Post on 09-Dec-2018
ESTUDO DA MATURIDADE DE PROCESSOS COBIT EM
EMPRESAS DO SETOR DE ENERGIA ELÉTRICA DO BRASIL.
Carlos Francisco Simões Gomes
(UFF)
Fernando Cesar Almeida Silva
(UFF)
Resumo: Este artigo tem como objetivo descrever como foi realizado um estudo da maturidade dos processos Cobit
em empresas do setor de energia elétrica do Brasil. Este artigo realiza uma pesquisa onde os integrantes do Comitê de
Tecnologia de Informação destas empresas informam sua percepção do nível de maturidade dos diversos processos
existentes no CobiT. É realizada uma análise dos resultados onde é considerado o contexto no qual estas empresas se
inserem. Para finalizar é proposto um sistema baseado no PDCA com o objetivo de aprimorar os processos que
receberam classificação de avaliação mais baixa. A priorização de quais processos devem ser aprimorados primeiro, é
baseada em critérios que levam em consideração os principais controles de ambiente do PCAOB, uma vez que estas
empresas são auditadas regularmente devido às obrigatoriedades da lei Sarbanes-Oxley.
Palavras-chaves: CobiT, Maturidade de processos, PDCA, SOX, PCAOB
ISSN 1984-9354
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
2
1. Introdução
A grande maioria dos processos empresarias é suportado pela Tecnologia da Informação (TI), e a TI,
por sua vez possui processos especializados que orientam as suas operações(AL-SA'EED ET AL
2012). Modelos de gestão de TI como o CobiT auxiliam no controle das atividades e ao baseados nas
melhores práticas de mercado Entretanto não necessitam ser aplicados de forma integral(VON
SOLMS, 2005). Entretanto criar padrões de qualidade na implementação de modelos como este é
importante para que seja possível, através de refinamentos sucessivos atingirem níveis de maturidade
cada vez mais altos e assim levar a TI a entregar serviços de maior relevância para a área de negócio
da empresa. Para aumentar a competitividade empresas buscam em seus colaboradores soluções
inovadoras, baseadas em sugestões(BIANCOLINO ET AL, 2013).
1.1 objetivo e Método
Este estudo apresenta uma pesquisa em que a maturidade dos processos do CobiT é avaliada em
empresas do setor de energia elétrica do Brasil. O objetivo é permitir uma melhorara do nível de
satisfação do cliente, e elevar a qualidade dos serviços prestados e atender aos marcos regulatórios
impostos pela legislação e pelas auditorias internas e externas.
Foi aplicado um questionário, cuja pesquisa foi respondida por integrantes qualificados das áreas de TI
destas empresas, e os resultados são analisados sob o ponto de vista da documentação do CobiT e do
contexto atual das empresas pesquisadas.
2. Revisão da Literatura
Segundo Juran (1991), os produtos resultam dos processos, e a qualidade daqueles é conseguida de
forma consistente a partir da qualidade destes. Com o foco na satisfação dos clientes, as empresas
começaram não só a concentrar seus esforços na melhoria da qualidade de seus produtos e serviços,
bem como a investir em tecnologia para assegurar os padrões de produção, visando garantir de forma
sistemática e disciplinada a melhoria contínua da qualidade de seus produtos e de seus processos. A TI
torna-se cada vez mais uma ferramenta de competitividade das empresas, principalmente na gestão por
processos e nos programas de Gestão Estratégica da Qualidade, que frequentemente implicam a
mudança dos processos organizacionais e têm na TI uma ferramenta valiosa para viabilizar essas
alterações(Hesing,Souza, 2013). O termo “Governança” é cada vez mais comum, e o aprofundamento
neste tema tem ganhado relevância nas organizações(Peña et al, 2013). Gestores, financiadores,
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
3
acionistas, entre outros buscam minimizar seus riscos, por meio da transparência na prestação de
contas, nas operações financeiras e nos informes. Tais exigências sempre foram requeridas, mas após
os escândalos financeiros da Enron e WorldCom, dos novos desafios do mundo global e do
desenvolvimento sustentável as empresas foram desafiadas a evoluir nesses fundamentos com a
adoção de melhores práticas, criando estruturas para sua manutenção e constante aprimoramento. O IT
Governance Institute define o termo Governança de TI, como um arcabouço de relações e processos
que dirigem e controlam uma organização, a fim de atingir seus objetivos e de adicionar valor ao
negócio através do balanceamento do risco com o retorno do investimento da TI.(CobiT 4.1, 2007)
2.1 Lei Sabannes-Oxley
A Lei Sarbanes-Oxley, ou SOX, como também é conhecida, é um extenso conjunto de normas
corporativas idealizado pelos parlamentares norte-americanos Paul Sarbanes e Michael Oxley. Criada
em 2002 para aumentar a segurança e a confiabilidade dos relatórios financeiros e privilegia o papel
crítico do controle interno. A lei exige controles e procedimentos que aumentam a responsabilidade
dos executivos das empresas listadas no mercado de capitais dos Estados Unidos, regulamentado pela
SEC, instituição equivalente à CVM (Comissão de Valores Mobiliários) no Brasil (VIEIRA, 2007).
Após a SOX entrar em vigor, a TI tornou-se o principal meio de garantir que os dados financeiros e
operacionais, sejam precisos, confiáveis e atualizados, além de estarem prontamente disponíveis
quando solicitados. Seção 404 da SOX exige que gerentes de empresas publicas dos EUA façam um
controle interno dos sistemas que gerenciam toda parte financeira da empresa (Kerr, Murthy, 2013)
.Segundo Almeida (2010), a SOX, estabelece novos padrões para atuação do conselho de
administração e comitê de auditoria, para penalidades criminais dos executivos, independência do
auditor externo, e também cria o Public Company Accounting Oversight Board (PCAOB),
subordinado à SEC, para supervisionar as empresas de auditoria independente. Os controles de
ambiente tornaram-se mais importantes no PCAOB Auditing Standard n. 2. O PCAOB também
indicou que um controle de ambiente ineficaz deve ser considerado pelo menos como uma deficiência
significativa e como um forte indicador de que existe uma fraqueza material nos controles internos
sobre relatórios financeiros. Esses comentários aplicam-se aos controles de ambiente globais, que
incluem também os controles de ambiente de TI. Os controles de ambiente de TI do PCAOB estão
relacionados com os processos CobiT, conforme descrito na figura 1.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
4
Figura 1 - Mapeamento entre PCAOB e CobiT
Fonte: IT Control Objectives for Sabanes-Oxley
Definições (Al-Sa'eed et al,, 2012):
Operações de computador (Computer operations):Estes controles incluem definição, aquisição,
instalação, configuração, integração e manutenção da infraestrutura de TI.
Acesso a programas e dados (Access to programs and data): Assumem maior importância visto
que a conectividade com entidades de rede interna e externa cresce. Controles eficazes de
segurança de acesso pode fornecer um nível de segurança aceitável contra acesso indevido e uso
não autorizado de sistemas.
Desenvolvimento e Mudança de Programa (Program development and program change):Possuem
dois principais componentes: a aquisição e implementação de novas aplicações e a manutenção de
aplicações existentes. A redução de riscos é garantida por metodologias de qualidade. Ferramentas
de padronização de software e componentes da arquitetura de TI muitas vezes suportam estas
metodologias.
2.2 Metodologia
Segundo Gil (1999, p.70), as pesquisas, como a proposta no artigo, se caracterizam pela interrogação
direta das pessoas cujo comportamento se deseja conhecer. Basicamente procede-se a solicitação de
informações a um grupo significativo acerca do problema estudado, para em seguida, mediante análise
quantitativa, obter as conclusões correspondentes aos dados solicitados.
Diagrama de Causa e efeito
Segundo Carpinetti (2012), o diagrama de causa e efeito, descrito na figura 2, é conhecido também
como diagrama de Ishikawa ou ainda como diagrama espinha-de-peixe . Foi desenvolvido para
apresentar as relações existentes entre um problema ou o efeito indesejável do resultado de um
processo e todas as possíveis causas desse problema, atuando como um guia para a identificação da
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
5
causa fundamental deste problema e para a determinação das medidas corretivas que deverão ser
adotadas.
Figura 2 - Estrutura básica de um diagrama de causa e efeito
Fonte: Livro Gestão a Qualidade – Carpinetti, 2012
Para a construção do Ishikawa é necessário seguir certas etapas. O primeiro passo é colocar na cabeça-
de-peixe, o principal problema detectado pelas ferramentas anteriores e que precisam de análise para
identificação da principais causas.(Las Casas, 2008 p.81)
Ciclo PDCA
O Ciclo PDCA (Planejar – Executar – Verificar - Agir do inglês: PLAN - DO - CHECK – ACT),
também conhecido como Ciclo de Shewhart, Ciclo da Qualidade ou Ciclo de Deming, é uma
metodologia que tem como função básica o auxílio no diagnóstico, análise e prognóstico de problemas
organizacionais, sendo extremamente útil para a solução de problemas(LOPEZ, BUIELES, 2012).
Poucos instrumentos se mostram tão efetivos para a busca do aperfeiçoamento quanto este método de
melhoria contínua, tendo em vista que ele conduz a ações sistemáticas que agilizam a obtenção de
melhores resultados, com a finalidade de garantir a sobrevivência e o crescimento das organizações.
(QUINQUIOLO, 2002)
2.3 CobiT
Uma considerável parte do cenário organizacional se baseia hoje no uso intensivo da TI; com a TI se
tornando fundamental para as operações e mesmo para as estratégias organizacionais, fica mais nítida
a preocupação com práticas de gestão que reduzam o risco das operações, garantam a continuidade dos
serviços por elas prestados, preservando assim as operações da empresa e a sua relação com os clientes
(LUCIANO, TESTA, 2011). O IT Governance Institute, (ITGI) foi criado em 1998 para melhoria do
pensamento e dos padrões internacionais de direção e controle da tecnologia da informação nas
organizações. O ITGI elaborou o CobiT (Control Objectives for Information and related Technology)
que contém as boas práticas de TI, por meio de um modelo de domínios e processos e apresenta
atividades em uma estrutura lógica e gerenciável. CobiT é mantido pelo ISACA (Information Systems
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
6
Audit and Control Association) (KERR, MURTHY, 2013). Entre as diferentes práticas
internacionalmente reconhecidas para a Governança de atividades que envolvam TI, o COBIT se
mostra adequado ao controle de processo de negócio, pois disponibiliza uma ampla gama de recursos
de controle e auditoria aplicáveis a vários cenários e organizações(Luciano, Testa, 2011). As boas
práticas do CobiT representam o consenso de especialistas. Elas são fortemente focadas mais nos
controles e menos na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar
a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas(Neto, Neto, 2013).
Ajudam na Governança da TI. No modelo CobiT, são denominados 4 domínios de controle conforme
demonstrado na figura 3.(CobiT 4.1): (i) O domínio de planejamento e organização abrange a
estratégia e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor
contribuir para atingir os objetivos de negócios;(ii) O domínio aquisição e implementação executa a
estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas,
implementadas e integradas ao processo de negócios; (iii) O domínio de Entrega e suporte trata da
entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e
continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais;
(iv) Já o domínio de monitoração, aborda o gerenciamento de desempenho, o monitoramento do
controle interno, a aderência regulatória e a governança.
Figura 3 - Os quatro Domínios Inter-relacionados do CobiT. Fonte: CobiT 4.1
Para Von Solms B. (2005), o CobiT divide a governança de TI em 34 processos, e fornece um objetivo
de controle de alto nível para cada um desses 34 processos. Cada controle é novamente dividido em
um conjunto de objetivos detalhados de controle, que especificam a forma como o controle de alto
nível deve ser gerido, em mais detalhes. No total, são definidos 318 controles para os 34 processos. O
raciocínio é que, se cada um desses 34 processos for gerido de forma adequada, a governança de
Tecnologia da Informação está assegurada. No anexo III constam as descrições de todos os processos
do CobiT(PEÑA ET AL, 2013). Na figura 4 é mostrada a estrutura geral dos processos do CobiT.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
7
Figura 4 - Visão Geral do CobiT. Fonte: CobiT 4.1
A utilização de ferramentas da qualidade empregadas juntamente ao método de análise e solução de
problemas permite a obtenção de produtos manufaturados, com a qualidade esperada dentro dos prazos
estabelecidos de produção, gerando melhorias na qualidade, no processo de fabricação e a redução dos
custos de fabricação. (SAMPARA, MATTIODA e CARDOSO, 2009). As ferramentas em questão são
o Diagrama de causa e efeito que explora as causas dos problemas e o Ciclo PDCA que se inicia pela
criação dos planos de ação e que em sua metodologia básica prevê a melhoria contínua dos processos.
A figura 5 apresenta o esquema de melhoria proposto.
Figura 5 - Sistema de Identificação de problemas e correção das causas em processos de Gestão de TI
No modelo proposto o primeiro passo do sistema avalia o nível de maturidade do processo CobiT.
Aqueles,processos, que apresentarem baixa maturidade são analisados sob a ótica do diagrama de
causa e efeito, onde as causas para a baixa maturidade serão relacionadas. As causas servem com
entrada na fase de planejamento do ciclo PDCA onde são definidos os planos de ação que objetivam a
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
8
elevação do nível de maturidade do processo em questão. Na fase de checagem, a Pesquisa de
maturidade é utilizada mais uma vez para verificar se houve ou não elevação no nível de maturidade.
A partir deste momento executa-se a fase de ação do ciclo onde se decide se os objetivos foram
alcançados ou se é necessário retornar para a fase de planejamento.
3. Metodologia da pesquisa
Os métodos de coleta de dados de survey recaem em duas categorias amplas: a primeira diz respeito à
administração de questionários pelo pesquisador para que o próprio respondente responda a entrevista;
a segunda trata dos questionários que são usados em larga escala para coletar dados quantitativos de
um número maior de indivíduos de uma maneira relativamente rápida e conveniente (HAIR JR. et al.,
2005).
3.1 Público alvo
Gil (1999) define universo ou população como um conjunto definido de elementos que possuem
determinadas características. Em geral a População refere-se ao total de habitantes de um determinado
lugar. Uma amostra é um subconjunto do universo ou da população, por onde se estimam
características desse universo ou população. A amostra utilizada nesta pesquisa é composta por 149
gestores de TI integrantes do Comitê de Tecnologia da Informação, Telecomunicação e Automação do
Sistema Eletrobrás (Cotise). A missão do Cotise é criar e manter uma Política integrada de Tecnologia
da Informação e Comunicação para o Sistema Eletrobrás, voltada para garantir: A interoperabilidade,
ou, pelo menos a conectividade dos sistemas de informação das empresas do Sistema Eletrobrás; O
intercâmbio de sistemas de informação das empresas do Sistema Eletrobrás; A unificação de
aquisições de equipamentos, softwares, circuitos de telecomunicação, cursos de capacitação técnica e
serviços de TIC.(Sítio Eletrobrás – http://www.eletrobras.com). A Eletrobrás é a maior companhia do
setor de energia elétrica da América Latina. É uma empresa de economia mista e de capital aberto,
controlada pelo governo brasileiro, que atua nas áreas de geração, transmissão e distribuição de energia
elétrica. Com foco em rentabilidade, competitividade, integração e sustentabilidade, a Eletrobrás
Holding lidera um sistema composto de 13 subsidiárias, uma empresa de participações, um centro de
pesquisas e metade do capital de Itaipu Binacional.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
9
3.2 Pesquisa de emprego de modelo de gestão e da Pesquisa de avaliação da
maturidade - CobiT
A avaliação do modelo de gestão é realizada por meio de graduação que vai de 0 a 5 conforme a
graduação de maturidade dos processos descritos no CobiT. Entretanto, existe a sexta opção (*) que
faculta ao respondente informar que não possui informações para responder a questão.
0. Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu
que existe uma questão a ser trabalhada.
1. Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem questões e que
precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques
Ad hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento
é desorganizado.
2. Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde procedimentos
similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento
formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixada com o
indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e consequentemente erros
podem ocorrer.
3. Processo Definido – Procedimentos foram padronizados, documentados e comunicados através
de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios
não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas
existentes.
4. Gerenciado e Mensurável – A gerencia monitora e mede a aderência aos procedimentos e
adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo
de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de
uma maneira limitada ou fragmentada.
5. Otimizado – Os processos foram refinados a um nível de boas práticas, baseado no resultado
de um contínuo aprimoramento e modelagem da maturidade como outras organizações. A TI é
utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para
aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se.
* Não possuo informações para responder.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
10
4. Análise dos resultados
Para a análise das questões referentes ao tema, utilizou-se o conceito de regra de decisão, explicitado
pelo fluxograma da figura 6. Foi aplicado critério que leva em consideração as médias de cada nível de
maturidade dos processos avaliados na pesquisa. A média foi obtida com as avaliações dos processos
que fazem parte de um mesmo domínio do CobiT. Os critérios de avaliação são listados a seguir. Para
pertencer ao grupo 1 é necessário que o processo tenha sido avaliado com nível 5, e o percentual de
avaliações neste nível seja maior do que a média do percentual de avaliações 5 que os processos de seu
domínio obtiveram. Excluídos os processos do grupo 1, para pertencer ao grupo 5 é necessário que o
processo tenha sido avaliado no nível 0, com o percentual de avaliações neste o nível, maior do que a
média do percentual de avaliações 0, que os processos de seu domínio, obtiveram. Excluídos os
processos dos grupos 1 e 5, para pertencer ao grupo 2 é necessário que o processo tenha sido avaliado
nos níveis 3 e 4, com os percentuais de avaliações nestes níveis maiores do que as médias dos
percentuais de avaliações 3 e 4 que os processos de seu domínio obtiveram. Excluídos os processos
dos grupos 1, 2 e 5 para pertencer ao grupo 3 é necessário que o processo tenha sido avaliado no nível
4, com o percentual de avaliações neste o nível maior do que a média do percentual de avaliações 4
que os processos de seu domínio obtiveram. Todos os processos que não se enquadram nas regras
anteriores, para pertencer aos grupos 1, 2, 3 e 5, serão alocados ao grupo 4.
Figura 6 - Fluxo de agrupamento dos processos
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
11
4.1 Processos relativos ao domínio planejamento e organização
Conforme apresentado na tabela 1 o único processo que obteve avaliação 5 no domínio planejamento e
organização foi o PO1 – Definir Plano Estratégico de TI que é um processo chave para a gestão de TI.
Processo Nível de Maturidade – Frequência relativa
0 1 2 3 4 5 *
PO1 - Definir um Plano
Estratégico de TI 6,7% 20,0% 20,0% 28,9% 15,6% 2,2% 6,7%
PO2 - Definir a Arquitetura
da Informação 13,3% 35,6% 17,8% 13,3% 6,7% 0,0% 13,3%
PO3 - Determinar as
Diretrizes de Tecnologia 6,7% 22,2% 22,2% 26,7% 11,1% 0,0% 11,1%
PO4 - Definir os Processos, a
Organização e os
Relacionamentos de TI
8,9% 31,1% 35,6% 11,1% 4,4% 0,0% 8,9%
PO5 - Gerenciar o
Investimento de TI 6,7% 15,6% 22,2% 26,7% 15,6% 0,0% 13,3%
PO6 - Comunicar Metas e
Diretrizes Gerenciais 8,9% 26,7% 22,2% 15,6% 13,3% 0,0% 13,3%
PO7 - Gerenciar os Recursos
Humanos de TI 13,3% 28,9% 24,4% 13,3% 6,7% 0,0% 13,3%
PO8 - Gerenciar a Qualidade 22,2% 31,1% 17,8% 11,1% 2,2% 0,0% 15,6%
PO9 - Avaliar e Gerenciar os
Riscos de TI 15,6% 40,0% 13,3% 13,3% 6,7% 0,0% 11,1%
PO10 - Gerenciar Projetos 4,4% 22,2% 15,6% 40,0% 11,1% 0,0% 6,7%
Médias das avaliações 10,67% 27,34% 21,11% 20,00% 9,34% 0,22% 11,33%
Tabela 1 – Avaliação dos processos planejamento e organização e suas médias
Do plano estratégico surgem todas as ações a serem realizadas, pois ele define, valida e institucionaliza
todos os processos fundamentais de governança de TI. Portanto é esperado que este processo seja bem
desenvolvido nas empresas do grupo Eletrobrás, devido ao seu papel central na área de TI. O processo
com mais baixa avaliação é o PO8 – gerenciar a qualidade. Este é um indicativo de que os processos,
de forma generalizada não possuem padrões. Para que um processo seja executado com qualidade é
necessário que haja um sistema que gere requisitos, procedimentos e políticas de qualidade, orientados
por indicadores quantificáveis e atingíveis. A gestão da qualidade é fundamental para que a TI forneça
valor para o negócio, melhoria contínua e transparência para as partes interessadas.
A tabela 2 apresenta o agrupamento dos processos do domínio planejamento e organização.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
12
Grupo Processo
1 PO1 - Definir um Plano Estratégico de TI
2
PO3 - Determinar as Diretrizes de Tecnologia
PO5 - Gerenciar o Investimento de TI
PO10 - Gerenciar Projetos
3 PO6 - Comunicar Metas e Diretrizes Gerenciais
4 PO4 - Definir os Processos, a Organização e os Relacionamentos de TI
5
PO2 - Definir a Arquitetura da Informação
PO7 - Gerenciar os Recursos Humanos de TI
PO8 - Gerenciar a Qualidade
PO9 - Avaliar e Gerenciar os Riscos de TI
Tabela 2 - Agrupamento dos processos - planejamento e organização
Há grande concentração de processos no grupo 5, que é o de pior avaliação. Nestes, se destacam os
processos PO8 e PO9. Entretanto há boa avaliação para os processos PO3, PO5 e PO10 que se
encontram no grupo 2.
4.2 Processos relativos ao domínio aquisição e implementação
Na tabela 3 estão os resultados da pesquisa relativos à avaliação dos processos do domínio aquisição e
implementação.
Processo Nível de Maturidade – Frequência relativa
0 1 2 3 4 5 *
AI1 - Identificar Soluções
Automatizadas 8,9% 17,8% 35,6% 15,6% 11,1% 0,0% 11,1%
AI2 - Adquirir e Manter
Software Aplicativo 6,7% 11,1% 28,9% 33,3% 11,1% 0,0% 8,9%
AI3 - Adquirir e Manter
Infraestrutura de Tecnologia 4,4% 11,1% 33,3% 22,2% 15,6% 0,0% 13,3%
AI4 - Habilitar Operação e
Uso 8,9% 11,1% 20,0% 28,9% 11,1% 0,0% 20,0%
AI5 - Adquirir Recursos de TI 4,4% 8,9% 33,3% 31,1% 13,3% 0,0% 8,9%
AI6 - Gerenciar Mudanças 11,1% 26,7% 24,4% 26,7% 8,9% 0,0% 2,2%
AI7 - Instalar e Homologar
Soluções e Mudanças 8,9% 15,6% 26,7% 24,4% 13,3% 0,0% 11,1%
Médias das avaliações 7,61%
14,61
% 28,89% 26,03% 12,06% 0,00% 10,79%
Tabela 3 – Avaliação dos processos de aquisição e implementação e suas médias
O processo mais bem avaliado não possui nenhuma avaliação de maturidade 5. É o processo AI5 -
Adquirir Recursos de TI. Ele obteve bons percentuais de avaliação nos níveis 2 e 3 e na avaliação de
nível 4 ficou acima da média. O resultado mostra que este é um processo maduro, devido à constante
evolução tecnológica da área de TI. Há uma frequente necessidade de adquirir hardware e software,
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
13
bem como serviços que são essenciais para as operações. Na outra extremidade, encontra-se o processo
AI6 - Gerenciar Mudanças que obteve o maior valor acima da média de avaliações no nível 0. Este
processo visa mitigar os riscos de forma a manter a estabilidade e a integridade dos sistemas no
ambiente de produção. Ele preconiza que todas as mudanças em sistemas e ambientes de TI devem ser
planejadas, controladas, registradas, autorizadas e revisadas. Na Eletrobrás Holding há um projeto de
implantação do modelo de gestão ITIL (Peña et al,2013) que está obtendo bons resultados no
gerenciamento de mudanças. Uma ferramenta de controle de mudanças foi implantada no mês de maio
de 2013 e dá suporte a todo o processo de mudanças. O agrupamento dos processos do domínio
aquisição e implementação não possui nenhum processo pertencente ao grupo 1. Entretanto há 4
processos no grupo 5. Os processos que se encontram nos grupos 3 e 4 são respectivamente os
processos AI3 e AI2, conforme descrito na tabela 4.
Grupo Processo
2 AI5 - Adquirir Recursos de TI
3 AI3 - Adquirir e Manter Infraestrutura de Tecnologia
4 AI2 - Adquirir e Manter Software Aplicativo
5
AI1 - Identificar Soluções Automatizadas
AI4 - Habilitar Operação e Uso
AI6 - Gerenciar Mudanças
AI7 - Instalar e Homologar Soluções e Mudanças
Tabela 4 - Agrupamento dos processos - aquisição e implementação
4.3 Processos relativos ao domínio entrega e suporte
Os dados da tabela 5 apresentam os percentuais de avaliação nos níveis de maturidade para os
processos do domínio entrega e suporte. São processos que possuem íntima relação com os processos
do modelo de gestão ITIL. O processo com melhor avaliação é o DS4 - Assegurar Continuidade de
Serviços. Este processo é inerente à área de infraestrutura, pois nele é definido o plano de continuidade
de TI e o armazenamento de cópias de segurança em instalações remotas. Dessa forma é possível
minimizar a probabilidade e o impacto de uma interrupção de um serviço chave de TI nas funções e
processos críticos de negócio O processo pior avaliado é o DS7 - Educar e Treinar os Usuários. Na
atividade de implementação de sistemas este processo tem relação com os processos AI6 - Gerenciar
Mudanças e PO10 - Gerenciar Projetos. A melhoria da implementação do processo DS7, traz
benefícios no uso efetivo da tecnologia por meio da redução dos erros do usuário o que melhora a
produtividade e aumenta a conformidade com controles principais, tais como as medidas de segurança
do usuário.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
14
Processo Nível de Maturidade – Frequência relativa
0 1 2 3 4 5 *
DS1 - Definir e Gerenciar
Níveis de Serviços 6,7% 33,3% 24,4% 22,2% 6,7% 0,0% 6,7%
DS2 - Gerenciar Serviços de
Terceiros 4,4% 20,0% 26,7% 22,2% 15,6% 0,0% 11,1%
DS3 - Gerenciar Capacidade e
Desempenho 20,0% 24,4% 26,7% 8,9% 2,2% 2,2% 15,6%
DS4 - Assegurar Continuidade
de Serviços 8,9% 26,7% 22,2% 15,6% 11,1% 2,2% 13,3%
DS5 - Assegurar a Segurança
dos Serviços 6,7% 17,8% 31,1% 24,4% 4,4% 0,0% 15,6%
DS6 - Identificar e Alocar
Custos 11,1% 28,9% 24,4% 13,3% 6,7% 0,0% 15,6%
DS7 - Educar e Treinar os
Usuários 15,6% 24,4% 33,3% 8,9% 11,1% 0,0% 6,7%
DS8 - Gerenciar a Central de
Serviço e os Incidentes 8,9% 20,0% 13,3% 31,1% 20,0% 0,0% 6,7%
DS9 - Gerenciar a Configuração 8,9% 26,7% 22,2% 24,4% 2,2% 0,0% 15,6%
DS10 - Gerenciar os Problemas 11,1% 31,1% 24,4% 20,0% 2,2% 0,0% 11,1%
DS11 - Gerenciar os Dados 4,4% 20,0% 28,9% 22,2% 8,9% 0,0% 15,6%
DS12 - Gerenciar o Ambiente
Físico 8,9% 8,9% 26,7% 31,1% 6,7% 2,2% 15,6%
DS13 - Gerenciar as Operações 4,4% 15,6% 31,1% 22,2% 6,7% 0,0% 20,0%
Médias das avaliações 8,89% 20,96% 25,70% 22,84% 8,26% 0,31% 13,04%
Tabela 5 – Avaliação dos processos de entrega e suporte e suas médias
No domínio entrega e suporte os processos não ficaram concentrados num grupo específico. A tabela 6
mostra que houve mais distribuição entre os grupos, evidenciando que seus processos têm processos
evolutivos bastante diversos. Os processos DS1, DS3, DS4,DS8, DS9 e DS10 são similares aos do
modelo de gestão de TI ITIL. Conforme já mencionado, há na Eletrobrás Holding um projeto de
implementação deste modelo de gestão. A expectativa é que os índices de avaliação dos processos
acima citados melhorem.
Grupo Processo
1 DS3 - Gerenciar Capacidade e Desempenho
DS4 - Assegurar Continuidade de Serviços
DS12 - Gerenciar o Ambiente Físico
3 DS2 - Gerenciar Serviços de Terceiros
DS11 - Gerenciar os Dados
4
DS1 - Definir e Gerenciar Níveis de Serviços
DS5 - Assegurar a Segurança dos Serviços
DS13 - Gerenciar as Operações
5 DS6 - Identificar e Alocar Custos
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
15
DS7 - Educar e Treinar os Usuários
DS8 - Gerenciar a Central de Serviço e os Incidentes
DS9 - Gerenciar a Configuração
DS10 - Gerenciar os Problemas
Tabela 6 - Agrupamento dos processos - entrega e suporte
4.4 Processos relativos ao domínio monitoração
Os processos da tabela 7 são referentes ao domínio monitoração. O processo melhor avaliado é o ME2
- Monitorar e Avaliar os Controles Internos. Ele é relativo ao monitoramento e reporte das execuções
de controle, dos resultados de autoavaliação e avaliação de terceiros. Esse processo é importante para
que a organização opere em conformidade com as leis e os regulamentos vigentes. O processo ME1 -
Monitorar e Avaliar o Desempenho teve avaliação adversa. Como benefício, a melhoria deste processo
assegura que as atividades corretas estejam sendo feitas e que estejam em alinhamento com as políticas
e diretrizes estabelecidas. É necessário que exista a definição de indicadores de desempenho
relevantes, informes de acompanhamento sistemáticos e pronta ação em relação aos desvios
encontrados.
Processo Nível de Maturidade – Frequência relativa
0 1 2 3 4 5 *
ME1 - Monitorar e Avaliar o
Desempenho 15,6% 26,7% 26,7% 13,3% 6,7% 0,0% 11,1%
ME2 - Monitorar e Avaliar os
Controles Internos 8,9% 26,7% 20,0% 20,0% 15,6% 0,0% 8,9%
ME3 - Assegurar a
Conformidade com Requisitos
Externos
8,9% 22,2% 24,4% 17,8% 11,1% 0,0% 15,6%
ME4 - Prover a Governança de
TI 13,3% 28,9% 17,8% 22,2% 4,4% 0,0% 13,3%
Médias das avaliações 11,68% 26,13% 22,23% 18,33% 9,45% 0,00% 12,23%
Tabela 7 - Avaliação dos processos de monitoração e suas médias
Para o domínio monitoração há apenas três grupos, conforme mostra a tabela 8. Entretanto, existem
dois processos no grupo 5 que é o de pior avaliação. Este domínio envolve questões críticas para a
gestão de TI, como o alinhamento estratégico com a organização, a conformidade com a legislação
externa, o monitoramento dos processos, a autoavaliação e criação de indicadores de desempenho.
Desta forma podem-se justificar as baixas avaliações em vários outros processos do CobiT, pois os
processos de controle não são aplicados de forma consistente.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
16
Grupo Processo
2 ME2 - Monitorar e Avaliar os Controles Internos
3 ME3 - Assegurar a Conformidade com Requisitos Externos
5 ME1 - Monitorar e Avaliar o Desempenho
ME4 - Prover a Governança de TI
Tabela 8 - Agrupamento dos processos – monitoração
4.5 Priorização na melhoria dos processos
Dentre os processos do grupo 5 serão selecionados aqueles com mais prioridade para aplicação no
sistema de identificação de problemas e correção das causas em processos de Gestão de TI proposto
neste trabalho. Para isto serão escolhidos os processos apresentados no item 2.6.1 referente à relação
entre os processos do CobiT e o PCAOB. Na tabela 9 está representada a relação entre os processos do
CobiT relevantes para o PCAOB e seus grupos de avaliação.
Os processos CobiT relevantes para o PCAOB que foram classificados no grupo 5, que é o de pior
avaliação, são apresentados na tabela 10. A ordem foi arbitrada utilizando o critério de que o processo
CobiT que cobre o maior número de controles de ambiente de TI do PCAOB seria o primeiro a ser
utilizado no Sistema de Identificação de problemas e correção das causas proposto no item 2.11. Neste
caso, o primeiro processo a ser aprimorado no sistema, é o AI4 – Habilitar Operação e Uso que cuida
da elaboração da documentação e de manuais, bem como da promoção de treinamentos para os
usuários de TI.
Grupo Processos do CobiT relevantes para o PCAOB
3
AI3 - Adquirir e Manter Infraestrutura de Tecnologia
DS2 - Gerenciar Serviços de Terceiros
DS11 - Gerenciar os Dados
4
AI2 - Adquirir e Manter Software Aplicativo
DS1 - Definir e Gerenciar Níveis de Serviços
DS5 - Assegurar a Segurança dos Serviços
DS13 - Gerenciar as Operações
5
AI4 - Habilitar Operação e Uso
AI6 - Gerenciar Mudanças
AI7 - Instalar e Homologar Soluções e Mudanças
DS8 - Gerenciar a Central de Serviço e os Incidentes
DS9 - Gerenciar a Configuração
Tabela 9 - Relação processos CobiT X PCAOB X Grupos de avaliação
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
17
Controles de ambiente de TI do
PCAOB
Ordem Processo do CobiT
Des
envolv
imen
to
de
pro
gra
ma
Mudan
ças
de
pro
gra
ma
Oper
ações
de
com
puta
dor
Ace
sso a
pro
gra
mas
e
dad
os
1 AI4 - Habilitar Operação e Uso
2 AI7 - Instalar e Homologar Soluções e Mudanças
3 AI6 - Gerenciar Mudanças
4 DS9 - Gerenciar a Configuração
5 DS8 - Gerenciar a Central de Serviço e os
Incidentes
Tabela 10 - Ordem de priorização dos processos
4.6 Considerações Finais
Os modelos de gestão de TI basicamente são frameworks de trabalho que compreendem todas as
disciplinas pertinentes e importantes para a área de TI. A importância de sua implementação reside no
fato de que não se pode controlar ou administrar o que não é conhecido. Os modelos de gestão,
baseados nas melhores práticas de mercado, orientam em como implantar os seus processos e depois
acompanhá-los com o objetivo de melhorá-los de forma contínua e consistente até que seus processos
atinjam um alto grau de maturidade. Com este cenário a TI pode prover serviços de qualidade para
toda a Organização. Implementar ou alterar processos é semelhante a fazer intervenções cirúrgicas no
corpo inteiro. É bastante comum que os processos de uma organização sejam mapeados ou
redesenhados sem que se saiba a razão exata deste trabalho. Isto pode envolver muito tempo e dinheiro
que nem sempre oferecem retorno ideal. A forma mais apropriada para abordar a questão é fazer a
priorização dos processos a serem aplicados ou melhorados, com base numa estratégia definida e
controlada, de preferência apoiada numa estratégia corporativa. Neste trabalho optou-se por tratar
processos do CobiT com as avaliações mais baixas e que são importantes para os controles do PCAOB
devido aos requisitos da lei SOX. Como existem, em um mesmo processo, percentuais de avaliação
que estão entre valores de 0 a 5, a criação de grupos por critérios de similaridade elimina a
subjetividade da priorização. Desta forma é possível é possível escolher os processos que serão
analisados primeiro no Sistema de Identificação de problemas e correção das causas em processos de
Gestão de TI. Assim é possível aplicar um trabalho contínuo com foco na melhoria com o uso de
ferramentas como o Diagrama de Ishikawa e o PDCA. Isto evita que se aplique o mesmo recurso de
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
18
melhoria a todos os processos indistintamente. É preciso um diagnóstico e então a aplicação do recurso
de melhoria ideal para os sintomas de cada processo. O Gestor tem a oportunidade de resolver
problemas nos processos com um método simples objetivo.
5. Conclusão
Este estudo verifica a maturidade dos processos do modelo de Gestão de TI CobiT, por meio de
realização de levantamento do tipo survey que mostra a visão dos integrantes do Cotise quanto à
avaliação dos processos CobiT. Com as avaliações constantes na pesquisa foi possível classificar os
processos em grupos e assim priorizar as ações corretivas a serem realizadas pelas áreas de gestão da
TI. O processo melhor avaliado individualmente está no domínio planejamento e organização. É o
processo PO1 – Definir Plano Estratégico de TI que é um processo chave para a gestão de TI, pois do
plano estratégico surgem todas as ações a serem realizadas. Ele define, valida e institucionaliza todos
os processos fundamentais de governança de TI. Portanto é esperado que este processo seja bem
desenvolvido nas empresas do grupo Eletrobrás, devido ao seu papel central na área de TI. O estudo
também propõe o uso do resultado da pesquisa nas fases de planejamento e checagem do ciclo PDCA,
criando um sistema de melhoria contínua com o objetivo de servir de base para a elaboração do
Planejamento Estratégico de TI. Desta forma foi criado o Sistema de Identificação de problemas e
correção das causas em processos de Gestão de TI que integra o a pesquisa de avaliação de
maturidade, o diagrama de Ishikawa e o ciclo PDCA. A aplicação do Sistema de Identificação de
problemas e correção das causas em processos de Gestão de TI necessita ser executada em ciclos com
período definido e por meio de uma equipe específica dedicada a esta atividade. Este é um dos
requisitos que faz parte do tema melhoria contínua e dos domínios da qualidade em processos de TI.
Na pesquisa de avaliação, o processo PO8 – Gerenciar a Qualidade obteve individualmente avaliação
mais baixa. Este é um fato relevante, pois o processo de qualidade possui um papel central e permeia
todos os outros processos do CobiT. Sua implementação e/ou melhoria, implica diretamente na
melhoria de todos os outros processos do CobiT. Este é um indicativo de que os processos, de forma
generalizada, não possuem padrões. Para que um processo seja executado com qualidade é necessário
que haja um sistema que gere requisitos, procedimentos e políticas de qualidade, orientados por
indicadores quantificáveis e atingíveis. A gestão da qualidade é fundamental para que a TI forneça
valor para o negócio, melhoria contínua e transparência para as partes interessadas.
Os processos avaliados foram classificados em grupos que possuem critérios de similaridade. As
informações utilizadas na criação dos grupos são provenientes do resultado da pesquisa de maturidade
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
19
dos processos CobiT. Foram determinados 5 grupos onde o grupo 1 é aquele que possui os processos
mais bem avaliados e o grupo 5 é o que possui os processos com avaliação mais baixa. O grupo 5 foi
destacado para ter seus processos priorizados na aplicação do Sistema de Identificação de problemas e
correção das causas em processos de Gestão de TI. Depois disso, passaram por outro critério de
seleção que leva em conta o relacionamento do processo com os controles do PCAOB, visto que a
adequação à lei SOX é uma premissa crítica nas empresas do Sistema Eletrobrás. Ao final foram
selecionados 5 primeiros processos a serem aplicados no Sistema de Identificação de problemas e
correção das causas em processos de Gestão de TI. De uma forma geral, os resultados da pesquisa
apontam que a grande maioria dos processos CobiT foi classificada dentro do grupo 5 que é o de pior
avaliação. Ao todo foram 15 processos, o que é quase a metade da quantidade total dos processos do
CobiT. Esta constatação apresenta um grande desafio para as áreas de TI das empresas do Sistema
Eletrobrás, pois a eficiência e a eficácia dos serviços de TI prestados, depende de grandes melhorias na
implementação dos processos de gestão de TI. Por outro lado, com uma visão de oportunidade, as
áreas de TI possuem um vasto campo de trabalho para desenvolvimento dos suas atividades de forma a
consolidar sua posição estratégica dentro da organização como um todo. Há também exigências legais
que são revisadas periodicamente por auditorias. Elas focam em controles impostos pelos órgãos
governamentais e pela lei SOX. A implementação dos modelos de gestão de TI, também são
preponderantes no cumprimento da legislação. Estes modelos são aderentes às leis e produzem
documentação e artefatos rastreáveis aceitos pelas as auditorias. Além do mais, como coroamento do
esforço realizado pela TI para implementar modelos de gestão de TI, existe a possibilidade da
obtenção de certificações e a conquista da posição de centro de referência dentro do setor elétrico e até
mesmo centro de referência em todos os setores em âmbito nacional e internacional.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
20
REFERÊNCIAS BIBLIOGRÁFICAS
AL-SA'EED, M.A. ; AL-MAHAMID, S.M. ; Al-Sayyed, R.M.H The impact of control objectives of
information and related technology (COBIT) domain on information criteria and information
technology resources Journal of Theoretical and Applied Information Technology, November 2012,
Vol.45(1), pp.9-18.
ALMEIDA, L. S. S. Projeto de atendimento à lei americana Sarbanes-Oxley: Desafios e soluções do
caso Petrobras. Rio de Janeiro: IBMEC, 2010.
BIANCOLINO, C.A.;MACCARI, E.A, PEREIRA, M.F. Innovation as a Tool for Generating Value in
the IT Services Sector. Rev Bus.Man.vol 14 n 48.p410-426,2013
CAMPOS, F. C.; SANTOS, G. S. Governança na Oferta de Serviço: modelo de outsourcing para
provedores de tecnologia da informação – São Paulo, Atlas 2012.
CAMPOS, V. F. TQC: Controle da Qualidade Total (no Estilo Japonês). 2ª. ed. Belo Horizonte:
Fundação Christiano Ottoni, 1992. (Rio de Janeiro; Bloch Ed.)
CARPINETTI, L.C.R. Gestão da Qualidade: Conceitos e Tecnicas. 2ª ed. São Paulo: Atlas, 2012
CMMI – Sítio http://www.sei.cmu.edu/. Acesso em: 13 de maio de 2013
CobiT 4.1- IT Governance Institute, 2007
GIL, Antônio Carlos. Como elaborar projetos de pesquisa . 4. ed. São Paulo: Atlas, 2002.
_________. Métodos e técnicas de pesquisa social. 5. ed. São Paulo: Atlas, 1999
HAIR JR., Joseph F. et al. Fundamentos de métodos de pesquisa em administração. Porto Alegre:
Bookman, 2005.
HESING, C.W, SOUZA, C.A.Institutional and Strategic Influences on IT Architecture Decisions:
comparative case studies in Brazilian companies. Rev Bus.Man.vol 15 n 48.p390-409,2013
http://www.portalgsti.com.br/2009/10/simulado-itil-v3-online-2.html acessado no dia 29/09/2013
IT GOVERNANCE INSTITUTE. IT Control Objectives for Sarbanes Oxley: The Role of IT in the
Design and Implementation of Internal Control Over Financial Reporting, 2. Ed. Ilinois, EUA, 2006
ITIL V3 – Service Strategy. Office of Government Commerce (OGC), 2011
KERR, DS ; MURTHYUS, The importance of the CobiT framework IT processes for effective
internal control over financial reporting in organizations: An international survey Information &
Management, 2013, Vol.50(7), pp.590-597
LÓPEZ, G. A. M. BUILES J. A. J. Cycle of PDCA T-learing model and its application on interactive
digital TV. Dyna, year 79, Nro. 173, pp. 61-70. Medellin, June, 2012.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
21
JURAN, J. M; GRYNA, Frank M. Controle da Qualidade: conceitos, políticas e filosofia da qualidade.
Tradução: Maria Cláudia de Oliveira Santos.4. ed. São Paulo: Makron, 1991
LAS CASAS, A.L. Qualidade Total em Serviços: Conceitos Exercícios, Casos Práticos. 6ª ed. São
Paulo: Atlas, 2008
LUCIANO, E. M. TESTA, M. G. JISTEM - Journal of Information Systems and Technology
Management. Vol. 8, No. 1, 2011, p. 237-262
MPS.BR - SOFTEX, MPS.BR – Melhoria de Processo do Software Brasileiro, Guia Geral 2012,
http://www.softex.br/mpsbr/ (2013).
NETO , J. S., NETO, A. N. F. Metamodel of the it governance framework cobit JISTEM - Journal of
Information Systems and Technology Management Vol. 10, No. 3, Sept/Dec., 2013 pp.521-540
PMBOK (Quarta Edição) – Project Management Institute, 2008
QUINQUIOLO, J. M. Avaliação da Eficácia de um Sistema de Gerenciamento para Melhorias
Implantado na Área de Carroceria de uma Linha de Produção Automotiva . Taubaté ⁄SP:
Universidade de Taubaté, 2002
SAMPARA,E. J; MATIODA,R. A.; CARDOSO,R.S.Análise de insumos e aplicação de sistemática de
solução de problemas para geração de melhorias. Bahia, 2009. ENCONTRO NACIONAL DE
ENGENHARIA DE PRODUÇÃO, XXIX,
PEÑA J. J. S. ; VICENTE E. F. ; OCAÑA A. ITIL, COBIT AND EFQM: CAN THEY WORK TOGETHER? .
International Journal of Combinatorial Optimization Problems and Informatics, 2013, Vol.4(1), p.54-
64
SILVA, E. L.;MENEZES, M.E. Metodologia da pesquisa e elaboração de dissertação – 4 ed. ver.
atual. Florianópolis: UFSC, 2005
VIEIRA, M.F. Gerenciamento de projetos de tecnologia da informação. 2ed. Rio de Janeiro: Elsevier.
2007
VIEIRA, M. V. Governança de TI no setor público – Caso DATAPREV. Dissertação (Mestrado em
Sistemas de Gestão) Universidade Federal Fluminense, Niterói, 2005
VON SOLMS, B. Information Security governance: CobiT or ISO 17799 or both?
(2005) Computers and Security, 24 (2), p. 99-104.