Se você fosse Auditor de TI de uma empresa de aviação civil (GOL), que níveis de maturidade você cobraria para cada um dos 7 processos de Aquisição e Implementação ?
Desculpem-em pelas exclusões. Minhas participações nos blogs imitam os exames clínicos matinais: as primeiras "amostras" sempre acabam sendo descartadas...
Bom, baseado na necessidade do setor em ter máxima segurança em todos os seus procedimentos, e considerando que o que mantém, grosso modo, um avião voando é o que também pode derrubá-lo - muita tecnologia embarcada - arrisco dizer que todos os processos deveriam ter, ao mínimo, grau de maturidade 4 (medidos e gerenciados).
Em complemento, a extrema competitividade do setor e a facilidade de se recorrer a concorrentes diretos (TAM, Ocean Air, Webjet etc) induzem-me a elevar a exigência (ao nível 5) para os processos que geram informações diretamente relacionadas à satisfação percebida do cliente, considerando que as concorrentes mencionadas também têm uma preocupação extrema com este ponto. Ou seja, seria bem razoável desejar estar, no mínimo, igualado à concorrência. Nunca atrás.
Por outro lado, considerando que um processo-insumo com baixa maturidade pode deteriorar a maturidade daquele processo que o recebe, e os processos de aquisição e implementação recebem insumos de processos dos outros três domínios, é relevante lembrar que a exigência de um nível tão alto para o domínio AI ensejaria a necessidade de toda a governança de TI, praticamente, possuir alto nível de maturidade (o que é positivo, porém caro e trabalhoso).
Assim, supostamente coerente com os critérios acima, elenco os níveis que eu exigiria (em parênteses):
:: AI1 - Identificar Soluções Automatizadas (5) Qualquer redução viável de custo oferece vantagem competitiva no setor, para a Gol em especial, que tem, nisso, sua core competence.
:: AI2 - Adquirir/Manter Software Aplicativo (5) Qualquer indisponibilidade no website, por exemplo, pode "empurrar" para a concorrência clientes que estejam pesquisando passagens.
:: AI3 - Adquirir/Manter Infraestrutura de Tecnologia (5) A estratégia da GOl, que busca reduzir ao máximo a ociosidade de seus aviões (redução de custo), aumenta a exigência necessária sobre os objetivos de controle. Discordo, inclusive, que as faces "risk management" e "performance measurement" do diamante não estejam também marcadas na explicação deste processo.
:: AI4 - Habilitar Operação e Uso (4) O nível 4 é suficiente neste processo.
:: AI5 - Adquirir Recursos de TI (4) Embora também seja um processo muito importante, acredito que não haja necessidade de, por exemplo, medir a qualidade do relacionamento com fornecedores (característica do nível 5 de maturidade).
:: AI6 - Gerenciar Mudanças (5) A resiliência da empresa e de sua TI deve acompanhar o que há de melhor no mercado. Além disso, como a GOL deve utilizar um pouco de raciocínio baseado em casos (RBC), a capacidade de identificar oportunidades de aprendizado e, de fato, aprender, deve ser significativa.
:: AI7 - Instalar e Homologar Soluções e Mudanças (5) Aqui, pus 5 pois testar e validar aplicativos em companhias aéreas deve ser muito caro e repleto de riscos. Além disso, penso que testes de estresse devem ser sempre aplicados (o que contraria a permissão dada pelo nível 4).
Bom dia! Não conheço ainda em detalhe cada nível de maturidade do COBIT, mas arriscaria a dizer que como metodologia de auditoria seria importante observar que, apesar de o modelo de maturidade do CobiT apresentar 5 níveis, é necessário ter cuidado ao classificar cada processo de TI nesta escala, uma vez que um mesmo processo pode apresentar níveis diferenciados de maturidade, dependendo do atributo de maturidade avaliado. Por outro lado, o CobiT considera que os objetivos de TI são meios para alcançar os objetivos de negócio. Neste caso, a organização deve se autoavaliar e submeter seu resultado a um benchmarking, definindo estrategicamente que nível deve buscar em cada processo CobiT. Com isso, a auditoria interna da organização deve coletar evidências no sentido de avaliar se os requisitos necessários para alcançar os níveis almejados para cada um dos 7 processos estão sendo cumpridos.
Arriscando mais ainda, eu pediria nível 5 baseado que uma falha nos sistemas da Gol pode causar um acidente com graves conseqüências para a empresa como: despesas com a reparação civil do dano, pensão aos familiares de eventuais vítimas, perda de mercado para a concorrência e até mesmo perda da licença para operação, que podem acarretar a descontinuidade das operações da empresa.
Em conformidade com o ITGI (IT Governance Institute) os processos “ADQUIRIR e IMPLEMENTAR”, são compostos por 7 processos os quais tem em seus principais requisitos de negócio : (COBIT 4.1 Português, p. 75 a 102) :
• AI1 - Identificar Soluções Automatizadas; o Eficácia • AI2 - Adquirir e Manter Software Aplicativo; o Eficácia, Eficiência • AI3 - Adquirir e Manter infraestrutura de Tecnologia; o Eficiência • AI4 - Habilitar Operação e Uso; o Eficácia, Eficiência • AI5 - Adquirir Recursos de TI; o Eficiência • AI6 - Gerenciar Mudanças; o Eficácia, Eficiência, Integridade e Disponibilidade • AI7 - Instalar e Homologar Soluções e Mudanças. o Eficácia
Assim como os demais processos do COBIT, seus níveis de maturidade podem ser respectivamente:
• 0 – Inexistente; • 1 – Inicial/ Ad hoc; • 2- Repetível, porém Intuitivo; • 3 – Processo Definido; • 4 - Gerenciado e Mensurável; • 5- Otimizado.
Sendo assim, ao analisar apenas os processos a luz da questão onde temos uma situação ótima de maturidade onde a principio o ideal seria ter sempre nível 5, mas que estes níveis implicam em investimentos e tempo das operações diárias da empresa as quais nem sempre podem agregar real valor a operação, acredito que seja razoável propor os seguintes níveis de maturidade:
• AI1 - Identificar Soluções Automatizadas(4); o Buscar soluções de forma consistente é uma das formas da TI prover sustentabilidade e até em alguns casos tornar-se habilitadora de novas oportunidades (VENKATRAMAN, 1999) daí a necessidade de termos neste processo no mínimo o nível 4 de maturidade • AI2 - Adquirir e Manter Software Aplicativo(4); o A decisão de adquirir e manter tem que ser tomada de uma forma muito consciente, pois requer normalmente estratégias de longo prazo, pois, determina um período de convivência com a tecnologia adotada no software ou com o fornecedor que nem sempre poderá ser rompida sem perda de investimento. • AI3 - Adquirir e Manter infraestrutura de Tecnologia(5); o Quando trata da infraestrutura o processo de aquisição não pode apenas contemplar as necessidades atuais da corporação, na maioria dos casos exige um exercício de “futurologia” , pois, é necessário projetar necessidades futuras, mensurar viabilidades tecnologias e de uma forma ou de outra manter uma orientação tecnologia dentro de padrões definidos, pois, não poderemos mudar de direção ao sabor de qualquer inovação, sem perder de vista o fato que a infraestrutura é certamente um fator que habilita ou restringe a utilização de soluções de software. • AI4 - Habilitar Operação e Uso(3); o Neste processo esta contido os treinamentos e documentações referentes aos softwares. No novel 3 apresenta já dispositivos considerados em minha opinião suficientes para transcorrer dentro de sua normalidade sem impactos a operação. • AI5 - Adquirir Recursos de TI(3); o Os processos de aquisição em grandes companhias em geral são bastante maduros, inclusive a TI tem pouco ou quase nada a contribuir para esta questão, atualmente muito bem gerenciada em empresas privadas, sendo necessária apenas a observância de questões técnicas e preço e não apenas preço no processo final de aquisição, sendo assim o nível 3 estaria suficiente.. • AI6 - Gerenciar Mudanças(5); o Este em minha opinião é o processo de maior importância e o que deve ser amadurecido em primeiro lugar dentre os demais, pois, este processo é o “kernel” da questão e o grande direcionador dos demais. Este processo é capaz de transformar em sucesso ou catástrofe qualquer projeto e em minha opinião tem que ser 5. Sem contar o fato de que deve ser acompanhado pela gestão de TI com grande atenção. • AI7 - Instalar e Homologar Soluções e Mudanças(4). o Este termina sendo um desdobramento ou a execução propriamente dita do que foi definido no processo anterior, necessita de um bom grau de maturidade, logo minha sugestão é que seja nível 4.
Embora nem todos os processo tenham sido sugeridos ao nível 5, acredito que a obtenção de tais níveis de maturidade ao longo do tempo tende a evoluir naturalmente na medida que os demais processos tornam-se naturalmente executados.
É natural que cada um tenha um entendimento diferenciado, seja muito ou pouco em relação as níveis sugeridos acima, pois, ao decidir estas questões trazemos a vivencia de experiências anteriores e a expectativa do que seja o ambiente de uma companhia aérea.
Lembro aqui que estou partindo de alguns pressupostos, nos quais não estão considerados os sistemas de navegação das aeronaves, pois, considero estes como sendo sistemas embarcados e já inclusos e sujeitos a rigorosos testes pelo próprio fornecedor das aeronaves. Os controle de trafego por estarem sob a responsabilidade de Força Aérea Brasileira e/ou Infraero. Sendo assim, de uma forma geral sobram CRM, ERP e sistemas de backoffice e venda de passagem.
PS. O COBIT 4.1 em português poderá ser baixado gratuitamente em sua versão traduzida para o português ou em outros idiomas no site:
Como auditor de TI da empresa aérea GOL, fui ao seu site à procura de informações que pudessem me ajudar a identificar as prioridades relacionadas à aquisição e implementação de bens e serviços de tecnologia da informação.
Lá está escrito que “o modelo de negócios da GOL é baseado em estruturas, sistemas e controles que privilegiam a qualidade dos serviços, a alta tecnologia, a segurança e a padronização da frota, bem como a motivação e a produtividade de sua equipe....”. Consta, ainda, que a empresa tem como um de seus valores a inovação, onde “... com simplicidade, ... procuram uma nova maneira de atender e encantar o cliente com excelência...”.
Após esse breve levantamento, e tendo em vista que o processo de Aquisição e Implementação do COBIT (Control Objectives for Information and Related Tecnology) é importante porque “provê soluções de tecnologia da informação e as transfere para tornarem-se serviços” (ref. COBIT 4.1 traduzido, pg. 16), sugiro que os seguintes níveis de maturidade sejam buscados: AI1 – Identificar Soluções Automatizadas -> 5 Requer que a área de TI possua um processo de identificação e avaliação de soluções de TI em contínuo aperfeiçoamento, de modo a responder rapidamente às exigências do negócio. AI2 – Adquirir e Manter Softwares Aplicativos -> 5 As práticas de aquisição e manutenção de software de aplicação devem estar alinhadas e rapidamente em que ser ajustadas às necessidades do negócio. AI3 – Adquirir e Manter Infraestrutura de Tecnologia - > 5 O processo de aquisição e manutenção de infraestrutura tecnológica deve ser proativo e bem alinhado com as aplicações de negócio críticas. AI4 – Habilitar Operação e Uso - > 3 Nesse caso considero que um nível de maturidade menor não inviabiliza o nível de excelência da empresa, mesmo porque grande parte dos serviços atingidos por esse processo são oferecidos por parceiros (agências de viagem). AI5 – Adquirir Recursos de TI -> 5 Numa empresa aérea esse processo deve ser o mais maduro possível, haja vista a necessidade constante de aquisição tecnológica. AI6 – Gerenciar Mudanças -> 5 AI7 – Instalar e Validar Soluções e Mudanças -> 5 Os processos de instalação e validação devem ser melhorados continuamente. Os processos de instalação e validação devem estar completamente integrados ao ciclo de vida do sistema e automatizados, facilitando o treinamento, o teste e a migração para produção mais eficiente dos novos sistemas.
Ou seja, uma empresa aérea, que possui diversos serviços sediados exclusivamente em computador deve possuir o mais alto grau de maturidade em suas aquisições e implementações, pois qualquer indisponibilidade causa prejuízos milionários à empresa e partes interessadas.
AI1 :: Identificar soluções automatizadas. Nível: 05 As soluções de TIC devem ser identificadas com o objetivo de serem integradas aos processos de negócio, a fim de manter vantagem ou diferencial competitivo.
AI2 :: Adquirir e manter aplicações de software / AI3 :: Adquirir e manter infraestrutura tecnológica Nível: 05 (para ambas) O ambiente tecnológico deve ser implementado e mantido de forma a suportar todas as operações da empresa. Este quadro se torna ainda mais evidente quando o foco são empresas aeroviárias.
AI4 :: Habilitar operação e uso Nível: 05 A efetividade dos processos está diretamente relacionada ao conhecimento na utilização dos sistemas envolvidos. Apesar da presença de documentações e manuais, existe a importância do treinamento para assegurar o uso apropriado das infraestruturas física e lógica.
AI5 :: Aquisição de recursos de TI Nível: 04
AI6 :: Gerenciar mudanças Nível: 05 Os esforços são direcionados para que as mudanças possam ser realizadas sem causar problemas nas operações atuais.
AI7 :: Instalar e homologar mudanças e soluções Nível: 04
Acredito que os processos deste domínio deveriam estar pelo menos com no nível 3, por se tratar de uma empresa com atividades onde o risco deve ser bastante mitigado. Em minha opinião, o ideal seria que a maiorias dos processos estivessem enquadradas num mesmo nível de maturidade para que o fluxo de informação (estradas e saídas) de cada um mantenha balanceamento adequado, podendo processar suas entradas e gerar suas saídas de forma compatível. Assim, eu pensaria da seguinte forma: AI1 – Identificação de soluções automatizadas: nível 3 – onde os gerentes de negócio e de TI devem estar comprometidos e envolvidos com regras e responsabilidades do planejamento bem definidas; AI2– Aquisição e manutenção de aplicações de software e AI3 – Aquisição e manutenção de infra-estrutura tecnológica: nível 3 - Os processos referentes ao SLA devem estar instalados e com pontos de controle de reavaliação de níveis de serviço, em condição de satisfazer o cliente. AI4 – Habilidade da operação e uso dos recursos de TI: nível 4 – Exigência de processos internalizados e repetitivos, com medidas de eficiência e efetividade. AI5 – Aquisição dos recursos de TI: nível 4 - Medidas de desempenho devem refletir cada vez mais as necessidades do usuário final e não somente os objetivos de TI.
AI6 – Gerência de mudanças: nível 4 – gerenciamento e métricas devem estar padronizados, com formalização e divulgação das melhorias do processo. AI7 – Instalação, créditos da solução de mudanças: nível 3 – procedimentos de treinamento e testes bem definidos.
AI1- Identificar soluções automatizadas - Nível: 05 Para o setor de aviação civil as soluções automatizadas são essenciais para manter a vantagem competitiva.
AI2 - Adquirir e manter aplicações de software - Nível: 05 Com sistema de compra/venda de passagens praticamente todo online é preciso que mantenha-se a resiliência do sistema.
AI3 - Adquirir e manter infraestrutura tecnológica - Nível: 05 Manter um ambiente tecnológico que seja ao mesmo tempo flexível (dada à dinâmica do setor) e confiável (grande dependência tecnológica).
AI4 - Habilitar operação e uso - Nível: 04 Um nível de maturidade 4 seria o ideal, para garantir a eficiência e eficácia dos processos.
AI5 - Aquisição de recursos de TI - Nível: 05 A aquisição de recursos de TI exige um nível maior de maturidade nesse setor, pois como colocado anteriormente, existe uma forte dependência dos recursos de TI e as novas aquisições devem atender a essas expectativas.
AI6 - Gerenciar mudanças - Nível: 04 As mudanças devem ser realizadas sem causar indisponibilidades nas operações e sem atrapalhar sistemas atuais.
AI7 - Instalar e homologar mudanças e soluções - Nível: 04 Viabilizar as alterações com níveis mínimos de indisponibilidade.
Participei de um treinamento denominado "airport simulation" e, nele, simulava-se a aplicação de melhores práticas ITIL para promover correções em operações aeroportuárias que apresentavam alguns problemas. Era emblemático o grande prejuízo gerado por atrasos, pois facilmente criava-se um efeito dominó e todos os vôos seguintes eram prejudicados. Os custos de operação de uma empresa aérea e de utilização das instalações/serviços num aeroporto são muito altos.
Durante os exercícios, percebia-se claramente a importância de processos relacionados aos AI2 - Adquirir e Manter Software Aplicativo, AI3 - Adquirir e Manter Infraestrutura Tecnológica, AI6 - Gerenciar Mudanças e AI7 - Instalar e Homologar Soluções e Mudanças. Os principais objetivos eram otimizar os processos, evitar indisponibilidades e implantar mudanças adequadamente (no momento mais propício, no menor tempo possível, com segurança e sem ocorrência de efeitos colaterais negativos).
Somando-se isso às características de inovação da empresa, maior maturidade no processo AI1 - Identificar Soluções Automatizadas permitirá que continue a aumentar sua competitividade por meio de diferenciais que tenham como base o uso de tecnologia da informação.
Assim, minha sugestão de níveis mínimos de maturidade para os processos de Aquisição e Implementação seria:
Como auditor de empresa Gol, o primeiro passo seria identificar e avaliar o grau de maturidade dos concorrentes. Com essa informação, já consigo identificar se a "imaturidade" de um processo da Gol poderá gerar a evasão de clientes para o concorrente.
AI1 Identificar Soluções Automatizadas: - Nível 3. - O nível 5 é sempre desejável, porém ter um processo instituido para buscar soluções automatizadas na empresa, já pode gerar bons resultados. Não vejo ganhos significativos neste processo em relação aos níveis 3 e 5.
AI2 Adquirir e Manter Software Aplicativo: - Nível 3 - Não considero a manutenção de softwares aplicativos como um processo crítico, apesar da sua grande importância para a continuidade dos serviços de agilidade o negócio. Ter um processo definido já proporciona bons resultados.
AI3 Adquirir e Manter infraestrutura de Tecnologia: - Nível 5 - Acredito que esse processo seja determinante para todos outros, pois uma diretiva de aquisição e manutenção errônea poderá impactar negativamente nos processos AI4, AI5 e AI7. AI4 Habilitar Operação e Uso: - Nível 3 - Possuir um processo instituido para habilitar operação e uso já atenderia.
AI5 Adquirir Recursos de TI: - Nível 3 - Acredito que o departamento de TI oferece sua contribuição orientado na busca da melhor solução, requisitos tecnicos, viabilidade econômica e um grande relacionamento junto aos potenciais fornecedores. Não é o caso deste exemplo, mas se a aquisição for por meio de licitação, o papel da TI se restringiria em sugestão da solução e contribuição dos requisitos técnicos para elaboração do edital de licitação, com uma tendência ao grau de maturidade de nível 1 a 2.
AI6 Gerenciar Mudanças: - Nível 4 - Ter este processo bem estruturado e buscar a melhoria neste processo faz com que a empresa tenha a agilidade em responder as mudanças.
AI7 Instalar e Homologar Soluções e Mudanças. - Nível 5 - Considero o processo extremamente critico, a indisponibilidade dos serviços de TI pode gerar descontinuidade dos serviços, e consequentemente gerar um impacto negativo na imagem da empresa, além de multas e custos com indenizações à passageiros.
- Exemplo do problema que a TAM enfrentou ao migrar seu sistema de gestão de passageiros:
Notícia Publicada em 19 de novembro de 2009 às 11h10 pela CIO Brasil. Acesso: http://cio.uol.com.br/gestao/2009/11/19/tam-enfrenta-problemas-apos-migracao-do-sistema-de-gestao-de-passageiros/
- TAM enfrenta problemas após migrar sistema para gestão de passageiros - A interrupção do sistema de check-in, que provocou atrasos em voos de todo o País na manhã desta quinta-feira, acontece quatro dias após a empresa concluir a transição para a plataforma Amadeus
De acordo com o último relatório da Infraero, divulgado às 18 horas, dos 587 voos da TAM programados, 236 (40,2%) atrasaram e 25 (4,3%) foram cancelados. Fonte: Folha onLine
Considero que ascender na escala de maturidade custa muito de esforço e dinheiro.
Acho também que uma das grandes vantagens de se avaliar o nível de maturidade de uma organização, além de poder mapear a situação atual da organização, é a de ter condições de se comparar com as melhores organizações no seu segmento de atuação (benchmark).
Como auditor, incentivaria a empresa a adotar uma estratégia de efetivo monitoramento da concorrência para se estabelecer limites míninos necessários do nível de maturidade para cada processo de Aquisição e Implementação.
Sendo “NMC” o “Nível de Maturidade da Concorrência” e “NMG” o "Nível de Maturidade da GOL", aplicaria para cada processo as seguintes regras: Nível inaceitável NMG < NMC Nível mínimo NMG = NMC Nível desejável 5 < NMG > NMC Nível almejado NMG = 5
Acho também que somente este tipo de visão não bastaria. Atuaria também na identificação de especificidades internas da organização que resultassem na entrega de insumos "ruins" e nas possíveis "distorções" dos níveis de maturidade (entre um processo e outro por exemplo) praticados pelo mercado.
Bem, como vimos em aula o melhor dos mundos seria que todos os processos tivessem nível 5, e que para chegar neste nível em cada um dos processos o esforço e complexidade é grande para implementá-lo, portanto mesmo sabendo desta dificuldade e que poucos empresas chegam e um nível como esse, como auditor de uma empresa de aviação cobraria maior eficiência/eficácias dos processos AI6 e AI7.
• AI1 - Identificar Soluções Automatizadas: Nivel 3 • AI2 - Adquirir e Manter Software Aplicativo: Nivel 3 • AI3 - Adquirir e Manter infraestrutura de Tecnologia: Nivel 3 • AI4 - Habilitar Operação e Uso: Nivel 4 • AI5 - Adquirir Recursos de TI: Nivel 3 • AI6 - Gerenciar Mudanças: 5 (Otimizado); • AI7 - Instalar e Homologar Soluções e Mudanças: 5
No caso em concreto, a questão pede uma solução de maturidade para os sete processos acima descritos, em se os aplicando em uma companhia aérea de aviação civil, mais especificamente, a GOL LINHAS AÉREAS INTELIGENTES S/A.
Obviamente, em se tratando de uma empresa de aviação civil, a segurança deve primar pela excelência; o controle deve ser rigoroso e os investimentos de acordo com o potencial de crescimento da organização.
E, como a empresa em questão trabalha quase que com a totalidade de suas vendas por meio eletrônico, a tecnologia da informação deve ser o ponto mais apurado em seu negócio.
Partindo dessas premissas - e considerando que não fora questionado em qual momento ser-lhe-á cobrado -, entendo que os níveis de maturidade elencados podem se apresentar da forma seguinte:
• AI1 - Identificar Soluções Automatizadas: nível 4 - Gerenciado e Mensurável; • AI2 - Adquirir e Manter Software Aplicativo: nível 4 - Gerenciado e Mensurável; • AI3 - Adquirir e Manter infraestrutura de Tecnologia: nível 5 - Otimizado; • AI4 - Habilitar Operação e Uso: nível 3 - Definido; • AI5 - Adquirir Recursos de TI - nível 5 - Otimizado; • AI6 - Gerenciar Mudanças: nível 5 - Otimizado; e • AI7 - Instalar e Homologar Soluções e Mudanças: nível 4 - Gerenciado e Mensurável.
Inicialmente, deve ser levado em consideração a realidade do poder de resposta da empresa a cobrança imposta pela auditoria. Isso porque é desejável que a empresa possua nível 5 (otimizado) para grande parte dos objetivos de controle de alto nível, porém acredito que seja tão importante quanto, a empresa possuir níveis mais reais de serem atingidos, mas tendo como parte do seu plano estratégico a melhoria contínua dessa classificação. Dessa forma, sugiro a seguinte classificação:
AI1 - Identificar Soluções Automatizadas -> 03 AI2 - Adquirir e manter aplicações de software -> 03 AI3 - Adquirir e manter infra-estrutura tecnológica -> 03 AI4 - Habilitar operação e uso -> 03 AI5 - Aquisição de recursos de TI - Nível: 02 AI6 - Gerênciar mudanças -> 03 AI7 - Instalar e homologar mudanças e soluções -> 02
Sugeriria nível 3 para os processos AI1, AI2, AI3, AI4 e AI6 por estarem relacionados aos negócios oferecidos pela empresa. Como bem sabemos, o negócio de uma companhia aérea, atualmente, está integrado à TI, sendo inclusive dependente da mesma para prosseguir com poder competitivo no mercado. Assim, processos relacionados às soluções tecnológicas necessitam de tratamento diferenciado, devendo ser o carro chefe no que diz respeito a maturidade.
Com a abertura de seu capital (bolsa) no ano de 2004 a GOL passou por um processo de redesenho de todos os fluxos de TI. Diante dessa afirmação é interessante entendermos que empresas que possuem ações em bolsas passarão por processo de auditoria constante e com certeza ferramentas que nos ajudarão a responder vários requisitos de segurança, transparência, controles e outros deverão ser utilizadas. Empresas como a GOL que possui o seu capital aberto, assim como outras muitas no Brasil, estão sujeitas a lei Sarbanes-Oxley, SOX, que foi aprovada em 2002 pelo governo americano voltada principalmente as companhias de capital aberto com ações nas bolsas, lei que possui 11 seções que são direcionadas principalmente à responsabilidade penal da diretoria. Tomando o cenário acima que é real, eu como auditor da GOL linhas aéreas (que é irreal), e com dinheiro suficiente para implantação, entendo que o nível de maturidade em todos os processo de aquisição e implementação deveria chegar próximo do Maximo. Entendo que não é um processo tão simples. Estive no ano de 2007 no processo de revisão do nível de maturidade de gestão de armazenamento de dados da Petrobras e posso afirmar, de fato, que não é um processo simples. Minhas sugestões: Al1 – Identificar Soluções Automatizadas – 4 AI2 – Adquirir e Manter Software Aplicativo – 4 AI3 – Adquirir e Manter Infraestrutura de Tecnologia – 5 AI4 – Habilitar Operação e Uso – 5 AI5 – Adquirir Recursos de TI – 5 AI6 – Gerenciar Mudanças – 5 AI7 – Instalar e Homologar Soluções e Mudanças – 5
Os níveis são os seguintes: 0 – Não existe 1 – Inicial 2 – Repetitivo 3 – Processo definido 4 - Medido e Gerenciado 5 – Otimizado.
Bem, considerando uma companhia aérea, com suas especificidades e desafios, e a grande dificuldade de se atingir o nível 5 de maturidade (poucas a possuem, como vimos em sala de aula), tentaria ser o mais pragmático possível na cobrança. Assim sendo, Para:
AI1– Identificar Soluções Automatizadas: Definido. Aqui, a empresa deverá conhecer bem a sua necessidade, e testar exaustivamente soluções existentes.
AI2 – Adquirir e Manter Softwares Aplicativos: Repetitivo. Uma vez identificada a solução, o processo de compra é padronizado e pouco complexo (para softwares de prateleira). Caso tenha sido adquirida uma solução customizada a qual a empresa aérea será a responsável pela manutenção, o nível de maturidade desejável é Definido.
AI3 – Adquirir e Manter Infraestrutura de Tecnologia: Definido. Esta talvez seja um dos pontos mais críticos para o negócio da GOL (hoje praticamente habilitado por TI). Uma falha neste processo poderia significar prejuízos significativos.
AI4 – Habilitar Operação e Uso: Repetitivo. Obviamente este não é o ideal, mas considerando que na prática é suficiente que o conhecimento de uso esteja na mente dos profissionais (apesar do grande risco), pode-se cobrar este nível de maturidade, mas orientando que seja atualizado para Definido em uma próxima auditoria.
AI5 – Adquirir Recursos de TI: Definido. Este também é crítico para a saúde dos negócios, portanto a cobrança deste nível.
AI6 – Gerenciar Mudanças: Definido. Crítico para os negócios, é necessário que todas as soluções de TI, incluindo sua infraestrutura, possam ser minuciosamente gerenciados, havendo processo bem definido para controle das mudanças.
AI7 – Instalar e Validar Soluções e Mudanças. Definido. O processo AI7 deverá acompanhar o nível de maturidade anterior.
Este comentário foi removido pelo autor.
ResponderExcluirEste comentário foi removido pelo autor.
ResponderExcluirDesculpem-em pelas exclusões. Minhas participações nos blogs imitam os exames clínicos matinais: as primeiras "amostras" sempre acabam sendo descartadas...
ResponderExcluirBom, baseado na necessidade do setor em ter máxima segurança em todos os seus procedimentos, e considerando que o que mantém, grosso modo, um avião voando é o que também pode derrubá-lo - muita tecnologia embarcada - arrisco dizer que todos os processos deveriam ter, ao mínimo, grau de maturidade 4 (medidos e gerenciados).
Em complemento, a extrema competitividade do setor e a facilidade de se recorrer a concorrentes diretos (TAM, Ocean Air, Webjet etc) induzem-me a elevar a exigência (ao nível 5) para os processos que geram informações diretamente relacionadas à satisfação percebida do cliente, considerando que as concorrentes mencionadas também têm uma preocupação extrema com este ponto. Ou seja, seria bem razoável desejar estar, no mínimo, igualado à concorrência. Nunca atrás.
Por outro lado, considerando que um processo-insumo com baixa maturidade pode deteriorar a maturidade daquele processo que o recebe, e os processos de aquisição e implementação recebem insumos de processos dos outros três domínios, é relevante lembrar que a exigência de um nível tão alto para o domínio AI ensejaria a necessidade de toda a governança de TI, praticamente, possuir alto nível de maturidade (o que é positivo, porém caro e trabalhoso).
Assim, supostamente coerente com os critérios acima, elenco os níveis que eu exigiria (em parênteses):
:: AI1 - Identificar Soluções Automatizadas (5)
Qualquer redução viável de custo oferece vantagem competitiva no setor, para a Gol em especial, que tem, nisso, sua core competence.
:: AI2 - Adquirir/Manter Software Aplicativo (5)
Qualquer indisponibilidade no website, por exemplo, pode "empurrar" para a concorrência clientes que estejam pesquisando passagens.
:: AI3 - Adquirir/Manter Infraestrutura de Tecnologia (5)
A estratégia da GOl, que busca reduzir ao máximo a ociosidade de seus aviões (redução de custo), aumenta a exigência necessária sobre os objetivos de controle. Discordo, inclusive, que as faces "risk management" e "performance measurement" do diamante não estejam também marcadas na explicação deste processo.
:: AI4 - Habilitar Operação e Uso (4)
O nível 4 é suficiente neste processo.
:: AI5 - Adquirir Recursos de TI (4)
Embora também seja um processo muito importante, acredito que não haja necessidade de, por exemplo, medir a qualidade do relacionamento com fornecedores (característica do nível 5 de maturidade).
:: AI6 - Gerenciar Mudanças (5)
A resiliência da empresa e de sua TI deve acompanhar o que há de melhor no mercado. Além disso, como a GOL deve utilizar um pouco de raciocínio baseado em casos (RBC), a capacidade de identificar oportunidades de aprendizado e, de fato, aprender, deve ser significativa.
:: AI7 - Instalar e Homologar Soluções e Mudanças (5)
Aqui, pus 5 pois testar e validar aplicativos em companhias aéreas deve ser muito caro e repleto de riscos. Além disso, penso que testes de estresse devem ser sempre aplicados (o que contraria a permissão dada pelo nível 4).
Bom dia! Não conheço ainda em detalhe cada nível de maturidade do COBIT, mas arriscaria a dizer que como metodologia de auditoria seria importante observar que, apesar de o modelo de maturidade do CobiT apresentar 5 níveis, é necessário ter cuidado ao classificar cada processo de TI nesta escala, uma vez que um mesmo processo pode apresentar níveis diferenciados de maturidade, dependendo do atributo de maturidade avaliado.
ResponderExcluirPor outro lado, o CobiT considera que os objetivos de TI são meios para alcançar os objetivos de negócio. Neste caso, a organização deve se autoavaliar e submeter seu resultado a um benchmarking, definindo estrategicamente que nível deve buscar em cada processo CobiT. Com isso, a auditoria interna da organização deve coletar evidências no sentido de avaliar se os requisitos necessários para alcançar os níveis almejados para cada um dos 7 processos estão sendo cumpridos.
Arriscando mais ainda, eu pediria nível 5 baseado que uma falha nos sistemas da Gol pode causar um acidente com graves conseqüências para a empresa como: despesas com a reparação civil do dano, pensão aos familiares de eventuais vítimas, perda de mercado para a concorrência e até mesmo perda da licença para operação, que podem acarretar a descontinuidade das operações da empresa.
Este comentário foi removido pelo autor.
ResponderExcluirEm conformidade com o ITGI (IT Governance Institute) os processos “ADQUIRIR e IMPLEMENTAR”, são compostos por 7 processos os quais tem em seus principais requisitos de negócio : (COBIT 4.1 Português, p. 75 a 102) :
ResponderExcluir• AI1 - Identificar Soluções Automatizadas;
o Eficácia
• AI2 - Adquirir e Manter Software Aplicativo;
o Eficácia, Eficiência
• AI3 - Adquirir e Manter infraestrutura de Tecnologia;
o Eficiência
• AI4 - Habilitar Operação e Uso;
o Eficácia, Eficiência
• AI5 - Adquirir Recursos de TI;
o Eficiência
• AI6 - Gerenciar Mudanças;
o Eficácia, Eficiência, Integridade e Disponibilidade
• AI7 - Instalar e Homologar Soluções e Mudanças.
o Eficácia
Assim como os demais processos do COBIT, seus níveis de maturidade podem ser respectivamente:
• 0 – Inexistente;
• 1 – Inicial/ Ad hoc;
• 2- Repetível, porém Intuitivo;
• 3 – Processo Definido;
• 4 - Gerenciado e Mensurável;
• 5- Otimizado.
Sendo assim, ao analisar apenas os processos a luz da questão onde temos uma situação ótima de maturidade onde a principio o ideal seria ter sempre nível 5, mas que estes níveis implicam em investimentos e tempo das operações diárias da empresa as quais nem sempre podem agregar real valor a operação, acredito que seja razoável propor os seguintes níveis de maturidade:
• AI1 - Identificar Soluções Automatizadas(4);
o Buscar soluções de forma consistente é uma das formas da TI prover sustentabilidade e até em alguns casos tornar-se habilitadora de novas oportunidades (VENKATRAMAN, 1999) daí a necessidade de termos neste processo no mínimo o nível 4 de maturidade
• AI2 - Adquirir e Manter Software Aplicativo(4);
o A decisão de adquirir e manter tem que ser tomada de uma forma muito consciente, pois requer normalmente estratégias de longo prazo, pois, determina um período de convivência com a tecnologia adotada no software ou com o fornecedor que nem sempre poderá ser rompida sem perda de investimento.
• AI3 - Adquirir e Manter infraestrutura de Tecnologia(5);
o Quando trata da infraestrutura o processo de aquisição não pode apenas contemplar as necessidades atuais da corporação, na maioria dos casos exige um exercício de “futurologia” , pois, é necessário projetar necessidades futuras, mensurar viabilidades tecnologias e de uma forma ou de outra manter uma orientação tecnologia dentro de padrões definidos, pois, não poderemos mudar de direção ao sabor de qualquer inovação, sem perder de vista o fato que a infraestrutura é certamente um fator que habilita ou restringe a utilização de soluções de software.
• AI4 - Habilitar Operação e Uso(3);
o Neste processo esta contido os treinamentos e documentações referentes aos softwares. No novel 3 apresenta já dispositivos considerados em minha opinião suficientes para transcorrer dentro de sua normalidade sem impactos a operação.
• AI5 - Adquirir Recursos de TI(3);
o Os processos de aquisição em grandes companhias em geral são bastante maduros, inclusive a TI tem pouco ou quase nada a contribuir para esta questão, atualmente muito bem gerenciada em empresas privadas, sendo necessária apenas a observância de questões técnicas e preço e não apenas preço no processo final de aquisição, sendo assim o nível 3 estaria suficiente..
• AI6 - Gerenciar Mudanças(5);
o Este em minha opinião é o processo de maior importância e o que deve ser amadurecido em primeiro lugar dentre os demais, pois, este processo é o “kernel” da questão e o grande direcionador dos demais. Este processo é capaz de transformar em sucesso ou catástrofe qualquer projeto e em minha opinião tem que ser 5. Sem contar o fato de que deve ser acompanhado pela gestão de TI com grande atenção.
• AI7 - Instalar e Homologar Soluções e Mudanças(4).
o Este termina sendo um desdobramento ou a execução propriamente dita do que foi definido no processo anterior, necessita de um bom grau de maturidade, logo minha sugestão é que seja nível 4.
Continua no próximo post....
Embora nem todos os processo tenham sido sugeridos ao nível 5, acredito que a obtenção de tais níveis de maturidade ao longo do tempo tende a evoluir naturalmente na medida que os demais processos tornam-se naturalmente executados.
ResponderExcluirÉ natural que cada um tenha um entendimento diferenciado, seja muito ou pouco em relação as níveis sugeridos acima, pois, ao decidir estas questões trazemos a vivencia de experiências anteriores e a expectativa do que seja o ambiente de uma companhia aérea.
Lembro aqui que estou partindo de alguns pressupostos, nos quais não estão considerados os sistemas de navegação das aeronaves, pois, considero estes como sendo sistemas embarcados e já inclusos e sujeitos a rigorosos testes pelo próprio fornecedor das aeronaves.
Os controle de trafego por estarem sob a responsabilidade de Força Aérea Brasileira e/ou Infraero.
Sendo assim, de uma forma geral sobram CRM, ERP e sistemas de backoffice e venda de passagem.
PS. O COBIT 4.1 em português poderá ser baixado gratuitamente em sua versão traduzida para o português ou em outros idiomas no site:
http://www.isaca.org/obtain_cobit
Este comentário foi removido pelo autor.
ResponderExcluirComo auditor de TI da empresa aérea GOL, fui ao seu site à procura de informações que pudessem me ajudar a identificar as prioridades relacionadas à aquisição e implementação de bens e serviços de tecnologia da informação.
ResponderExcluirLá está escrito que “o modelo de negócios da GOL é baseado em estruturas, sistemas e controles que privilegiam a qualidade dos serviços, a alta tecnologia, a segurança e a padronização da frota, bem como a motivação e a produtividade de sua equipe....”. Consta, ainda, que a empresa tem como um de seus valores a inovação, onde “... com simplicidade, ... procuram uma nova maneira de atender e encantar o cliente com excelência...”.
Após esse breve levantamento, e tendo em vista que o processo de Aquisição e Implementação do COBIT (Control Objectives for Information and Related Tecnology) é importante porque “provê soluções de tecnologia da informação e as transfere para tornarem-se serviços” (ref. COBIT 4.1 traduzido, pg. 16), sugiro que os seguintes níveis de maturidade sejam buscados:
AI1 – Identificar Soluções Automatizadas -> 5 Requer que a área de TI possua um processo de identificação e avaliação de soluções de TI em contínuo aperfeiçoamento, de modo a responder rapidamente às exigências do negócio.
AI2 – Adquirir e Manter Softwares Aplicativos -> 5 As práticas de aquisição e manutenção de software de aplicação devem estar alinhadas e rapidamente em que ser ajustadas às necessidades do negócio.
AI3 – Adquirir e Manter Infraestrutura de Tecnologia - > 5 O processo de aquisição e manutenção de infraestrutura tecnológica deve ser proativo e bem alinhado com as aplicações de negócio críticas.
AI4 – Habilitar Operação e Uso - > 3 Nesse caso considero que um nível de maturidade menor não inviabiliza o nível de excelência da empresa, mesmo porque grande parte dos serviços atingidos por esse processo são oferecidos por parceiros (agências de viagem).
AI5 – Adquirir Recursos de TI -> 5 Numa empresa aérea esse processo deve ser o mais maduro possível, haja vista a necessidade constante de aquisição tecnológica.
AI6 – Gerenciar Mudanças -> 5
AI7 – Instalar e Validar Soluções e Mudanças -> 5 Os processos de instalação e validação devem ser melhorados continuamente. Os processos de instalação e validação devem estar completamente integrados ao ciclo de vida do sistema e automatizados, facilitando o treinamento, o teste e a migração para produção mais eficiente dos novos sistemas.
Ou seja, uma empresa aérea, que possui diversos serviços sediados exclusivamente em computador deve possuir o mais alto grau de maturidade em suas aquisições e implementações, pois qualquer indisponibilidade causa prejuízos milionários à empresa e partes interessadas.
AI1 :: Identificar soluções automatizadas.
ResponderExcluirNível: 05
As soluções de TIC devem ser identificadas com o objetivo de serem integradas aos processos de negócio, a fim de manter vantagem ou diferencial competitivo.
AI2 :: Adquirir e manter aplicações de software / AI3 :: Adquirir e manter infraestrutura tecnológica
Nível: 05 (para ambas)
O ambiente tecnológico deve ser implementado e mantido de forma a suportar todas as operações da empresa. Este quadro se torna ainda mais evidente quando o foco são empresas aeroviárias.
AI4 :: Habilitar operação e uso
Nível: 05
A efetividade dos processos está diretamente relacionada ao conhecimento na utilização dos sistemas envolvidos. Apesar da presença de documentações e manuais, existe a importância do treinamento para assegurar o uso apropriado das infraestruturas física e lógica.
AI5 :: Aquisição de recursos de TI
Nível: 04
AI6 :: Gerenciar mudanças
Nível: 05
Os esforços são direcionados para que as mudanças possam ser realizadas sem causar problemas nas operações atuais.
AI7 :: Instalar e homologar mudanças e soluções
Nível: 04
Acredito que os processos deste domínio deveriam estar pelo menos com no nível 3, por se tratar de uma empresa com atividades onde o risco deve ser bastante mitigado. Em minha opinião, o ideal seria que a maiorias dos processos estivessem enquadradas num mesmo nível de maturidade para que o fluxo de informação (estradas e saídas) de cada um mantenha balanceamento adequado, podendo processar suas entradas e gerar suas saídas de forma compatível. Assim, eu pensaria da seguinte forma:
ResponderExcluirAI1 – Identificação de soluções automatizadas: nível 3 – onde os gerentes de negócio e de TI devem estar comprometidos e envolvidos com regras e responsabilidades do planejamento bem definidas;
AI2– Aquisição e manutenção de aplicações de software e AI3 – Aquisição e manutenção de infra-estrutura tecnológica: nível 3 - Os processos referentes ao SLA devem estar instalados e com pontos de controle de reavaliação de níveis de serviço, em condição de satisfazer o cliente.
AI4 – Habilidade da operação e uso dos recursos de TI: nível 4 – Exigência de processos internalizados e repetitivos, com medidas de eficiência e efetividade.
AI5 – Aquisição dos recursos de TI: nível 4 - Medidas de desempenho devem refletir cada vez mais as necessidades do usuário final e não somente os objetivos de TI.
AI6 – Gerência de mudanças: nível 4 – gerenciamento e métricas devem estar padronizados, com formalização e divulgação das melhorias do processo.
AI7 – Instalação, créditos da solução de mudanças: nível 3 – procedimentos de treinamento e testes bem definidos.
AI1- Identificar soluções automatizadas - Nível: 05
ResponderExcluirPara o setor de aviação civil as soluções automatizadas são essenciais para manter a vantagem competitiva.
AI2 - Adquirir e manter aplicações de software - Nível: 05
Com sistema de compra/venda de passagens praticamente todo online é preciso que mantenha-se a resiliência do sistema.
AI3 - Adquirir e manter infraestrutura tecnológica - Nível: 05
Manter um ambiente tecnológico que seja ao mesmo tempo flexível (dada à dinâmica do setor) e confiável (grande dependência tecnológica).
AI4 - Habilitar operação e uso - Nível: 04
Um nível de maturidade 4 seria o ideal, para garantir a eficiência e eficácia dos processos.
AI5 - Aquisição de recursos de TI - Nível: 05
A aquisição de recursos de TI exige um nível maior de maturidade nesse setor, pois como colocado anteriormente, existe uma forte dependência dos recursos de TI e as novas aquisições devem atender a essas expectativas.
AI6 - Gerenciar mudanças - Nível: 04
As mudanças devem ser realizadas sem causar indisponibilidades nas operações e sem atrapalhar sistemas atuais.
AI7 - Instalar e homologar mudanças e soluções - Nível: 04
Viabilizar as alterações com níveis mínimos de indisponibilidade.
Participei de um treinamento denominado "airport simulation" e, nele, simulava-se a aplicação de melhores práticas ITIL para promover correções em operações aeroportuárias que apresentavam alguns problemas. Era emblemático o grande prejuízo gerado por atrasos, pois facilmente criava-se um efeito dominó e todos os vôos seguintes eram prejudicados. Os custos de operação de uma empresa aérea e de utilização das instalações/serviços num aeroporto são muito altos.
ResponderExcluirDurante os exercícios, percebia-se claramente a importância de processos relacionados aos AI2 - Adquirir e Manter Software Aplicativo, AI3 - Adquirir e Manter Infraestrutura Tecnológica, AI6 - Gerenciar Mudanças e AI7 - Instalar e Homologar Soluções e Mudanças. Os principais objetivos eram otimizar os processos, evitar indisponibilidades e implantar mudanças adequadamente (no momento mais propício, no menor tempo possível, com segurança e sem ocorrência de efeitos colaterais negativos).
Somando-se isso às características de inovação da empresa, maior maturidade no processo AI1 - Identificar Soluções Automatizadas permitirá que continue a aumentar sua competitividade por meio de diferenciais que tenham como base o uso de tecnologia da informação.
Assim, minha sugestão de níveis mínimos de maturidade para os processos de Aquisição e Implementação seria:
• AI1 - Identificar Soluções Automatizadas: 5 (Otimizado);
• AI2 - Adquirir e Manter Software Aplicativo: 4 (Gerenciado e Mensurável);
• AI3 - Adquirir e Manter infraestrutura de Tecnologia: 4 (Gerenciado e Mensurável);
• AI4 - Habilitar Operação e Uso: 3 (Processo Definido);
• AI5 - Adquirir Recursos de TI: 3 (Processo Definido);
• AI6 - Gerenciar Mudanças: 5 (Otimizado);
• AI7 - Instalar e Homologar Soluções e Mudanças: 5 (Otimizado).
Este comentário foi removido pelo autor.
ResponderExcluirComo auditor de empresa Gol, o primeiro passo seria identificar e avaliar o grau de maturidade dos concorrentes. Com essa informação, já consigo identificar se a "imaturidade"
ResponderExcluirde um processo da Gol poderá gerar a evasão de clientes para o concorrente.
AI1 Identificar Soluções Automatizadas:
- Nível 3.
- O nível 5 é sempre desejável, porém ter um processo instituido para buscar soluções automatizadas na empresa, já pode gerar bons resultados. Não vejo ganhos significativos neste processo em relação
aos níveis 3 e 5.
AI2 Adquirir e Manter Software Aplicativo:
- Nível 3
- Não considero a manutenção de softwares aplicativos como um processo crítico, apesar da sua grande importância para a continuidade dos serviços de agilidade o negócio. Ter um processo definido já proporciona
bons resultados.
AI3 Adquirir e Manter infraestrutura de Tecnologia:
- Nível 5
- Acredito que esse processo seja determinante para todos outros, pois uma diretiva de aquisição e manutenção errônea poderá impactar negativamente nos processos AI4, AI5 e AI7.
AI4 Habilitar Operação e Uso:
- Nível 3
- Possuir um processo instituido para habilitar operação e uso já atenderia.
AI5 Adquirir Recursos de TI:
- Nível 3
- Acredito que o departamento de TI oferece sua contribuição orientado na busca da melhor solução, requisitos tecnicos, viabilidade econômica e um grande relacionamento junto aos potenciais fornecedores.
Não é o caso deste exemplo, mas se a aquisição for por meio de licitação, o papel da TI se restringiria em sugestão da solução e contribuição dos requisitos técnicos para elaboração do edital de licitação, com uma tendência ao grau de maturidade de nível 1 a 2.
AI6 Gerenciar Mudanças:
- Nível 4
- Ter este processo bem estruturado e buscar a melhoria neste processo faz com que a empresa tenha a agilidade em responder as mudanças.
AI7 Instalar e Homologar Soluções e Mudanças.
- Nível 5
- Considero o processo extremamente critico, a indisponibilidade dos serviços de TI pode gerar descontinuidade dos serviços, e consequentemente gerar um impacto negativo na imagem da empresa, além de multas e custos com indenizações à passageiros.
- Exemplo do problema que a TAM enfrentou ao migrar seu sistema de gestão de passageiros:
Notícia Publicada em 19 de novembro de 2009 às 11h10 pela CIO Brasil.
Acesso: http://cio.uol.com.br/gestao/2009/11/19/tam-enfrenta-problemas-apos-migracao-do-sistema-de-gestao-de-passageiros/
- TAM enfrenta problemas após migrar sistema para gestão de passageiros
- A interrupção do sistema de check-in, que provocou atrasos em voos de todo o País na manhã desta quinta-feira, acontece quatro dias após a empresa concluir a transição para a plataforma Amadeus
De acordo com o último relatório da Infraero, divulgado às 18 horas, dos 587 voos da TAM programados, 236 (40,2%) atrasaram e 25 (4,3%) foram cancelados.
Fonte: Folha onLine
Este comentário foi removido pelo autor.
ResponderExcluirConsidero que ascender na escala de maturidade custa muito de esforço e dinheiro.
ResponderExcluirAcho também que uma das grandes vantagens de se avaliar o nível de maturidade de uma organização, além de poder mapear a situação atual da organização, é a de ter condições de se comparar com as melhores organizações no seu segmento de atuação (benchmark).
Como auditor, incentivaria a empresa a adotar uma estratégia de efetivo monitoramento da concorrência para se estabelecer limites míninos necessários do nível de maturidade para cada processo de Aquisição e Implementação.
Sendo “NMC” o “Nível de Maturidade da Concorrência” e “NMG” o "Nível de Maturidade da GOL", aplicaria para cada processo as seguintes regras:
Nível inaceitável NMG < NMC
Nível mínimo NMG = NMC
Nível desejável 5 < NMG > NMC
Nível almejado NMG = 5
Acho também que somente este tipo de visão não bastaria. Atuaria também na identificação de especificidades internas da organização que resultassem na entrega de insumos "ruins" e nas possíveis "distorções" dos níveis de maturidade (entre um processo e outro por exemplo) praticados pelo mercado.
Bem, como vimos em aula o melhor dos mundos seria que todos os processos tivessem nível 5, e que para chegar neste nível em cada um dos processos o esforço e complexidade é grande para implementá-lo, portanto mesmo sabendo desta dificuldade e que poucos empresas chegam e um nível como esse, como auditor de uma empresa de aviação cobraria maior eficiência/eficácias dos processos AI6 e AI7.
ResponderExcluir• AI1 - Identificar Soluções Automatizadas: Nivel 3
• AI2 - Adquirir e Manter Software Aplicativo: Nivel 3
• AI3 - Adquirir e Manter infraestrutura de Tecnologia: Nivel 3
• AI4 - Habilitar Operação e Uso: Nivel 4
• AI5 - Adquirir Recursos de TI: Nivel 3
• AI6 - Gerenciar Mudanças: 5 (Otimizado);
• AI7 - Instalar e Homologar Soluções e Mudanças: 5
Os processos de Aquisição e Implementação (AI) do CobiT são divididos em sete etapas:
ResponderExcluir• AI1 - Identificar Soluções Automatizadas;
• AI2 - Adquirir e Manter Software Aplicativo;
• AI3 - Adquirir e Manter infraestrutura de Tecnologia;
• AI4 - Habilitar Operação e Uso;
• AI5 - Adquirir Recursos de TI;
• AI6 - Gerenciar Mudanças; e
• AI7 - Instalar e Homologar Soluções e Mudanças.
Em outra análise, os níveis de maturidade a serem aplicados se dividem em:
• 0 - Inexistente;
• 1 - Inicial / Ad hoc;
• 2 - Repetível, porém Intuitivo;
• 3 - Definido;
• 4 - Gerenciado e Mensurável; e
• 5 - Otimizado.
No caso em concreto, a questão pede uma solução de maturidade para os sete processos acima descritos, em se os aplicando em uma companhia aérea de aviação civil, mais especificamente, a GOL LINHAS AÉREAS INTELIGENTES S/A.
Obviamente, em se tratando de uma empresa de aviação civil, a segurança deve primar pela excelência; o controle deve ser rigoroso e os investimentos de acordo com o potencial de crescimento da organização.
E, como a empresa em questão trabalha quase que com a totalidade de suas vendas por meio eletrônico, a tecnologia da informação deve ser o ponto mais apurado em seu negócio.
Partindo dessas premissas - e considerando que não fora questionado em qual momento ser-lhe-á cobrado -, entendo que os níveis de maturidade elencados podem se apresentar da forma seguinte:
• AI1 - Identificar Soluções Automatizadas: nível 4 - Gerenciado e Mensurável;
• AI2 - Adquirir e Manter Software Aplicativo: nível 4 - Gerenciado e Mensurável;
• AI3 - Adquirir e Manter infraestrutura de Tecnologia: nível 5 - Otimizado;
• AI4 - Habilitar Operação e Uso: nível 3 - Definido;
• AI5 - Adquirir Recursos de TI - nível 5 - Otimizado;
• AI6 - Gerenciar Mudanças: nível 5 - Otimizado; e
• AI7 - Instalar e Homologar Soluções e Mudanças: nível 4 - Gerenciado e Mensurável.
Inicialmente, deve ser levado em consideração a realidade do poder de resposta da empresa a cobrança imposta pela auditoria. Isso porque é desejável que a empresa possua nível 5 (otimizado) para grande parte dos objetivos de controle de alto nível, porém acredito que seja tão importante quanto, a empresa possuir níveis mais reais de serem atingidos, mas tendo como parte do seu plano estratégico a melhoria contínua dessa classificação. Dessa forma, sugiro a seguinte classificação:
ResponderExcluirAI1 - Identificar Soluções Automatizadas -> 03
AI2 - Adquirir e manter aplicações de software -> 03
AI3 - Adquirir e manter infra-estrutura tecnológica -> 03
AI4 - Habilitar operação e uso -> 03
AI5 - Aquisição de recursos de TI - Nível: 02
AI6 - Gerênciar mudanças -> 03
AI7 - Instalar e homologar mudanças e soluções -> 02
Sugeriria nível 3 para os processos AI1, AI2, AI3, AI4 e AI6 por estarem relacionados aos negócios oferecidos pela empresa. Como bem sabemos, o negócio de uma companhia aérea, atualmente, está integrado à TI, sendo inclusive dependente da mesma para prosseguir com poder competitivo no mercado. Assim, processos relacionados às soluções tecnológicas necessitam de tratamento diferenciado, devendo ser o carro chefe no que diz respeito a maturidade.
Com a abertura de seu capital (bolsa) no ano de 2004 a GOL passou por um processo de redesenho de todos os fluxos de TI. Diante dessa afirmação é interessante entendermos que empresas que possuem ações em bolsas passarão por processo de auditoria constante e com certeza ferramentas que nos ajudarão a responder vários requisitos de segurança, transparência, controles e outros deverão ser utilizadas. Empresas como a GOL que possui o seu capital aberto, assim como outras muitas no Brasil, estão sujeitas a lei Sarbanes-Oxley, SOX, que foi aprovada em 2002 pelo governo americano voltada principalmente as companhias de capital aberto com ações nas bolsas, lei que possui 11 seções que são direcionadas principalmente à responsabilidade penal da diretoria.
ResponderExcluirTomando o cenário acima que é real, eu como auditor da GOL linhas aéreas (que é irreal), e com dinheiro suficiente para implantação, entendo que o nível de maturidade em todos os processo de aquisição e implementação deveria chegar próximo do Maximo. Entendo que não é um processo tão simples. Estive no ano de 2007 no processo de revisão do nível de maturidade de gestão de armazenamento de dados da Petrobras e posso afirmar, de fato, que não é um processo simples.
Minhas sugestões:
Al1 – Identificar Soluções Automatizadas – 4
AI2 – Adquirir e Manter Software Aplicativo – 4
AI3 – Adquirir e Manter Infraestrutura de Tecnologia – 5
AI4 – Habilitar Operação e Uso – 5
AI5 – Adquirir Recursos de TI – 5
AI6 – Gerenciar Mudanças – 5
AI7 – Instalar e Homologar Soluções e Mudanças – 5
Os níveis são os seguintes:
0 – Não existe
1 – Inicial
2 – Repetitivo
3 – Processo definido
4 - Medido e Gerenciado
5 – Otimizado.
Bem, considerando uma companhia aérea, com suas especificidades e desafios, e a grande dificuldade de se atingir o nível 5 de maturidade (poucas a possuem, como vimos em sala de aula), tentaria ser o mais pragmático possível na cobrança. Assim sendo, Para:
ResponderExcluirAI1– Identificar Soluções Automatizadas: Definido. Aqui, a empresa deverá conhecer bem a sua necessidade, e testar exaustivamente soluções existentes.
AI2 – Adquirir e Manter Softwares Aplicativos: Repetitivo. Uma vez identificada a solução, o processo de compra é padronizado e pouco complexo (para softwares de prateleira). Caso tenha sido adquirida uma solução customizada a qual a empresa aérea será a responsável pela manutenção, o nível de maturidade desejável é Definido.
AI3 – Adquirir e Manter Infraestrutura de Tecnologia: Definido. Esta talvez seja um dos pontos mais críticos para o negócio da GOL (hoje praticamente habilitado por TI). Uma falha neste processo poderia significar prejuízos significativos.
AI4 – Habilitar Operação e Uso: Repetitivo. Obviamente este não é o ideal, mas considerando que na prática é suficiente que o conhecimento de uso esteja na mente dos profissionais (apesar do grande risco), pode-se cobrar este nível de maturidade, mas orientando que seja atualizado para Definido em uma próxima auditoria.
AI5 – Adquirir Recursos de TI: Definido. Este também é crítico para a saúde dos negócios, portanto a cobrança deste nível.
AI6 – Gerenciar Mudanças: Definido. Crítico para os negócios, é necessário que todas as soluções de TI, incluindo sua infraestrutura, possam ser minuciosamente gerenciados, havendo processo bem definido para controle das mudanças.
AI7 – Instalar e Validar Soluções e Mudanças. Definido. O processo AI7 deverá acompanhar o nível de maturidade anterior.