados, assumidos por executivos, gestores, tecnicos e usuarios de TI de uma organizacao, com a finalidade de garantir controles efetivos, ampliar os processos de seguranca, minimizar os riscos, ampliar o desempenho, otimizar a aplicacao de recursos, reduzir custos, suportar as melhores decisoes e consequentemente alinhar estrategicamente TI aos negocios.” (Joao Roberto Peres - EAESP/PEC - Escola de Administracao de Empresas de Sao Paulo - Programa de Educacao Continuada para Executivos)

O Gartner Inc., empresa de Consultoria de Tendencias e Pesquisas que atua na area de TI, apresentou, em um de seus seminarios em 2005, a definicao de governanca de TI como sendo:

“Governanca de TI compreende os mecanismos pelos quais a organizacao alcanca com sucesso todos os seus objetivos de TI”, tendo como objetivo “assegurar que os recursos de TI de uma organizacao estejam focados na oferta maxima de valor para os negocios”.

A ISACA (Information Systems Audit and Control Association - Sao Paulo Chapter) em 2007 faz a seguinte declaracao, como definicao do que e Governanca de TI:

“Governanca de TI e responsabilidade de executivos e conselhos de diretores. e uma parte da Governanca Corporativa e consiste em manter direcionada as estruturas organizacionais e processos que assegurem que a TI das organizacoes suportem e estendam as estrategias organizacionais e seus objetivos”.

Pelas definicoes apresentadas, verifica-se que a Governanca de TI necessita do engajamento do corpo de diretores e da alta gerencia. Ela e tao critica para o sucesso das organizacoes que a sua abrangencia nao pode ser apenas responsabilidade dos especialistas de TI.

Uma analise cuidadosa da literatura das definicoes de governanca conduz a proposicao simplificada do termo como sendo: a coordenacao e articulacao do conjunto de instituicoes, processos e mecanismos, decorrente das varias formas de parcerias e interacoes, sociais e politicas, nas quais os governantes participam ativamente para alcancar objetivos coletivos e promover o desenvolvimento dos negocios.

Sob a perspectiva da TI, pode-se argumentar que as governancas das organizacoes que participam dos sistema financeiro internacional dependem diretamente do sucesso das suas governancas de TI. Na medida em que a gestao da informacao e da TI respondem aos objetivos e estrategias das organizacoes, as relacoes e interacoes entre as organizacoes tendem a ser mais efetivas. Portanto, de uma forma mais direta, pode-se dizer que a governanca do sistema financeiro depende da governanca de TI das organizacoes que participam desse setor.

A Governanca de TI emprega metodologias, frameworks, ferramentas e aplicacoes de TI para aumentar a vantagem competitiva das organizacoes. Por esse motivo, as tecnologias de informacao sao onipresentes nas organizacoes, principalmente no setor financeiro, onde o volume das informacoes e transacoes diarias e enorme e a rapidez na tomada de decisoes e uma necessidade. Atualmente, o dinheiro dificilmente troca de maos sem a ajuda dos sistemas de informatica.

As tecnologias de informacao utilizadas pelos orgaos reguladores, como o Banco Central do Brasil (BACEN), e os bancos de grande porte sao semelhantes, mas as caracteristicas e especificacoes das solucoes sao distintas (a natureza das informacoes armazenadas e o tratamento/processamento das mesmas diferem). As bases de dados dos bancos, por exemplo, armazenam informacoes sobre seus clientes, credores e devedores, e historico das suas operacoes. A complexidade das tecnologias da informacao envolvida e enorme, devido ao grande volume de dados e a criticidade de seu tratamento, apresentacao e armazenamento. So este fato ja justificaria uma analise criteriosa dos processos de Administracao, de Gestao e de Governanca da area de TI.

  • Processos de Administracao de TI sao os processos particulares que buscam controlar as atividades ou ocorrencias, baseados em pontos de controle, com a producao de indicadores especificos que permitem identificar desvios ou quantificar numericamente um cenario para se permitir uma avaliacao. Processos Administrativos podem ser manuais ou automatizados;
  • Processos de Gestao de TI podem ser intuitivos ou sistematizados de forma que com base nos dados e indicadores Administrativos, os gerentes (decisores) possam produzir acoes corretivas ou observar a variacao de um cenario. Para os processos de Gestao, quando sistematizados, tambem e possivel a automacao;
  • Processos de Governanca de TI sao processos distintos dos demais por se valer tanto dos Processos Administrativos quanto dos Processos de Gestao, de forma que se possa avaliar tanto a qualidade dos dados e indicadores Administrativos, quanto a dos resultados dos processos de Gestao em relacao ao atingimento dos resultados almejados e do alinhamento aos objetivos estrategicos de TI e dos negocios. Os processos de Governanca de TI buscam identificar a contribuicao que a TI, como componente do negocio, agrega a estes.

Nao e possivel fazer Gestao de TI sem que haja processos Administrativos consistentes. Os gestores necessitam dos dados e indicadores Administrativos para poderem tomar decisoes. Da mesma forma nao podera haver processos de Governanca de TI se nao houver processos de Gestao, pois esta depende desse conjunto de informacoes (dados, indicadores, cenarios, resultados efetivos das decisoes tomadas) para poder sistematizar seus processos. O conjunto de Processos de Governanca de TI busca uma melhor governabilidade da area no atendimento as expectativas do negocio.

e nesse cenario de mudancas que as organizacoes percebem a necessidade de utilizar modelos de governanca de TI como. A seguir sera apresentado um modelo que tem se demonstrado eficaz na estruturacao de modelos de Governanca de TI, denominado COBIT (Control Objectives for Information and Related Technology).

“Os gestores necessitam de informacoes que estejam em consonancia com os seus modelos decisorios. Assim, o modelo de informacao deve ser estruturado com base na analise dos modelos de decisao e mensuracao empregados.” (BEUREN, 1998, p. 28)

2.2.1 COBIT (Control Objectives for Information and Related Technology)

O COBIT, foi criado em 1994, a partir de um conjunto inicial de objetivos de controle, e vem evoluindo atraves da incorporacao de padroes internacionais tecnicos, profissionais, regulatorios e especificos para processos de TI. Em 1998, foi publicada sua 2ª edicao, contendo uma revisao nos objetivos de controle de alto nivel e detalhados, e mais um conjunto de ferramentas e padroes para implementacao. A 3ª edicao foi publicada em 2000 com o objetivo de promover um melhor entendimento e a adocao dos principios de Governanca de TI. Em 2005 o modelo evoluiu para a versao 4.0, atraves de praticas e padroes mais maduros (totalmente alinhados a modelos como COSO, ITIL e ISO/IEC 17799) e em conformidade com as regulamentacoes, do foco mais acentuado na governanca de TI, nos niveis mais elevados e da ampliacao da sua abrangencia para um publico mais heterogeneo (gestores, tecnicos, especialistas e auditores de TI).

Em 2007, houve uma atualizacao incremental (versao 4.1), cujo foco foi orientado a uma maior eficacia dos objetivos de controle e dos processos de verificacao e divulgacao dos resultados. As definicoes dos objetivos de controle foram modificadas, para serem caracterizadas como diretrizes de praticas de gestao, mais orientadas a acao e consistente em seu conteudo escrito.

Objetivos do Modelo - Segundo os principios do ITGI, as informacoes corporativas e a tecnologia necessaria para suporta-las nao podem ser tratadas isoladamente, devendo a TI ser considerada uma parte integrante da estrategia corporativa, em vez de simplesmente um meio para torna-la viavel.

O principal objetivo das praticas do COBIT e contribuir para o sucesso da entrega de produtos e servicos de TI, a partir da perspectiva das necessidades do negocio, com um foco mais acentuado no controle do que na execucao. De acordo com o ITGI, nesse sentido o COBIT:

  • Estabelece relacionamentos com os requisitos do negocio;
  • Organiza as atividades de TI em um modelo de processos generico;
  • Identifica os principais recursos de TI, nos quais deve haver mais investimento;
  • Define os objetivos de controle que devem ser considerados para a gestao.

O modelo do COBIT e generico o bastante para representar todos os processos normalmente encontrados nas funcoes da TI e compreensivel tanto para o operador quanto para os gerentes de negocios, pois cria uma ponte entre o que o pessoal operacional precisa executar e a visao que os executivos desejam ter para “governar”.

Para o COBIT os 5 pilares fundamentais que sustentam o nucleo da governanca de TI, podem ilustrados de acordo com a figura abaixo:

  • Alinhamento Estrategico: Garantia da ligacao entre os planos do negocio e de TI, manutencao e validacao da proposicao de valor da TI, e alinhamento das operacoes da empresa com as de TI;
  • Agregacao de Valor: Execucao da proposicao de valor atraves do tempo, assegurando que a TI entregue os beneficios prometidos de acordo com a estrategia, concentrando-se em otimizar custos e em comprovar o valor intrinseco da TI;
  • Gerenciamento de Recursos: Otimizacao dos investimentos e da gestao adequada dos recursos criticos de TI (aplicacoes, informacoes, infra-estrutura e pessoas), essenciais para fornecer os subsidios de que a empresa necessita para cumprir seus objetivos;
  • Gerenciamento de Riscos: Conhecimento dos riscos por parte da alta direcao, entendimento claro dos requisitos de compliance e da tendencias da empresa para os riscos, transparencia acerca dos riscos significativos para a empresa e incorporacao de responsabilidades para o gerenciamento dos riscos na organizacao;
  • Medicao de Desempenho: Acompanhamento e monitoracao da implementacao da estrategia, do andamento dos projetos, da utilizacao de recursos, do desempenho dos processos e da entrega dos servicos, utilizando, alem das medicoes convencionais, indicadores de desempenho (por exemplo, balanced scorecards), que traduzem a estrategia em acoes para atingir objetivos mensuraveis.

2.2.2 Modelos de Maturidade do COBIT

Os modelos de maturidade encontrados no COBIT sao usados para avaliar a organizacao dos processos existentes na organizacao e sao avaliados pelos seguintes numeros abaixo:

  • (Nao Existe) - Nao existem processos definidos e a organizacao nao reconheceu a necessidade de se definirem e gerenciarem tais processos.
  • (Inicial) - A organizacao reconheceu a necessidade de gerenciar tais processos, mas nao existe processos padronizados so existe abordagens ad hoc,os processos sao baseados nos individuos ou em casos especificos, o gerenciamento ainda e desorganizado.
  • (Repetitivo) - Existe procedimentos similares e sao utilizados por diferentes pessoas na execucao de uma determinada tarefa, mas nao sao procedimentos formalizados e nao existe comunicacao e treinamentos formalizados, os processos sao baseados em pessoas.
  • (Definido) - Procedimentos padronizados, documentados e comunicados atraves de treinamento, as pessoas seguem os processos, mas nao sao processos sofisticados, de dificil mensuracao de resultados, as praticas existentes sao formalizadas.
  • (Gerenciado) - e possivel medir e monitorar os resultados dos processos tornando possivel tomar acoes quando necessario, os processos estao em melhoria continua e sao utilizadas ferramentas e automacao de processos de forma fragmentada.
  • (Otimizado) - Os processos sao baseados nas melhores praticas, e possuem um ciclo de melhoria continua e alinhamento com a maturidade de outras empresas, a TI e utilizada para automatizar o fluxo de trabalho provendo ferramentas de melhoria da qualidade e efetividade, tornando a empresa agil nas adaptacoes.

3. TIPOS DE GESTaO

3.1 Gestao por Processos

Para Fitzimmons & Fitzimmons, 2003, o processo, no caso de servicos, e o produto devido a participacao direta dos clientes na prestacao do servico.

Segundo Cruz, 2003, processo pode ser definido como um conjunto de elementos que deve ser seguido no trabalho do inicio ate o fim, sem desvios para produzir um bem ou servico, alcancando seus objetivos, ou seja, o trabalho deve obedecer a uma seqüencia de acoes que conduz as metas estipuladas.

De acordo com Goncalves, 2000, todo e qualquer trabalho que se realiza em uma organizacao integra algum processo, ou seja, pode-se dizer que sem um processo empresarial, nao e possivel fazer um produto ou um servico.

Segundo Silva, 2001, uma empresa deve ter competencia de gestao para desempenhar de forma adequada o processo de desenvolvimento de produtos ou servicos.

“As empresas deixaram de visualizar processos apenas nas areas fabris e se organizaram em torno de processos nao fabris, concentrando esforcos na satisfacao dos clientes.” (Goncalves, 2000, p.13)

Para Maranhao & Macieira, 2004, as principais caracteristicas da gestao por processos sao:

  • Alinhamento dos processos;
  • Foco no cliente;
  • Conhecimento dos processos da empresa;
  • Padronizacao dos processos;
  • Utilizacao de instrumentos para a integracao dos processos (exemplo: TI)

A gestao por processos e vista, portanto, como uma orientacao conceitual dentro da engenharia de producao, atraves de uma seqüencia logica, que visa priorizar a analise das funcoes de uma empresa do inicio ate o fim.

Fonte: Borsoi, 2007, slide 3

3.2 Definindo e Classificando Processos

Convencionalmente, define-se processo como uma “serie de acoes, mudancas ou funcoes que no seu final trazem algo ou resultado” (American Heritage, 1978, 1493 - Traducao livre). Mas segundo Tenner A., De Toro I., esta definicao e incompleta para o processo sistematico de melhorias e re-desenhos de processo.

Uma definicao mais adequada sobre processos para negocios, segundo Wesner, Hiatt, and Trimble (1994,38 - Traducao livre) e: “Processos sao definidos por uma ou mais atividades que transformam uma quantidade fixa de entradas em uma quantidade fixa de saidas (mercadorias ou servicos) para consumidores pessoas ou processos via a combinacao de pessoas, procedimentos ou ferramentas”.

As terminologias para os processos sao descritos a seguir:

  • Clientes: Sao entidades consumidoras dos produtos, servicos, ou generalizando, as saidas do processo.
  • Saidas: Saidas sao mercadorias ou servicos, produzidos por um processo, que sao disponibilizadas a outras entidades.
  • Transformar: Sao as tarefas, atividades e procedimentos dentro dos processos que agregam valor as entradas produzindo saidas para os consumidores. Transformacoes podem ser fisicas, geograficas, de negocio ou de informacao (MELAN, 1993).
  • Provedores: Individuos e prestadores de servicos que trabalham no processo e estao envolvidos na transformacao de entradas em saidas, sao os participantes do processo.
  • Fornecedores: Sao individuos ou processos que fornecem as entradas ao processo.
  • Necessidades: Sao descritas como as saidas esperadas pelos consumidores, analogamente necessidades podem ser a descricao das entradas esperadas dos fornecedores.
  • Feedback: e a satisfacao ou insatisfacao declarada pelos consumidores de acordo com a performance das saidas.
  • Fronteiras: Fronteiras dos processos sao os limites das tarefas, atividades e procedimentos que constituem o processo. Processos sao delimitados superiormente pela interface com os fornecedores das entradas, e inferiormente pela interface onde as saidas sao transferidas para seus consumidores.
  • Proprietario do processo: O proprietario do processo e a pessoa que tem a responsabilidade e autoridade pela operacao e melhoria do processo, ele nao e uma organizacao ou um grupo, o proprietario do processo e um individuo.
  • Processos podem ser invisiveis quando nao sao documentados ou atingir elevada visibilidade quando sao completamente documentados formalmente, sendo constantemente refinados.

Depois de identificados os processos, uma serie de sub-processos devem ser identificados, no intuito de entender como sao produzidas as saidas, fazendo uma analogia a fisica nuclear, conhecer os elementos constituintes dos atomos como protons, neutron e eletrons e suas sub-particulas e fundamental para se conhecer os fenomenos fisicos. (TENNER, A. DETORO I. 1997).

Os processos podem ser divididos de acordo com suas funcoes, por exemplo, o ciclo Plan-Do-Check-Act (PDCA) de melhoria continua desenvolvido por Deming divididos nas fases de planejamento, execucao, controle, e acao sobre o processo implementando melhorias sendo que estas fases podem ser chamadas de processos, subdivididos em outros sub-processos.

Pode ser usado o sistema decimal de numeracao para dividir processos, por exemplo:

  • 1 Processo de Planejamento.
  • 1.1 Planejamento da Producao.
  • 1.1.2 Planejamento de Recursos.

Identificar processos criticos e uma atividade estrategica que auxilia a organizacao a alcancar sua missao e visao focando os direcionadores prioritarios de negocio, alem de esclarecer ineficiencias na estrutura organizacional.

Gestao de Riscos e o processo de tratamento de risco, balanceando mitigacao com a aplicacao de controles e transferencia dos riscos de forma segura e com mecanismos de aceitacao providos pela governanca. (Gartner 2008).

4. Gestao da Qualidade

Segundo Deming, 2003, um sistema de melhoria de qualidade pode ser utilizado em qualquer empresa onde se deseja melhorar a qualidade de seu trabalho, e simultaneamente aumentar sua producao, tudo isso, diminuindo a mao de obra e o custo. Os produtos e servicos devem evoluir junto com a producao. A ineficiencia de uma empresa resulta no aumento do preco ao consumidor e diminui seu ciclo de vida. Os principios e metodos de melhoria da qualidade sao iguais tanto para a prestacao de servicos quanto para a producao produtos manufaturados. A implantacao em si difere de um produto para outro, de um servico para outro, assim como todos os problemas de producao diferem uns dos outros.

O principal objetivo dos metodos de gestao da qualidade e reduzir o numero de falhas garantindo que os requisitos atuais e futuros do cliente sejam atendidos e funcionem corretamente durante sua utilizacao, ou seja, entreguem qualidade, para isso se torna necessario definir claramente as fronteiras de todas as fases do ciclo de vida dos produtos/servicos, e entao aplicar metodologias adequadas a cada caso.

4.1 Definicoes de Qualidade

A definicao de qualidade e subjetiva, para que a definicao de qualidade seja algo um pouco mais tangivel, e preciso conhecer as necessidades explicitas/implicitas de quem a consome.

O significado de qualidade no Dicionario Aurelio e a propriedade, atributo ou condicao das coisas ou das pessoas, capaz de distingui-las das outras e de lhes determinar a natureza.

Segundo Deming, qualidade tem significado somente em termos do cliente, no atendimento as suas necessidades e se obtem com a pratica de melhoria continua, a qualidade deve visar as necessidades do consumidor, tanto atuais quanto futuras.

Para Juran, qualidade e adequacao ao uso.Adequacao ao proposito, do ponto de vista do usuario.

De acordo com Crosby qualidade e conformidade com as especificacoes.

Segundo Ishikawa, produtos e servicos que sao economicos, mais uteis e sempre satisfatorios ao consumidor.

A totalidade das caracteristicas de uma entidade que lhe conferem a habilidade em satisfazer necessidades explicitas e implicitas (ISO 9000).

De modo geral, um produto ou servico de qualidade e aquele que atende perfeitamente as necessidades do consumidor final, de forma confiavel, acessivel, segura e no tempo certo.

Para este objetivo ser alcancado e necessario um projeto perfeito, livre de defeitos, com baixo custo, com seguranca e entregue no prazo correto.

Segundo Edwards Deming, um sistema de melhoria de qualidade pode ser utilizado em qualquer empresa onde se deseja melhorar a qualidade de seu trabalho, e simultaneamente aumentar sua producao, tudo isso, diminuindo a mao de obra e o custo. Os produtos e servicos devem evoluir junto com a producao. A ineficiencia de uma empresa resulta no aumento do preco ao consumidor e diminui seu padrao de vida. Os principios e metodos de melhoria da qualidade sao iguais tanto para a prestacao de servicos quanto para a producao produtos manufaturados. A implantacao em si difere de um produto para outro, de um servico para outro, assim como todos os problemas de producao diferem uns dos outros.

A qualidade so pode ser definida em termos de quem a avalia.

O operario produz qualidade se ele conseguir se orgulhar de seu trabalho. A baixa qualidade, para esse operario, significa perda de negocios e provavelmente de seu emprego, ja a alta qualidade mantera a empresa no rumo certo. Isto serve tanto para as empresas de servicos quanto para as de producao de bens.

Para o administrador de fabrica, a qualidade significa produzir a quantidade planejada e atender as exigentes especificacoes. Sua funcao e tambem o de buscar o aperfeicoamento constante e a melhora de sua qualidade.

A administracao deve decidir quais as especificacoes das caracteristicas de qualidade das pecas, do produto final, do desempenho e dos servicos a serem oferecidos e tambem deve planejar ou nao, de forma antecipada, um produto ou servico para o futuro.

Ainda de acordo com Edward Deming, os problemas para se definir a qualidade de praticamente qualquer produto, foram definidos pelo mestre Walter A. Shewart, que diz que essa dificuldade esta na conversao das necessidades futuras do usuario em caracteristicas mensuraveis, que permitiria a possibilidade do produto ser projetado e modificado para dar uma maior satisfacao para o usuario, por um preco menor.

Esta tarefa nao e facil e, a partir do momento que a pessoa se sente realizada no cumprimento dessa tarefa, elas se deparam com diversos problemas, percebem que as necessidades dos consumidores mudaram, que mais concorrentes entraram no mercado, que surgiram novos materiais para se trabalhar, alguns melhores e alguns mais baratos.

4.2 O cliente ou consumidor

Segundo Deming o cliente e a parte mais importante de toda uma linha de producao.

Um dos principais itens estudados pelos administradores japoneses a partir de 1950 foi a necessidade de estudar as necessidades dos clientes e de fornecer servicos referentes ao produto.

O mais importante desse estudo e entender o objetivo das pesquisas de mercado, que e verificar as necessidades do consumidor, seus desejos e a partir dessa pesquisa criar produtos e servicos que proporcionem uma vida melhora no futuro para o consumidor.

Outro item importante para entender, e que o custo de substituicao de um produto ou servico defeituoso na linha de producao e relativamente facil de estimar, mas o custo de um item defeituoso entregue para o cliente desafia qualquer medida e quase sempre tem um custo maior.

A principal utilidade das pesquisas de mercado e o de levar as respostas dos consumidores de volta para os projetos do produto, para que a administracao possa antecipar as necessidades e requisitos de mudancas e trazer niveis mais economicos de producao. As pesquisas medem o grau das opinioes e demandas dos consumidores, e buscam explicacoes para os seus resultados.

Inumeras vezes a reacao do consumidor em relacao ao servico e imediata, por outro lado, a reacao do consumidor em relacao a um produto manufaturado pode demorar mais que o esperado. E, tanto para o servico, quanto para o produto, nao e possivel definir como o cliente ira avalia-los daqui a um ou dois anos, eles podem perfeitamente mudar suas opinioes com relacao aos produtos e servicos, mudar suas necessidades.

Essas pesquisas podem ser feitas de forma confiavel e economica, atraves de procedimentos e testes, realizados de acordo com procedimentos estatisticos adequados. e atraves dessa comunicacao com o cliente, que as empresas descobrem como seus produtos se comportam enquanto estao em uso, o que as pessoas pensam de seus produtos e o porque as pessoas comprariam novamente esse produto, ou nao o comprariam. A empresa podera, entao, re-projetar seu produto, fabrica-lo melhor, de forma a atender as exigencias do seu consumidor final, e colocar o produto ao preco que o consumidor possa pagar.

Ainda segundo Deming, a empresa nao deve se contentar com clientes apenas satisfeitos. Clientes insatisfeitos ou meramente satisfeitos, provavelmente trocarao seu produto por outro de um concorrente. O lucro de verdade para a empresa vem de clientes constantes, ou seja, aqueles que realmente confiam em seus produtos ou servicos.

Um diferencial competitivo que nao pode ser gerado atraves de pesquisas de mercado e a invencao de um novo produto ou um novo servico. Dificilmente o consumidor sabera responder qual o novo produto, ou novo servico sera util para ele, daqui a tres, quatro ou quinze anos.

Os novos produtos ou novos servicos deverao ser gerados nao atraves da opiniao do consumidor, e sim atraves da imaginacao, do conhecimento, da inovacao, do risco e das tentativas e erros por parte da empresa, necessitando tambem um bom apoio financeiro, capaz de sustentar essa nova ideia durante os meses fracos de lancamento.

4.3 Qualidade e produtividade em servicos

Um exemplo de uma organizacao de servicos sao as que trabalham com softwares, assim como restaurantes, bancos, imobiliarias, seguranca, graficas, etc.

De acordo com Deming, numeros publicados pelo censo, na decada de 90, mostram que a cada cem pessoas residentes nos estados unidos, setenta e cinco estao empregadas em organizacoes de servicos, e se levarmos em conta as pessoas que trabalham em industrias, mas estao envolvidas com servicos, esse numero sobe de setenta e cinco para oitenta e seis pessoas, sobrando apenas quatorze pessoas com a missao de fabricar coisas tangiveis ao consumidor, e essas quatorze pessoas incluem a agricultura.

Apesar desse numero pequeno de pessoas envolvidas na producao e na agricultura, elas sao responsaveis por quase toda a balanca comercial americana.

A partir desses dados, podemos concluir que a melhora do padrao de vida depende muito de uma melhor qualidade e melhor produtividade do setor de servicos. O custo de vida e alto porque pagamos mais do que realmente precisamos pagar pelo que obtemos. Isto e inflacao pura.

A qualidade dos servicos, em algumas caracteristicas, e facil de medir, assim como um produto tangivel. Podemos citar alguns exemplos, como a exatidao da documentacao, velocidade de expedicao, a credibilidade do tempo de entrega, entre outros.

Algumas organizacoes de servicos, se bem administradas, sao capazes de reduzir os custos dos produtos manufaturados e das mercadorias. Um bom exemplo e a melhora da qualidade dos transportes, que reduzem os custos de fabricacao do produto acabado a ser transportado, aumentando assim o mercado desses produtos.

4.4 Diferencas e semelhancas entre servicos e produtos

Ainda de acordo com Deming, uma importante diferenca e que um operario de producao sabe o que esta fazendo para contribuir para a fabricacao de algo que alguem vera, sentira e usara de uma forma ou de outra. Esse operario tem alguma ideia, por minima que seja, do que e seu trabalho, e alguma ideia da qualidade do produto final.

Por outro lado, na maioria das organizacoes prestadoras de servicos, as pessoas tem apenas uma funcao, elas nao sabem que tem um produto, e que esse produto e o servico prestado, que bons servicos, e clientes satisfeitos com os mesmos, significa manter a organizacao no ramo e gerar mais empregos, que clientes insatisfeitos podem causar perda de negocios e fatalmente de seu emprego.

As empresas prestadoras de servicos, dificilmente precisarao competir de igual para igual com empresas estrangeiras e sao incapazes de gerar novos materiais para o mercado internacional. Uma transportadora, por exemplo, e capaz de transportar apenas o que os outros produzem, ou seja, ela nao pode gerar materiais para transportar.

Assim sendo, se essa transportadora conseguir melhorar seus servicos, reduzindo custos, gerara economia para os fabricantes dos produtos que ela transporta, ajudando assim ao fabricante expandir seu mercado, trazendo novos negocios para a mesma transportadora.

Uma das semelhancas entre uma empresa de servicos e de produtos e a de que os erros e defeitos sao caros, para ambas as empresas. Quanto mais tempo um erro permanece sem correcao, mais caro fica para corrigi-lo, e mais caro ainda ficara se esse defeito chegar ate o consumidor, porem nao e possivel estimar este custo.

Por exemplo, um banco que crie problemas para o cliente por dizer que o mesmo nao tem fundos para cobrir um cheque, tem custos substanciais para cobrir esse engano, correndo o risco de perder negocios. O custo de corrigir esses erros nao e pequeno, e o custo para o banco se explicar ao cliente e ainda maior.

Um problema em comum entre uma empresa de servicos e de produtos e a dificuldade de definir um defeito. Em uma empresa de produtos manufaturados pode ser dificil de definir operacionalmente. O mesmo tipo de dificuldade ocorre nas empresas prestadoras de servicos. O codigo correto e um erro de codificacao sao tao dificeis de definir operacionalmente quanto um defeito na linha de producao de uma empresa de produto.

Uma solucao para isso e a aplicacao de cursos com duracao de varios meses para todos os funcionarios empregados na codificacao, e mesmo assim existira discordancia, de vez em quando, quanto ao codigo a ser dado em determinadas situacoes.

4.5 Garantindo a qualidade

Segundo Crosby, a qualidade nao pode ser considerada inatingivel, muito pelo contrario, se essa for atingida, e extremamente lucrativa para a organizacao, podendo ser atingida desde que haja compromisso e compreensao de todos da organizacao.

Uma boa definicao seria fazer com que os funcionarios facam melhor tudo o que deve ser feito, incluindo tanto a alta administracao como os niveis inferiores da organizacao. O problema e que todas as pessoas que exercem os cargos maiores na administracao chegaram la apos passar pelos niveis inferiores da empresa, podendo entender, ou nao, o que e necessario fazer para se obter qualidade, achando, muitas vezes, de forma equivocada que nao e necessario faze-lo, causando assim um grande prejuizo a empresa.

Diante desse problema, e obrigacao do gerente ligado a qualidade, dar instrucoes a alta administracao sobre esse setor da organizacao, tendo a capacidade de explicar tudo em termos claros e compreensiveis.

No passado, todo mundo tinha a ideia de que a prevencao de defeitos era muito desejavel para a melhora da qualidade, porem inatingivel e impraticavel. Todos pensavam: “Os engenheiros nao vao cooperar”. “Os vendedores sao incapazes de aprender”. “e impossivel sensibilizar a alta administracao com tais conceitos”. “Nem sequer os profissionais qualificados acreditam nisso”.

Para se mudar esse pensamento, e necessario explicar a alta administracao, e as camadas inferiores, a considerar a qualidade como uma das partes mais importantes do processo. Tambem e preciso explicar de forma clara e correta o que significa qualidade, para que todos possam entender e apoiar com entusiasmo, despertando assim, o interesse pela qualidade.

Se todos esses objetivos forem alcancados e possivel estabelecer praticas rotineiras e efetivas de compreender a qualidade, e tambem e possivel fazer com que a organizacao possa conseguir a comunicacao da alta administracao com as demais camadas e vice-versa.

Uma boa forma de garantir a qualidade em uma organizacao e construir uma tabela contendo todos os sistemas de integridade, como o controle da qualidade, confiabilidade, engenharia da qualidade, qualidade de fornecimento, inspecao, qualificacao, treinamento, testes, melhoria da qualidade, entre outros. Nao e conveniente que cada operacao tenha o mesmo programa de qualidade. Em uma empresa, a personalidade e as exigencias de uma unidade talvez tenham pouca afinidade com as de outra, porem todas precisam de programas de qualidade adequados e efetivos.

O gerente de uma organizacao normalmente diz que a qualidade significa o que e certo, que nao se pode medi-la, que e impossivel evitar os erros, e que as pessoas nao se interessam totalmente por fazer um bom trabalho.

O que deve ficar bem claro desde o inicio e que as pessoas trabalham de acordo com os padroes impostos pela alta administracao, portanto, se a administracao cre que elas nao se importam, elas realmente nao se importarao.

4.6 O Custo da qualidade

  • Custo da qualidade e o custo da conformidade mais o custo da nao-conformidade.
  • Os custos da qualidade podem ser divididos em 5 categorias:
  • Custo de prevencao:O custo de um projeto livre de erros ou dentro da margem aceitavel de erros.
  • Custo de avaliacao:Custo de avaliar o processo e suas saidas para assegurar que esta livre de erros, atividades como inspecao e teste de produtos, manutencao e inspecao de equipamentos de teste, processamento e documentacao de dados de inspecao contribuem para os custos de avaliacao da qualidade.
  • Custo de falha interna:Custo para corrigir um defeito antes de ser entregue ao cliente.
  • Custo de falha externa:Custo da falha em um produto ja entregue ao cliente
  • Custos de equipamento de medidas e testes:Custo dos equipamentos utilizados para fazer avaliacoes e inspecoes.

4.7 Reduzindo o custo da qualidade

Ainda segundo Crosby, hoje em dia, o custo das vendas sobe mais rapido que os precos dos produtos e servicos, portanto, a empresa deve focar em eliminar ou reduzir os custos para obter o lucro desejado, e o melhor jeito de se conseguir, e pela prevencao de defeitos.

O custo da qualidade envolve os custos de fazer coisas erradas, ou seja, e a sucata, o retrabalho, o servico apos servico, a garantia, a inspecao, os testes e atividades similares que se tornam necessarias devido aos problemas dos erros encontrados. e possivel diminuir de modo consideravel esse custo, atraves da prevencao de defeitos.

Alem de se reduzir o custo, a prevencao tambem traz outras vantagens, como a nao necessidade da contratacao de pessoas para fazer o retrabalho, ja que esse retrabalho ja nao existe mais, e a possibilidade de eliminar o custo de garantia, ja que os produtos ficam adequadamente qualificados.

4.8 Melhoria Continua - Ciclo PDCA

Os metodos de melhoria da qualidade sao baseados nas seguintes etapas:

OBSERVAR - MEDIR - ANALISAR - SINTETIZAR, obedecendo as regras estabelecidas por Rene Descartes.

W. Edwards Deming, introduziu o ciclo PDCA (Planejar, Executar,Verificar, Agir) e tem sido um dos exemplos mais populares de metodologia.

Segundo Quinquiolo, 2002, o ciclo PDCA, tambem conhecido como ciclo de Deming, e uma ferramenta extremamente util para a solucao de problemas e tem como finalidade o auxilio no diagnostico, na analise e no prognostico de problemas organizacionais. Poucas ferramentas sao consideradas tao efetivas na busca do aperfeicoamento quanto o ciclo PDCA.

De acordo com Tachizawa, 1997, a utilizacao do ciclo PDCA esta diretamente ligada ao entendimento e compreensao do conceito de processo, portanto torna-se necessario, que todos os envolvidos entendam o conceito processual como a identificacao dos insumos, dos clientes e das saidas dos processos.

O ciclo PDCA pode ser explicado da seguinte forma:

  • P - Plan - Estabelecer e definir os objetivos dos processos importantes de forma a atender todos os requisitos dos clientes;
  • D - Do - Implementar os processos;
  • C - Check - Medir, monitorar os resultados;
  • A - Act - Agir sobre o processo implementando melhorias.

Visualizacao do ciclo PDCA:

Figura 2 - PDCA aplicado a melhoria continua dos processos.

Fonte: Borsoi, 2007, slide 11

4.9 QFD - Desdobramento da Funcao Qualidade

Segundo Eureka, 2003, o QFD permite as empresas desenvolverem novos produtos, com menores custos, maior qualidade e produtividade e em um menor espaco de tempo. e uma ferramenta que traduz todas as necessidades dos clientes em requisitos tecnicos apropriados a empresa, para cada etapa do processo de desenvolvimento do produto, desde a pesquisa e o desenvolvimento ate a engenharia, a producao, o marketing, as vendas e a distribuicao.

O QFD ajuda na diminuicao do numero de problemas ocorridos no comeco da producao, diminui as mudancas que podem ocorrer no projeto inicial, e diminui os ciclos de desenvolvimento do produto, o que e primordial para que a empresa possa alcancar uma maior produtividade e reduzir os custos. Porem, o mais importante dos beneficios e a satisfacao dos clientes, a oportunidade de se colocar baixos custos de garantia e o ganho de maiores fatias do mercado.

“Quando o processo e corretamente utilizado, cria um ciclo fechado de melhoria continua de custo, Qualidade e adequacao; produtividade, lucratividade e posicao de mercado. Cada um desses elementos aparece com destaque no QFD; juntos, esses elementos identificam uma forca na concorrencia.” (Eureka, 2003, p.4)

Segundo Akao (1997), o QFD e a conversao dos requisitos dos clientes em caracteristicas de qualidade do produto e em construir um projeto de qualidade para um determinado produto acabado, atraves de desdobramentos sistematicos das relacoes entre demandas e caracteristicas de qualidade. Este desdobramento envolve todas as etapas do processo de desenvolvimento do produto. A qualidade total do produto sera formada atraves desta rede de relacoes.

Segundo King (1987), o QFD e uma ferramenta que permite as empresas priorizarem as demandas dos clientes, desenvolverem inovacoes para suas necessidades, de baixo custo. Alem disso, e possivel direcionar uma implementacao bem sucedida, capaz de envolver todos os departamentos do processo, como marketing, pesquisa, producao, etc.

Podemos perceber que o QFD permite que as organizacoes entendam os desejos dos consumidores e transmitam esses desejos para os seus produtos ou servicos; e um metodo de gerenciamento que auxilia na garantia da qualidade de processos, produtos e servicos.

4.9.1 A necessidade do QFD

De acordo com Eureka, 2003, os consumidores estao, cada vez mais se conscientizando e se preocupando quanto aos custos e valores dos produtos, o que os leva a mudar suas preferencias, podendo migrar para a concorrencia. As organizacoes podem apelar aos precos com descontos, promocoes ou parcelas gigantes, que podem acalmar, a curto prazo, esses clientes e aumentar a participacao da empresa no mercado, mas estes incentivos nao devem ser vistos com bons olhos para os negocios a longo prazo. a medida que a concorrencia lanca incentivos e promocoes, o resultado final e a diminuicao da margem de lucro desse setor industrial.

“Esses consumidores conscientes aumentam a demanda por niveis sempre crescentes de Qualidade e, quando nao a encontram em determinado produto, vao procura-la em outro. Um cliente perdido por problemas de Qualidade talvez nunca mais seja recuperado, podendo levar 20 ou mais outros clientes com ele.” (Eureka, 2003, p.9)

A qualidade, os custos, a adequacao e a produtividade sao consideradas, na maioria das vezes, como elementos conflitantes que necessitam de grandes mudancas. Porem, as melhores empresas japonesas conseguiram otimizar com sucesso estes elementos, fazendo um numero minimo de modificacoes no processo, conseguindo assim aumentar sua participacao no mercado, os lucros, como tambem conquistar clientes leais.

O QFD foi de extrema importancia para a otimizacao desses elementos, aparentemente conflitantes, auxiliando na melhoria da Qualidade, na adequacao e na produtividade, alem de reduzir os custos de forma significativa. Ele ajuda na busca do produto com a Qualidade exigida pelos consumidores.

Embora a utilizacao do QFD nao seja considerada uma garantia de sucesso, sem duvida a probabilidade de se alcancar esse cobicado sucesso aumenta, e muito. Sem o QFD, as empresas tem o que sempre tiveram. Ja com a utilizacao dele, as empresas conseguem uma nova e melhor abordagem para o planejamento do produto ou servico.

4.9.2 A Abordagem do QFD

Ainda de acordo com Eureka, o QFD e capaz de desdobrar a voz do cliente, durante todo o processo de desenvolvimento do produto, atendendo as necessidades do mesmo, que podem ser conhecidas atraves de consultas detalhadas, brainstorming, mecanismos de feedback e pesquisas de mercado. Isto e, como ja mencionamos no item anterior, o QFD tem o poder de traduzir as necessidades do cliente em requisitos tecnicos apropriados a cada etapa do desenvolvimento do produto e da producao.

A traducao das necessidades do cliente e ilustrada na figura 3 a seguir.

Figura 3 - Processo de traducao das necessidades do cliente

Fonte: Os autores

Para o sucesso do QFD e necessario o desenvolvimento de uma equipe excelente em projetos, onde todas as areas envolvidas no desenvolvimento do produto ou servico devem estar integradas nessa equipe, como o marketing, planejamento, engenharia do produto, desenvolvimento do processo, producao, servicos, etc. Todas essas areas devem estar cientes e trabalharem para a mesma meta, ou seja, o produto definido pelo cliente, produzido dentro do prazo especificado e a um custo determinado.

A falta de conhecimento dos produtos ou servicos e das necessidades dos clientes e uma das principais razoes para o fracasso de muitas empresas varejistas e de servicos. Partindo nesse ponto de vista, chegamos a conclusao de que a informacao e um elemento fundamental para o sucesso e para a adaptacao no mercado. Essas informacoes devem ser interpretadas de forma correta, para que sejam utilizadas adequadamente e de forma criativa, sendo assim o ponto de partida para a aplicacao do QFD.

4.9.3 Matriz Casa da Qualidade

Ainda segundo Eureka (2003), a matriz casa da Qualidade de planejamento do produto leva em consideracao as necessidades do consumidor, os requisitos de projeto, os objetivos impostos e as avaliacoes competitivas do produto, tudo isso a partir das informacoes coletadas e ja explicadas no item “A abordagem do QFD”.

As necessidades do cliente sao de fato traduzidas em requisitos de projeto.

Por exemplo, a exigencia do consumidor, tambem chamado como a “voz do cliente”, por um excelente cafezinho, pode ser traduzida por quente, saboroso, bom aroma, preco baixo, etc. A casa da qualidade exige algumas definicoes adicionais a partir desses itens. No exemplo do cafezinho podemos fazer um refinamento, adicionando os requisitos necessarios, tambem conhecidos por a “voz da engenharia”, como quantidade de cafeina, componente do sabor, intensidade do aroma, temperatura depois de servido, etc. Cada requisito (voz da engenharia) significa o que a organizacao precisa fazer para atender a exigencia do consumidor, que no exemplo dado, e um excelente cafezinho.

Ter o conhecimento desses requisitos e necessario para que cada item seja atendido, sem esse detalhe, nao ha como garantir o sucesso em uma exigencia que ninguem sabe como atender.

Apos definido os itens referentes as exigencias do consumidor e os requisitos necessarios para atender esses itens, e feito uma correlacao entre eles, usando simbolos particulares que definem as correlacoes fracas, moderadas e fortes.

Tambem se torna imprescindivel a realizacao de uma comparacao tecnica entre a voz do cliente e a voz da engenharia, mostrando assim os objetivos especificos que orientam o empreendimento a assegurar que os requisitos foram atingidos corretamente.

A estrutura da casa da qualidade, simplificada, pode ser observada na figura 4 abaixo.

Figura 4 - Estrutura da casa da qualidade

Fonte: Os autores

Essas correlacoes entre os itens e requisitos fazem com que as organizacoes tenham uma melhor tomada de decisao, decidindo quais os requisitos e itens devem ter um maior rendimento, investimento e uma maior importancia para a produtividade, diminuicao dos custos, aumento da lucratividade, etc.

Na figura 4, as interacoes (telhado da casa) representam a relacao entre a voz da engenharia e as correlacoes, atraves de um simbolo peculiar, que representa taxas positivas ou negativas, facilitando assim uma resolucao rapida das questoes de substituicao e evitando a duplicacao de esforcos pela empresa.

A analise da concorrencia e a comparacao, item por item, entre um produto da empresa e produtos similares da concorrencia. Essa analise e importante para estabelecer valores competitivos e detectar lacunas ou erros nos julgamentos da engenharia.

4.9.4 A Voz do Cliente

Quando as organizacoes buscam informacoes sobre as necessidades do cliente, muitas vezes essas informacoes sao facilmente distorcidas, ou seja, pode ser entendida de um jeito pelo gerente de marketing e de outro jeito, completamente diferente, pelo engenheiro de projeto. O QFD e um processo que traduz essas informacoes na sua forma mais pura, sem a ambigüidade causada pelas muitas interpretacoes que as informacoes possam ter.

“O QFD nao so enfatiza, para toda a companhia, a atencao dada as necessidades do cliente, como tambem fornece um mecanismo de selecao de areas-alvo, onde vantagens competitivas podem ajudar a melhorar a posicao de mercado - areas com potencial subdesenvolvido. Ao identificar os pontos criticos no projeto e nas caracteristicas que mais influenciam as necessidades globais dos clientes - o QFD assegura que os esforcos no desenvolvimento do produto matem dois coelhos com uma so cajadada.” (Eureka, 2003, p.51)

Com o uso adequado do QFD, a empresa tambem sera capaz de diminuir os custos de garantia dos seus produtos ja existentes, dando assim um efeito positivo na sua lucratividade e obter clientes fieis.

4.9.5 Os Beneficios do QFD

Beneficios tangiveis:

  • Reduz de forma consideravel o tempo para desenvolvimento;
  • Elimina as possiveis mudancas tardias de engenharia;
  • Diminui os custos iniciais do projeto;
  • Aumenta a confiabilidade do projeto;
  • Aumenta o controle dos fatores economicos na empresa.

Beneficios intangiveis:

  • Maior satisfacao dos clientes;
  • Garantia da Qualidade;
  • Melhoria no planejamento.

Valor resumido:

  • Esclarece os objetivos definidos;
  • Enfoque em tecnologias de produto e processo;
  • Melhor comunicacao entre todos os setores;
  • Produtos e servicos atendem as necessidades do cliente;
  • Maior margem competitiva.

4.10 Diagrama de Pareto

O diagrama de Pareto foi elaborado pelo economista Vilfredo Pareto que observou, no final do seculo XIX, uma distribuicao desigual de riqueza e poder na populacao total.

De acordo com Braz, (2008) o diagrama de Pareto e um grafico em que os dados sao apresentados de tal forma que se possam concentrar os esforcos de melhoria nos pontos onde os maiores ganhos podem ser obtidos, ou seja, nos pontos realmente importantes para a organizacao.

O grafico de Pareto e representado por barras verticais que apresentam:

  • Na horizontal, as diversas classes de problemas que se deseja comparar;
  • Na vertical, colunas representando a freqüencia de ocorrencia dessas classes;
  • Uma curva representando a porcentagem acumulada das ocorrencias, com seus valores devidamente indicados em um segundo eixo vertical.

Ainda segundo Braz, o diagrama de Pareto pode ser analisado de uma forma simples, verificando quais os itens de maior importancia, localizados a esquerda do diagrama representando as principais oportunidades de melhoria.

Quanto a analise da curva da porcentagem, e importante para definir quantos tipos de defeitos devem ser resolvidos, para que seja possivel atingir um objetivo de resultado estabelecido.

5. Gerenciando Projetos de TI

De acordo com o livro A Guide to the Project Management Body of Knowledge - 2000 Edition, [Project Management Institute (PMI®)December 2000], Gerenciamento de Projetos “e a aplicacao de conhecimentos, habilidades, ferramentas e tecnicas nas atividades de projeto afim de atender os requisitos do projeto”. (VIEIRA)

O PMBOK conceitua os projetos em 5 fases distintas e que devem ser bem definidas:

  • Iniciacao
  • Planejamento
  • Execucao
  • Controle Encerramento

Sendo compreendidos em 9 areas de Conhecimento:

O PMBOK divide as areas do conhecimento da seguinte maneira:

  1. Gerenciamento da Integracao
  2. Gerenciamento do Escopo
  3. Gerenciamento do Tempo
  4. Gerenciamento dos Custos
  5. Gerenciamento da Qualidade
  6. Gerenciamento dos Recursos Humanos
  7. Gerenciamento das Comunicacoes
  8. Gerenciamento dos Riscos
  9. Gerenciamento das Aquisicoes

O gerenciamento da Integracao em projetos de TI

“O gerenciamento da integracao do projeto envolve a coordenacao de todas as interfaces e os processos das outras areas do conhecimento atraves do ciclo de vida do projeto.”(VIEIRA, p52)

O gerenciamento da integracao do projeto contem o gerenciamento das interfaces, que e a identificacao e o gerenciamento dos pontos de interacao entre os varios elementos do projeto. O numero de interfaces pode variar diretamente proporcional ao numero de pessoas envolvidas no projeto. Estabelecer e manter boa comunicacao entre os envolvidos e de extrema importancia.

Gerenciar a integracao de projetos e, para muitas pessoas, a chave para o sucesso geral do projeto, sendo um fator critico para a satisfacao de todos os envolvidos.

O gerenciamento do escopo em projetos de TI

Alguns problemas de escopo ocorrem por falhas de comunicacao e por fatores como a falta de envolvimento dos usuarios em todas as etapas do projeto e a nao-aderencia do escopo e dos requisitos do projeto aos objetivos de negocio da organizacao.

A definicao do escopo deve ser definido e entendido por todos, o escopo do projeto deve ser formalizado atraves de um documento que servira como meta a ser atingida pelo time do projeto.

Mudancas devem passar por um processo de avaliacao de impactos, pois sempre causam impactos com replanejamentos, alocacoes de mais recursos e custar mais para o cliente.

Definir o escopo corretamente significa aumento de qualidade, e otimiza o prazo do projeto, os custos e as alocacoes de recursos.(VIEIRA)

O gerenciamento do tempo em projetos de TI

Os desvios de tempo ocorrem muitas vezes por um mal-entedimento dos requisitos do usuario, afetando diretamente o escopo.

Normalmente, com a finalizacao do projeto e comparado o planejado com o realizado, e nao se leva em conta o tempo gasto com aprovacoes (homologacoes, validacoes) feitas pelos usuarios ou pelos patrocinadores ou analistas facilitadores.

O tempo e a unica variavel que nao oferece flexibilidade. O usuario precisa ter um prazo maximo para validacao, e esses aspectos deve constar em contrato e deve ser acordado pelo usuario. (VIEIRA)

O gerenciamento dos custos em projetos de TI

“O gerenciamento dos custos pode ser ainda mais critico se for baseado em estimativas de custos em que os requisitos e o escopo ainda nao estao totalmente claros. Custo e escopo estao totalmente relacionados.” (VIEIRA p.57)

Outra razao para a variacao dos custos e quando envolve novas tecnologias. Segundo Vieira “O ideal e nao fornecer nenhuma informacao sobre o custo de projeto para o cliente sem antes validar por completo o entendimento dos requisitos e do escopo com os usuarios.”

* O gerenciamento da qualidade em projetos de TI

A qualidade e diretamente ligada ao bom entendimento dos requisitos do usuario e a definicao do escopo do projeto.

Em projeto de TI, um dos aspectos considerados de maior qualidade e a entrega dentro do prazo.

Outro fator de qualidade e a entrega do produto ou servico de acordo com o orcamento estimado.

Para melhorar a qualidade dos projetos de tecnologia da informacao, e importante entender os conceitos sobre o gerenciamento de qualidade de projetos e o desenvolvimento das modernas tecnicas de gerenciamento da qualidade.(VEIRA p.58)

O gerenciamento dos recursos humanos em projetos de TI

Gerenciar efetivamente os recursos humanos e um dos maiores desafios dos gerentes de projetos, com a globalizacao projetos com pessoas de varios paises e culturas e uma realidade.

Documentar licoes aprendidas e administrar o conhecimento e necessario para futuramente minimizar riscos, custos e escopos de projetos com tecnologias similares.

O gerenciamento dos riscos em projetos de TI

Outros riscos comuns em projetos de tecnologia da informacao:

  • Risco de mercado: Para novos produtos e servicos e viavel que se fala uma pesquisa de mercado.
  • Risco Financeiro: Se os recursos financeiros existem e se estao bem organizados.
  • Risco de tecnologia: Riscos relativos a tecnologia empregada, conhecer o tempo em que ela estara obsoleta por exemplo.
  • Gerenciamento das comunicacoes em projetos de TI

Falhas de comunicacao sao uma grave ameaca a projetos, tres fatores causadores de problemas merecem destaque:

  • O nao-envolvimento do usuario em todas as fases do projeto;
  • A falta de apoio dos altos executivos;
  • Levantamento de requisitos inconsistentes.

Nenhuma mudanca de escopo ou de produtos deve ser implementada sem comunicar todos os envolvidos no projeto, ou sem a documentacao necessaria.

Interpretar claramente quais sao as necessidades do usuario e essencial para uma comunicacao efetiva

De acordo com Vieira “requisitos bem levantados e principalmente bem documentados sao importantes para uma boa definicao de escopo.”

Gerenciamento das aquisicoes em projetos de TI

Aquisicao (Procurement) significa adquirir bens e servicos de um fonte externa.

As terceirizacoes e uma area em constante crescimento, e auxilia a:

  • Reduzir custos fixos e recorrentes
  • Permitir que a organizacao se concentre no seu negocio principal
  • Obter acesso a habilidades e novas tecnologias atraves de contratacao de consultores terceirizados com larga experiencia e especializados.
  • Flexibilizar equipes, evitando o desgaste e o remanejamento de equipes internas.
  • Aumentar a responsabilidade do fornecedor atraves de contratos bem escritos.

6. Gerenciamento de Riscos

a medida que as organizacoes se tornam dependentes da TI, crescem suas preocupacoes com a integridade das informacoes ali depositadas, tornando o conhecimento dos riscos inerentes as atividades de fundamental importancia ao alcance dos objetivos definidos pela organizacao. Violacoes e falhas de sistemas podem causar diversos transtornos a todos que se utilizam desse sistema de informacao (roubo de identidades, vazamento de informacoes confidenciais, etc.).

Esses sao os fatores da grande preocupacao por parte das organizacoes em se mitigar os riscos e melhorar o retorno sobre os investimentos em sistemas de informacao.

No passado, os riscos de TI eram associados apenas a seguranca e continuidade dos negocios, hoje o conceito sobre riscos e mais abrangente. Um programa de gestao de riscos de TI mais completo, avalia os riscos relativos a seguranca e disponibilidade de dados, disponibilidade integral e performance dos ativos de informacao e a conformidade com exigencias regulatorias ou legais.

Para podermos considerar uma estrutura mais completa de combate aos riscos, consideramos as seguintes categorias de riscos de TI:

  • Seguranca: Sao os riscos associados as ameacas internas ou externas que resultam em acessos nao autorizados as informacoes. Incluindo os riscos relacionados ao vazamento de informacoes confidenciais, dados sigilosos e fraudes alem de ameacas externas, como ataque de virus, ataque objetivos a aplicacoes, usuarios e informacoes especificas. Ataque a sistemas que as pessoas confiam e utilizam freqüentemente.
  • Disponibilidade: Trata-se de riscos relacionados a interrupcoes nao planejadas nos sistemas, apresentando informacoes inacessiveis. e de responsabilidade das organizacoes a manutencao de seus sistemas de negocio operacionais. Como resultado, e necessario que elas reduzam os riscos de perdas de dados e de indisponibilidade dos aplicativos. No caso de falha de sistema, os negocios devem ser restabelecidos e recuperados em um curto prazo de tempo.
  • Performance: Trata-se do risco de uma informacao ficar inacessivel devido a limitacoes de comunicacao de dados. Os negocios devem garantir que mesmo em momentos de pico de acesso garantindo assim os requerimentos de volume e performance. Estes requerimentos devem ser atendidos antes que o usuario final ou aplicacoes sejam impactados. A fim de minimizar custos desnecessarios com hardwares, os recursos devem ser dimensionados e otimizados.
  • Conformidade: Esta relacionado ao risco de exigencias regulatorias internas serem violadas ou de ocorrer falhas no alcance de requerimentos de politicas internas. As empresas necessitam estar de acordo com algumas regulamentacoes de diversos niveis (federais e estaduais) como ISO 9000. As organizacoes devem preservar informacoes e ter um eficiente sistema de busca e recuperacao de conteudo quando requerido. Os colaboradores devem promover melhores praticas e observar politicas internas garantindo eficiencia as operacoes do negocio.

O inter-relacionamento entre esses riscos de TI vem aumentando significamente. Deve-se ampliar seus conhecimentos e prioriza-los para que haja um efetivo programa de gestao de riscos de TI.

6.1 Atividades da Gerencia de Riscos

Entre diversos autores do assunto de Gerenciamento de Riscos, ha um consenso sobre as atividades que compoe o processo de gestao, todas elas sao baseadas na comunicacao, devendo ser executadas de forma ciclica e continua, e serao descritas a seguir:

  • Identificar riscos: O objetivo desta etapa e promover um levantamento preliminar de todas as possibilidades de riscos existentes ao alcance do objetivo. O aspecto mais importante da atividade de identificacao de riscos e compor uma documentacao formalizando os dados coletados.
  • Planejar a gerencia de risco: Esta etapa visa definir a estrategia de como gerenciar os riscos, os recursos necessarios para a realizacao do processo e por fim, da efetivacao das acoes consideradas necessarias no plano de gerencia de risco.
  • Analisar riscos: Esta atividade visa identificar os aspectos mais importantes de cada risco, para se explorar as melhores estrategias de mitigacao. Deste modo, os riscos sao categorizados e priorizados, segundo algum criterio especifico estabelecido, para tornar a gerencia concentrada nos riscos considerados prioritarios.
  • Planejar respostas aos riscos: Esta atividade visa promover planos de contingencia para os riscos que se encontram alem das capacidades de mitigacao.
  • Monitorar riscos: A etapa de monitoramento dos riscos deve ser praticada com o objetivo de se verificar a efetividade dos planos de acao na execucao do desenvolvimento do projeto de software. O objetivo e prover o gerenciamento de riscos de forma preventiva e nao reativa. Deste modo tem-se melhor compreensao do andamento do processo.
  • Controlar riscos: A etapa de controle dos riscos avalia a situacao atual para determinar eventuais desvios do planejado. Esta etapa envolve tambem a alteracao das estrategias de mitigacao, quando se fizer necessario e utilizacao de acoes previamente planejadas de contingencia. Para a atividade de controle em gerencia de riscos e essencial que se utilize cronogramas, pois o agendamento de tarefas de mitigacao de riscos facilita o acompanhamento do progresso e da eficacia destes planos.
  • Comunicar os riscos: A comunicacao entre as equipes e membros do projeto de software e um dos fatores mais importantes para a realizacao bem sucedida da gerencia de riscos. Riscos, problemas e crises podem aparecer, quando a estrutura de comunicacao e debilitada em uma organizacao.

7. ESTUDO DE CASO

7.1 Descricao da Empresa

O estudo de caso foi realizado na empresa Estrategica, que utiliza a tecnologia da informacao como fator estrategico aos seus negocios de acordo com o grid estrategico: Impacto das aplicacoes de TI.

Figura 5 - Grid estrategico: Impacto das aplicacoes de TI

Fonte: Laurindo, 2005.

Figura 6 - Organograma da organizacao

Fonte: Os autores

7.2 Cadeia de Valor da empresa Estrategica

Apos levantadas as funcionalidades dos processos existentes na cadeia de valor da organizacao, foi realizada uma discussao aberta com gerentes de tecnologia e de departamentos estrategicos da organizacao no intuito de identificar quais os dominios COBIT devem estar presentes nos processos da cadeia de valor.

A tarefa de mapeamento dos dominios COBIT, consiste basicamente em analisar as definicoes dos Dominios e identificar em qual dos processos da cadeia de valor cada dominio mais se adequa; tomemos como exemplo ilustrativo o mapeamento para o processo tema central deste estudo de caso, o processo de Gestao de Riscos de TI.

Analisando os dominios COBIT, verifica-se que os processos mais adequados para controle do processo de Gestao de Riscos de TI, sao os seguintes:

7.3 Resultados do mapeamento COBIT

Neste mapeamento alguns dominios COBIT sao facilmente relacionados aos processos da cadeia de valor, em outros nao ha um consenso geral como e o exemplo do dominio DS3 - Gerenciar Performance e Capacidade - esta relacionada a necessidade de se gerenciar o desempenho e a capacidade dos recursos de TI, e requerem um processo de revisao periodica de desempenho atual e capacidades, inclui a previsao de necessidades futuras com base na carga de trabalho, requisitos de armazenamento de dados e de contingencia, garante que estejam continuamente disponiveis.Os autores o mapearam no processo da cadeia de Valor Operacao, mas houve opinioes divergentes quanto a seu mapeamento no processo de Gestao de Servicos.

Outro dominio conflitante foi o DS4 - Assegurar Servico Continuo - sobre a necessidade de prestacao continua se servicos de TI, requer o desenvolvimento, manutencao e testes de planos de continuidade de TI, utilizando locais de trabalho estruturado e preparados para receber as operacoes em casos de catastrofe, o armazenamento backup de dados e fornecer treinamento periodico do plano de continuidade. Um processo efetivo de servico continuo minimiza a probabilidade de impacto de uma interrupcao de servicos de TI em funcoes chave para o negocio ou de processos.Os autores o mapearam no processo de Gestao de Riscos de TI, mas houve divergencias quanto ao seu mapeamento no processo Operacoes.

Figura 7 - Mapeamento dos processos da cadeia de valor

Fonte: Os autores

7.4 Situacao atual da empresa

Os departamentos ligados aos processos em questao sao os seguintes:

  • Governanca de TI - Responsavel alavancar seus resultados atraves da TI;
  • Departamento A - Responsavel por Compliance e pela gestao de riscos de TI;
  • Departamento B - Responsavel pelo desenvolvimento de sistemas;
  • Departamento C - Responsavel pelo processamento de dados da organizacao;
  • Departamento D - Responsavel por realizar pesquisas relacionadas a inovacoes;
  • Departamento E - Fornece solucoes relacionadas a TI;
  • Departamento F - Responsavel pela infra-estrutura, documentacao e compensacao dos equipamentos e recursos fisicos da organizacao;
  • Departamento G - Responsavel por executar a seguranca fisica da organizacao.

A partir das respostas referentes as perguntas balizadoras, foi possivel identificar as seguintes atividades para cada departamento:

Governanca de TI

  1. Criado para governar os processos de TI;
  2. Auxilia o departamento A no alinhamento dos processos de TI com os processos de negocio;
  3. Desenvolve novos processos e identifica possiveis melhorias aos processos.

Departamento A

  1. Promove os riscos dentro da organizacao;
  2. Gerencia a eficacia da seguranca da informacao, continuidade do negocio, controles internos e compliance;
  3. Desenvolvem diretrizes politicas, normas e procedimentos de seguranca da informacao para uso corporativo consolidados em um documento;
  4. Emite e mantem pareceres sobre seguranca da informacao e gestao de acesso a informacao;
  5. Toma acoes corporativas de conscientizacao;
  6. Assessora o Comite Executivo de Seguranca da Informacao;
  7. Alguns procedimentos de comunicacao com outros departamentos informais;
  8. Avalias os riscos de TI da seguinte maneira (Alto: Impacto financeiro no resultado e fluxo de caixa, Medio: Impacto apenas no objetivo, Baixo: Impacto setorial com valores pequenos e que nao excedam as fronteiras da organizacao);
  9. Coordena a estruturacao de areas de trabalho prontas para operacionalizacao em casos de catastrofes de acordo com as necessidades da area;
  10. Utiliza o COBIT como estrutura padrao, com base nos objetivos de controle.

Departamento B

  1. Desenvolve sistemas de informacao;
  2. Disponibiliza informacoes periodicas contendo a relacao dos projetos de seguranca da informacao e seus status (realizado);
  3. Desenvolve estudos sobre seguranca no processo de codigo fonte por necessidade.

Departamento C

  1. Administra o processamento de sistemas da organizacao;
  2. Providencia infra-estrutura tecnologica e processos necessarios;
  3. Responsavel por procedimentos de seguranca da informacao relativos a infra-estrutura;
  4. Instala softwares do ambiente (antivirus, firewall, internet, etc.), e controla senhas;
  5. Monitora os incidentes internos de seguranca da informacao;
  6. Responde aos incidentes internos e sao registrados na central de atendimento ate que sejam solucionados e repassados a area do departamento;
  7. Realiza periodicamente uma analise de vulnerabilidades.

Departamento D

  1. Gerencia e investiga incidentes, pesquisa ferramentais e homologa procedimentos especificos alinhados com o Departamento A;
  2. Nao ha processo formal de comunicacao com as demais areas sobre as acoes tomadas;
  3. Efetua analise de incidentes nao solucionados em primeira instancia pelo Departamento C;
  4. Possui indicadores quantitativos para analise e deteccao de vulnerabilidades e sao analisados periodicamente (exemplo: total de incidentes trojans por periodo, trojans disponiveis por mes, total de trojans analisados por mes, proporcao entre trojans disponiveis e trojans analisados).(Ha informacoes disponiveis no mercado sobre esses dados).

Departamento E

  1. Desenvolve solucoes de tecnologia da informacao seguindo as diretrizes do Departamento A;
  2. Processos sao documentados, mas nao ha macro-processos;
  3. Possui pelo menos um colaborador para cada departamento com o intuito de captar demandas.

Departamento F

  1. Gerencia a infra-estrutura, compensacao e documentacao de TI na organizacao e servicos terceirizados;
  2. Desenvolve e mantem canais de comunicacao interna;
  3. Mantem projetos e acoes que visam garantir a seguranca efetiva das informacoes.

Departamento G

  1. Realiza a seguranca fisica da organizacao, incluindo agencias que por conseqüencia se estende a protecao das areas que possuem recursos tecnologicos;
  2. O relacionamento com os demais departamentos acontece a medida que surge a necessidade de homologar produtos para seguranca fisica da organizacao;
  3. comunicacao formalizada entre os departamentos somente relativa aos custos de implementacao.

7.5 Diagnostico sobre a situacao atual:

O principal ponto observado pelos autores e a ineficiencia de alguns processos de comunicacao entre os departamentos, processos informais e nao documentados. Podendo ocasionar perda de informacoes importantes ao negocio.

A forma de gestao da organizacao e baseada em pessoas, e nao em processos. Tornando alguns processos intuitivos e dependentes das pessoas que o executam. Em casos especificos ha uma so pessoa habil a executar alguns processos, e muitas dessas pessoas estao chegando perto da aposentadoria.

Por esse fatores o nivel medio de maturidade da organizacao pode ser avaliado em 2,5, este criterio sera explicado em maiores detalhes no topico referente a aplicacao da casa da qualidade.

7.6 Mapeamento dos Processos COBIT por departamento

De acordo com as definicoes dos dominios e objetivos de controle COBIT, foi feita uma analise comparativa entre as atividades executas por cada departamento e o seu alinhamento aos dominios mapeados para o processo de Gestao de Riscos de TI.

Dominio: PO9

Proprietario: Departamento A

Seu alinhamento e maior com as atividades executadas pelo departamento A, pois este departamento participa do Comite Executivo de Seguranca da Informacao tendo a oportunidade de obter diretrizes estrategicas da organizacao e solicitar informacoes importantes para que o processo de Gestao de Riscos de TI reflita as reais expectativas e necessidades da organizacao, mas para isso necessita de informacoes fornecidas por outros departamentos como o status dos projetos de seguranca da informacao e sobre os estudos de seguranca em desenvolvimento de codigo fonte pelo departamento B.O departamento C e fornecedor de informacoes sobre os procedimentos de seguranca da informacao relativos a infra-estrutura e os resultados do monitoramento e registros de atendimento dos incidentes internos de seguranca da informacao e a analises de vulnerabilidade.

Dominio: DS4

Proprietario: Departamento A

Pelo fato de gerenciar a continuidade do negocio.

Dominio: DS5

Proprietario: Departamento C

O alinhamento deste dominio ao departamento C fica evidente devido a algumas atividades executas pelo departamento, como definir procedimentos de seguranca, gestao de identidades e senhas, e executa a instalacao de software como antivirus, firewall e realiza a analise de vulnerabilidades.

Dominio: ME2

Proprietarios: Departamento A e Departamento F.

O alinhamento deste dominio aos dois departamentos se deu pelo fato de existir o alinhamento com o departamento A no Objetivo de Controle ME3.1 que explicita a necessidade de monitoramento dos controles internos. E com departamento F por gerenciar os servicos de terceiros e manter canais de comunicacao interna, alinhado-se com os Objetivos de Controle ME2.5, ME2.6 e ME2.7.

Dominio: ME3.

Proprietarios: Departamento A e Departamento F.

O departamento F, por manter canais de comunicacao internos, sera proprietario dos processos relacionado a comunicacao.

7.6.1 Identificando entradas, saidas, fornecedores e clientes dos processos.

Nas tabelas abaixo estao identificadas quais as entradas, os processos fornecedores, os processos clientes, as interacoes e possiveis indices de monitoramento e performance.

A partir da analise das tabelas conclui-se que os fornecedores de insumos para os processos de Gestao de Riscos de TI sao os seguintes:

  • PO9: PO1, PO10, DS2, DS4, DS5, ME1 e ME4.
  • DS4: PO2, PO9, AI2, AI4, DS1.
  • DS5: PO2, PO3, PO9, AI2, DS1.
  • ME2: AI7, ME1.
  • ME3: PO6 e informacoes fora do COBIT.

Os clientes dos processos sao:

  • PO9: PO1, PO4, PO6, AI6, DS4, DS5, DS12, ME4.
  • DS4: PO9, DS1, DS2, DS8, DS9, DS11, DS13, ME1.
  • DS5: PO9, AI6, DS7, DS8, DS11, ME1.
  • ME2: PO4, PO6, ME1, ME4.
  • ME3: PO4, ME4, ME1.

Nota-se para o caso do processo de Gestao de Riscos de TI, que o Departamento A e ao mesmo tempo um dos fornecedores, e cliente para os processos PO9 e DS4, pelo fato de ser responsavel por estes dois processos.

7.7 Gestao de Riscos - Ciclo PCDA

Figura proposta para o processo de Gestao de Riscos de TI, utilizando como fundamentacao teorica a Gestao de Riscos e o COBIT 4.1:

Figura 8 - Ciclo PDCA

Fonte: Os autores

A seguir serao apresentadas e explicadas todas as fases do PDCA.

1) Fase P:

No inicio do processo de Gestao de Riscos de TI e necessario acontecer o alinhamento Estrategico entre as diretrizes e objetivos do negocio e o planejamento do processo de Gestao de Riscos de TI.

Objetivo de Controle COBIT: PO9.1

areas de Conhecimento PMBOK mapeada: Gerenciamento de Escopo

Identificar Riscos: Esta etapa tem o objetivo de identificar os principais riscos existentes na organizacao atraves da analise de relatorios provenientes de outras areas como, por exemplo, tendencias, incidentes, inovacoes em andamento que possam impactar os negocios.

Objetivo de Controle COBIT: PO9.2, PO9.3, PO9.4

.

areas de Conhecimento PMBOK mapeada: Gerenciamento de Escopo

<1>:Processo decisorio de aprovacao dos riscos identificados.

Documentar Riscos: Processo responsavel por documentar e inventariar os riscos identificados na etapa anterior no intuito de criar uma base historica de riscos identificados, sendo essencial no processo de melhoria continua do processo. Os seguintes processos podem ser mapeados para a saida desta etapa:

Objetivo de Controle COBIT: DS4.9.

areas de Conhecimento PMBOK mapeada: Gerenciamento de Escopo.

<2>:Processo decisorio de aprovacao das opcoes de respostas.

  • Definir Opcoes de Resposta: Esta etapa utiliza como insumo as informacoes sobre os riscos identificados e define uma serie de acoes que devem ser tomadas em casos de materializacao dos riscos no ambiente corporativo a fim de mitigar os impactos associados e retomar as atividades.
  • Planejar planos de acao/melhorias: Consiste em definir quais serao os planos implementados em reposta a materializacao dos riscos, ou a execucao de projetos de melhorias em resposta a deficiencias encontradas.
  • Definir tolerancia aos riscos: Consiste no planejamento da tolerancia aos riscos existentes, ou seja, definir quais devem ser os limites aos valores medidos para que sejam emitidas ordens de execucao dos planos de acao (exemplo: Tolerancia a disponibilidade de servicos igual a 99,5%), abaixo disso deve ser implementado o plano de resposta.

Objetivo de Controle COBIT: PO9.5.

areas de Conhecimento PMBOK mapeada: Gerenciamento de Riscos e Gerenciamento das Comunicacoes.

<3>:Processo decisorio de validacao das tolerancias definidas

Definir Controles: Consiste em definir quais serao os metodos utilizados na afericao das informacoes a serem analisadas no intuito de identificar riscos eminentes. Processo COBIT mapeado:

Objetivos de Controle COBIT: PO9.6.

areas de Conhecimento PMBOK mapeada: Gerenciamento das Comunicacoes e Gerenciamento da Qualidade.

2) Fase D:

Implantar Controles: Consiste na atividade de implementar junto as areas, ferramentas e metodos utilizados na mensuracao dos riscos existentes.

Objetivos de Controle COBIT: DS5.5.

areas de Conhecimento PMBOK mapeada: Gerenciamento da Integracao, Gerenciamento das Comunicacoes

Comunicar e Treinar areas: Informar as areas sobre seus riscos e planos de resposta planejados e treinar as areas em casos de execucao dos planos. Processos COBIT mapeados:

Objetivos de Controle COBIT: DS4.6, DS5.11.

areas de Conhecimento PMBOK mapeada: Gerenciamento da Integracao, Gerenciamento das Comunicacoes

Estruturar e testar planos: Etapa responsavel por construir os caminhos dos planos de reposta dentro da organizacao atraves dos departamentos e testar os planos quanto a sua eficacia.

Objetivos de Controle COBIT: DS4.2, DS4.3, DS4.4, DS4.5.

areas de Conhecimento PMBOK mapeada: Gerenciamento da Integracao, Gerenciamento da Qualidade.

<4>: Processo decisorio de disponibilizar os planos de acao.

Efetuar controle: Etapa onde sao controlados os fatores definidos na fase de planejamento (exemplo: Disponibilidade de sistemas, turnover) e emite alertas as areas responsaveis quando excedidos os limites de especificacao.

Objetivos de Controle COBIT: ME2.1, ME2.6

areas de Conhecimento PMBOK mapeada: Gerenciamento dos Riscos.

<5>: Processo decisorio de disparar alerta a area responsavel por execucao do plano, quando excedidos os limites de tolerancia aos riscos.

Implementar Planos: Quando os controles dos limites de tolerancia aos riscos forem excedidos, a ordem para se iniciar a execucao dos planos de acao e emitida e este processo coordena a sua execucao.

Objetivos de Controle COBIT: DS4.7, DS4.8.

areas de Conhecimento PMBOK mapeada: Gerenciamento da Integracao, Gerenciamento da Qualidade, Gerenciamento do Tempo, Gerenciamento das Comunicacoes.

Implementar melhorias: Este processo e responsavel pela execucao de projetos relacionados a melhorias identificadas na fase de planejamento.

areas de Conhecimento PMBOK mapeada: Gerenciamento das Comunicacoes, Gerenciamento da Qualidade.

3) Fase C:

Avaliar eficacia de controles: Este processo verifica os resultados das atividades de monitoramento e controle dos fatores de risco com relacao aos resultados esperados na fase de planejamento.

Objetivos de Controle COBIT: ME2.2, ME2.3, ME2.4.

areas de Conhecimento PMBOK mapeada: Gerenciamento da Qualidade.

Avaliar resultados dos planos: Objetiva checar os resultados obtidos com a execucao dos planos de continuidade com os resultados esperados.

Objetivos de Controle COBIT: DS4.10.

areas de Conhecimento PMBOK mapeada: Gerenciamento da Qualidade, Gerenciamento das Comunicacoes, Gerenciamento da Integracao.

Avaliar Melhorias obtidas: Avaliar os ganhos alcancados na realizacao dos projetos com relacao aos requisitos externos que exigiam melhorias nas especificacoes internas.

Objetivos de Controle COBIT: ME3.3.

areas de Conhecimento PMBOK mapeada: Gerenciamento da Qualidade, Gerenciamento das Comunicacoes, Gerenciamento da Integracao.

Consolidar informacoes: Documentar as informacoes para analise. Processos COBIT Mapeados:

ME4.9 - Armazenamento do backup.

areas de Conhecimento PMBOK mapeada: Gerenciamento da Integracao.

4) Fase A:

  • Analisar informacoes: Consiste na analise dos resultados obtidos. ME3.4 - Avaliar garantia de compliace.
  • Elaborar relatorio sobre resultados: Elaborar um documento que contenha parecer sobre os resultados alcancados e enviar ao inicio do processo.
  • areas de Conhecimento PMBOK mapeada: Gerenciamento da Qualidade, Gerenciamento das Comunicacoes, Gerenciamento da Integracao.

7.8 Criterios de Relacoes entre os Processos

Para simular os dados na matriz casa da qualidade, serao admitidos como clientes os processos mapeados para o processo de gestao de riscos de TI (PO9, DS4, DS5, ME2, ME3) e as caracteristicas criticas externas para a qualidade, serao consideradas as entradas fornecidas pelos processos fornecedores, visto que a qualidade dos bens e servicos entregues pelos processos sao diretamente influenciadas pela qualidade de suas entradas.

Criterios para estabelecimento das relacoes entre as caracteristicas do processo e suas entradas serao listadas abaixo.

  • Relacao Forte (@): Esta relacao e atribuida quando a analise das informacoes provenientes de um processo sao conclusivas e fundamentais para sintetizar as informacoes das saidas.
  • Relacao Media (#): Esta relacao e atribuida quando as informacoes provenientes de um processo sao necessarias, mas nao fundamentais a sintetizacao das saidas.
  • Relacao Fraca (^): Esta relacao e atribuida quando as informacoes provenientes de um processo complementam a qualidade das saidas do processo.
  • Quando nao ha relacao o campo fica vazio.

A importancia relativa dos sub-processos (Objetivos de Controle) foram baseadas em uma pesquisa aplicada para 61 profissionais (PAIM, 2007) que trabalham com gestao de processos, esta pesquisa destaca a importancia das tarefas atribuidas pelos profissionais de acordo com a escala Likert de 1(menor) a 5 (maior).

A relacao entre os Objetivos de Controle (Linhas do QFD) e suas importancias relativas foram definidas de acordo com a aderencia dos objetivos de controle com as tarefas existentes na Tabela 6.

As maturidades Assumidas no Campo “Nossa Posicao” sao:

  • PO9 - Nivel 2 devido a existencia de abordagem no desenvolvimento de avaliacao de risco e ser aplicada a criterio dos gerentes de projeto. A gestao de risco e feita geralmente a um nivel elevado e geralmente e aplicada apenas aos grandes projetos, ou em resposta a problemas. Processos de mitigacao de risco comecam a ser implementados quando riscos sao identificados. O processo e repetitivo, mas intuitivo, o desenvolvimento do processo de levantamento de riscos existe e e implementado.
  • DS4 - Nivel 2 porque a responsabilidade de assegurar o servico permanente e atribuida. As abordagens de assegurar o servico continuo, sao fragmentadas e os relatorios sobre a disponibilidade do sistema e esporadica, podem estar incompletos e nao tem impacto nos negocios. Nao ha plano de continuidade documentado que, embora nao haja compromisso com a disponibilidade continua dos servicos, os seus principios mais importantes sao conhecidos. Um inventario dos sistemas e componentes criticos existe, mas pode nao ser confiavel. Praticas de servicos continuos sao emergentes, mas o sucesso depende de pessoas.
  • DS5 - Nivel 3 devido existir a consciencia de seguranca e ser promovida pela gerencia. Os Procedimentos de seguranca de TI sao definidos e alinhados com as politicas de seguranca. As responsabilidades em materia de seguranca de TI sao atribuidas e compreendidas, mas nao sao aplicadas de forma coerente. Existem planos de seguranca de TI e seguranca das solucoes motivadas pela analise de risco. Relatorios sobre seguranca nao contem um foco de negocio claro. Testes de seguranca ad hoc (por exemplo, testes de intrusao) sao executados. O treinamento de seguranca esta disponivel para a TI do negocio, mas e apenas informalmente programado e controlado.
  • ME2 - Nivel 3, definido devido a existencia de suporte de gestao e institutos de monitoramento de controle interno. Politicas e procedimentos sao desenvolvidos para avaliar e elaborar relatorios sobre as atividades de monitoramento interno de controle. Uma educacao de formacao para monitoramento do controle interno e definido. Um processo definido para auto-avaliacoes e analises de controle interno, com papeis de empresas responsaveis e gerentes de TI. Ferramentas estao sendo utilizadas, mas nao sao necessariamente integradas em todos os processos. Processos de politicas de avaliacao de risco de TI estao sendo utilizadas nas estruturas de controle desenvolvido especificamente para a organizacao de TI. Processo de riscos especificos e politicas de mitigacao sao definidos.
  • ME3 - Nivel 2 devido a existencia da compreensao da necessidade de cumprir as exigencias externas, e a necessidade de se comunicar. Quando o cumprimento e uma exigencia de retorno, como nos regulamentos financeiros ou de legislacao de privacidade, procedimentos de conformidade individuais tem sido desenvolvidos e sao seguidos anualmente. Nao ha abordagem padrao. Ha grande dependencia do conhecimento e responsabilidade dos individuos, e os erros sao provaveis. Nao ha comunicacao formal sobre as exigencias externas e problemas de conformidade.

Os dados referentes a maturidade da America do Sul, Industria Financeira em geral e do Mundo foram obtidas a partir de pesquisas efetuadas por institutos com o IDC e Gartner.

7.9 Aplicacao da metodologia QFD

As matrizes casa da qualidade abaixo representam a aplicacao da mesma para os diversos processos.

Figura 9 - Casa da Qualidade para o processo PO9

Fonte: Adaptacao da Matriz casa da Qualidade Autor Victor Svoll

Figura 10 - Casa da Qualidade para o processo DS4

Fonte: Adaptacao da Matriz casa da Qualidade Autor Victor Svoll

Figura 11 - Casa da Qualidade para o processo DS5

Fonte: Adaptacao da Matriz casa da Qualidade Autor Victor Svoll

Figura 12 - - Casa da Qualidade para o processo ME2

Fonte: Adaptacao da Matriz casa da Qualidade Autor Victor Svoll

Figura 13 - Casa da Qualidade para o processo ME3

Fonte: Adaptacao da Matriz casa da Qualidade Autor Victor Svoll

7.9.1 Diagrama de Pareto

A Figura 14 ilustra o diagrama de Pareto com seus referentes dados.

Figura 14 - Diagrama de Pareto

Fonte: Os autores

     Para a analise de Pareto, foram utilizados os dados referentes as porcentagens totais de importancia das entradas (colunas), e as suas somatorias acumuladas, identificando a ordem de importancia das entradas para o processo de gestao de riscos de TI.

7.10 Resultados esperados

A metodologia utilizada sera eficiente para definir a ordem dos processos que influenciam na qualidade das saidas do processo de gestao de riscos de TI, definindo quais processos fornecedores de insumos devem ser avaliados e melhorados antes da implementacao do processo em estudo.

Espera-se que este estudo auxilie as organizacoes a definir as relacoes existentes entre seus processos, focando esforcos no monitoramento e melhoria dos processos de maior criticidade ao processo em estudo, neste caso o processo de gestao de riscos de TI.

8. CONCLUSaO

O objetivo geral deste trabalho foi identificar a ordem crescente de influencia de outros processos organizacionais na qualidade das saidas produzidas pelo processo de gestao de riscos de TI.

Atraves do mapeamento de processos de acordo com o COBIT, a simulacao dos dados na casa da qualidade e analise dos resultados atraves do diagrama de Pareto, foi possivel identificar processos importantes para a qualidade do processo de gestao de riscos de TI.

A pergunta direcionadora deste estudo, se o QFD aliado ao diagrama de Pareto seriam eficientes na identificacao de processos influenciadores a qualidade do processo de gestao de riscos de TI, pode ser respondida.

No inicio do estudo, tomando como base os processos COBIT e a necessidade de implementacao de um processo de gestao de riscos de TI, identificou-se como primeiro passo a estruturacao do processo PO9 - Avaliar e Identificar Riscos de TI.

Esta analise identificou que o processo AI2 deve ser analisado previamente a implementacao do processo de gestao de riscos, o processo AI2 nao e fornecedor direto de insumos para o inicio do processo de gestao de riscos, que se da com o processo COBIT PO9.

Efetuando a analise do fluxo positivo de informacoes que partem do processo AI2, ate chegar no processo PO9, este resultado pode ser compreendido com clareza, a imagem 15 explicita o fluxo positivo de informacoes:

Figura 15 - Fluxo positivo AI2-PO9

Fonte: Os autores

Conclui-se que este resultado e consistente, pois, analisando as entradas dos processos COBIT mapeados para o processo de gestao de riscos, verifica-se que o processo AI2 e entrada dos processos DS4 e DS5, fornecedores diretos do PO9. O processo AI2 tambem e fornecedor dos processos DS3, DS1, ME1 e PO1, que influenciam no processo PO9, demonstrados pela figura 15 acima.

Este estudo tambem e auxiliar as organizacoes na identificacao de proprietarios dos processos, facilitando o monitoramento dos processos e definicao de papeis e responsabilidades.

     Portanto este estudo evidenciou previamente a implementacao de processos organizacionais e necessario o estudo de suas inter-funcionalidades (interfaces), evitando a estruturacao de processos organizacionais com lacunas em suas entradas, prejudicando sua qualidade, e desperdicando recursos.

Algumas das dificuldades encontradas durante este estudo durante sua execucao dentro da organizacao foi encontrar uma divisao apropriada entre as atividades das fases D e C do ciclo PDCA, percebeu uma dificuldade dos profissionais envolvidos no projeto em separar estas duas fases, e este detalhe ainda nao foi bem definido e ha divergencias sobre este ponto.

Tambem houve divergencias no mapeamento de processos COBIT a cadeia de valor, embora esta seja uma atividade que sempre havera divergencias porque os processos sao genericos.

Outro item a ser evidenciado e a dificuldade em definir criterios a serem inseridos na matriz casa da qualidade.

BIBLIOGRAFIA

JASPERSON, J. S.; CARTER, P. E.; ZMUD, R. W. A Comprehensive Conceptualization of Post-Adoptive Behaviors Associated with Information Technology Enabled Work Systems. MIS Quarterly, 2005.

AKAO, Yoji.Desdobramento das diretrizes para o sucesso do TQM.Porto Alegre: Artes Medicas, 1997.

BRAZ, M. A.; ROTONDARO, R. G. Seis Sigma Estrategia Gerencial para a Melhoria de Processos, Produtos e Servicos. Sao Paulo, Editora Atlas, 2002.

CROSBY, Philip B. Qualidade e investimento: a arte de garantir a qualidade. 7. ed. Rio de Janeiro: Jose Olympio, c1999. 327 p.

CRUZ, T. Sistemas, metodos & processos: administrando organizacoes por meio de processos de negocios. Sao Paulo: Atlas, 2003.

DEMING, W. Edwards. Qualidade: a revolucao da administracao. Rio de Janeiro: Marques Saraiva, 1990.

EUREKA, William E.; RYAN, Nancy E.QFD:perpectivas gerenciais do desdobramento da funcao qualidade.Rio de Janeiro: Qualitymark, 2003.

FITZSIMMONS, J. A.; FITZSIMMONS, M.J. Administracao de servicos: operacoes, estrategia e tecnologia de informacao. 2. Ed. Sao Paulo: Bookman, 2003.

GALBRAITH, J. K.; O Novo Estado Industrial, Rio de Janeiro: Civilizacao Brasileira, 1967.

GALBRAITH, J. R. (2000) - Design the Global Corporation. Jossey-Bass.San Francisco.

GONcALVES, J. E. L. As empresas sao grandes colecoes de processos. Revista de administracao de Empresas. Sao Paulo: 2000.

ITGI - Apostila COBIT 4.1: Rolling Meadows, USA, 2007.

JURAN, J. M. Juran planejando para a qualidade. 3. ed. Sao Paulo: Pioneira, c1995 394 p.

KING, B., Beter Designs in Half the Time: Implementing QFD Quality Function Deployment in America. Methuen, MA: GOAL/QPC. 1987.

MARANHaO, M., MACIEIRA, M. E. B. O processo nosso de cada dia: modelagem de processos de trabalho. Rio de Janeiro: Qualitymark, 2004.

MELAN, EUGENE H.; Process management : methods for improving products and service: New York : McGraw-Hill : Copublished with ASQC Quality Press, 1993.

MIRANDA, Roberto Lira. Qualidade total. Sao Paulo: Access Intelligence Publication: Makron, c1995. 203 p.

PAIM, SANTOS, CAULLIRAUX - A importancia das tarefas para gestao de Processos - XVII Engep - 2007.

QUINQUIOLO, J. M. Avaliacao da Eficacia de um Sistema de Gerenciamento para Melhorias Implantado na area de Carroceria de uma Linha de Producao Automotiva. Taubate/SP: Universidade de Taubate, 2002.

SCHWARZ, A; HIRSCHHEIM, R. An extended plataform logic perspective of TI governance: managing perceptios and activities of TI. IN: Journal of Strategic Informations Systems, 2003.

SILVA, C. E. Metodo para avaliacao do desempenho do processo de desenvolvimento de produtos. 2001. Tese (Doutorado em Engenharia Mecanica) - Universidade Federal de Santa Catarina, Florianopolis, 2001.

TACHIZAWA, T; SACAICO, O. Organizacao Flexivel: qualidade na gestao por processos. Sao Paulo: Atlas, 1997.

TENNER, A. R., DE TORO, I. J.; Process Redesign. Massachussets: Addison Wesley Longman, 1997.

VIEIRA, Marconi Fabio. Gerenciamento de projetos de tecnologia da informacao. Rio de Janeiro: Campus, 2003. 294 p.

WESNER, J.W.; HIATT, J. M.; TRIMBLE, D.C. Winning with Quality: applying quality principles in product development. Massachusetts: Addison-Wesley, 199

Writing Services

Essay Writing
Service

Find out how the very best essay writing service can help you accomplish more and achieve higher marks today.

Assignment Writing Service

From complicated assignments to tricky tasks, our experts can tackle virtually any question thrown at them.

Dissertation Writing Service

A dissertation (also known as a thesis or research project) is probably the most important piece of work for any student! From full dissertations to individual chapters, we’re on hand to support you.

Coursework Writing Service

Our expert qualified writers can help you get your coursework right first time, every time.

Dissertation Proposal Service

The first step to completing a dissertation is to create a proposal that talks about what you wish to do. Our experts can design suitable methodologies - perfect to help you get started with a dissertation.

Report Writing
Service

Reports for any audience. Perfectly structured, professionally written, and tailored to suit your exact requirements.

Essay Skeleton Answer Service

If you’re just looking for some help to get started on an essay, our outline service provides you with a perfect essay plan.

Marking & Proofreading Service

Not sure if your work is hitting the mark? Struggling to get feedback from your lecturer? Our premium marking service was created just for you - get the feedback you deserve now.

Exam Revision
Service

Exams can be one of the most stressful experiences you’ll ever have! Revision is key, and we’re here to help. With custom created revision notes and exam answers, you’ll never feel underprepared again.