Bruk av militære midler

Segundo o IT Governance Institute – ITGI (2007, p. 9), a implantação da Governança de TI demanda a avaliação do processo de capacidade baseado em modelos de maturidade, pois possibilita a identificação de deficiências em processos e controles críticos para a organização. Além disso, os níveis de maturidade podem ser considerados como perfis dos processos de TI, o que possibilitaria a organização identificar sua situação atual nesse processo e projetar a situação desejada (futura). Para o ITGI (2007, p.21), o propósito do modelo de maturidade é identificar onde os problemas estão e como estabelecer prioridades para melhorias, e não simplesmente avaliar o nível de aderência aos objetivos de controle.

Para Pederiva (2003, p. 1), uma característica fundamental do modelo de maturidade é que ele permite uma organização medir "como-estão" os níveis de maturidade, definir "como-

devem-ser" os níveis de maturidade e qual a lacuna a ser preenchida. Como resultado, uma organização pode descobrir melhores práticas para o sistema de controles internos da TI.

Corrobora essa afirmação, a posição de Guldentops (2003, p. 3), segundo a qual os Níveis de Maturidade não são um objetivo em si, mas um meio para atingir objetivo organizacional. Assim, primeiro deve-se pensar sobre a finalidade e, em seguida, escolher o método de avaliação do Nível de Maturidade. Depois, utilizá-lo constantemente, estando consciente dos seus pontos fortes e fracos, bem como atento para a ação que deve ser tomada quando determinados resultados são alcançados. Assim que os resultados são obtidos, eles devem ser analisados com cuidado, uma vez que o método escolhido pode ser a causa de estranhos resultados.

Ainda, os modelos de maturidade podem prover uma abordagem comum para que profissionais de TI e de controle entendam e acordem sobre prioridades e áreas que exijam maior atenção (ITGI, 2007).

2.7.1. Modelo de Maturidade do COBIT

Para o IT Governance Institute – ITGI (2007, p. 21), o Modelo de Maturidade do COBIT 4.1 para gerenciamento e controle dos processos está baseado no método de avaliação da organização, assim ele pode ser calculado a partir do nível de maturidade inexistente (0) a otimizado (5). Esta abordagem deriva do modelo de maturidade que o Software Engineering

Institute – SEI definiu para a maturidade da capacidade de desenvolvimento de software. Para o ITGI, embora os conceitos da abordagem do SEI tenham sido seguidos, a implementação do COBIT 4.1 difere consideravelmente daquela do SEI, que foi orientada pelos princípios de engenharia de software e permite que organizações se submetam a avaliações formais do nível de maturidade de tal modo que os desenvolvedores de software possam ser certificados. Já no COBIT 4.1, uma definição genérica é estabelecida para cada escala de maturidade definida. Escala essa que é similar à do Capability Maturity Model Integration – CMMI, porém interpretada de acordo com as características do processo de gerenciamento de TI do COBIT. A partir desta escala genérica, é descrito um modelo específico para cada um dos 34 processos do COBIT.

Ainda para o ITGI, a vantagem de um modelo de maturidade é que ele é relativamente fácil para os gerentes analisarem a escala, estimar o que está envolvido e se há necessidade de melhoria. A escala inclui 0 porque é possível que o processo não exista. A escala de 0-5 é baseada na escala simplificada que mostra como um processo evolui da capacidade

inexistente para a capacidade otimizada. No Quadro 5 são apresentadas as descrições para cada nível de maturidade do COBIT 4.1.

Quadro 5 – Modelo Genérico de Maturidade

Nível de Maturidade Descrição

0 – Inexistente Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.

1 – Inicial/Ad Hoc Há evidências de que a empresa reconheceu a existência de questões que precisam ser trabalhadas. No entanto, inexiste processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado.

2 – Repetido Os processos evoluíram para estágio em que procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe treinamento formal ou comunicação dos procedimentos padronizados e a responsabilidade é deixada com o indivíduo. Há alto grau de confiança no conhecimento dos indivíduos e consequentemente erros podem ocorrer.

3 – Definido Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados, mas existe a formalização das práticas existentes.

4 – Gerenciado A gerência monitora e mede a aderência aos procedimentos e adota ações em que os processos parecem não estar funcionando muito bem. Os processos estão sob constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de maneira limitada ou fragmentada.

5 – Otimizado Os processos foram refinados ao nível de boas práticas, baseado no resultado de contínuo aprimoramento e modelagem da maturidade com outras organizações. A TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, permitindo à organização adaptar-se rapidamente.

Fonte: ITGI, 2007, p. 19.

Os modelos de maturidade são construídos a partir do modelo qualitativo genérico, para o qual se adicionam, em forma crescente e através de níveis, alguns princípios contidos nos seguintes atributos:

• Sensibilização e Comunicação; • Políticas, Planos e Procedimentos; • Ferramentas e Automação;

• Habilidades e Conhecimentos;

• Metas e Mensuração.

Por outro lado, os atributos de maturidade apresentados no Quadro 6 representam as características de como os processos de TI são gerenciados e descrevem como eles evoluem de um processo Inexistente (0) para um processo Otimizado (5). Estes atributos também podem ser utilizados em estudo de “gap analysis”, planejamento de melhorias e avaliação global da organização (ITGI, 2007, p. 20).