governanÇa de tecnologia da informaÇÃo: adoÇÃo de...
TRANSCRIPT
UNIVERSIDADE POSITIVO
PROGRAMA DE MESTRADO E DOUTORADO EM ADMINISTRAÇÃO
MESTRADO EM ADMINISTRAÇÃO
ÁREA DE CONCENTRAÇÃO: ORGANIZAÇÕES,
EMPREENDEDORISMO E INTERNACIONALIZAÇÃO
DISSERTAÇÃO DE MESTRADO
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: ADOÇÃO DE MODELOS DE MELHORES PRÁTICAS EM EMPRESAS BRASILEIRAS
HIURY HAKIM TAROUCO
CURITIBA
2008
Livros Grátis
http://www.livrosgratis.com.br
Milhares de livros grátis para download.
ii
<FOLHA DE APROVAÇÃO>
iii
HIURY HAKIM TAROUCO
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: ADOÇÃO DE MODELOS DE MELHORES PRÁTICAS EM EMPRESAS BRASILEIRAS
Dissertação apresentada como requisito parcial para a obtenção do grau de Mestre em Administração, Curso de Mestrado em Administração, Programa de Mestrado e Doutorado em Administração, Universidade Positivo.
Orientação: Prof. Dr. Alexandre Reis Graeml
CURITIBA
2008
iv
Dados Internacionais de catalogação na Publicação (CIP) Biblioteca da Universidade Positivo - Curitiba – PR
T191 Tarouco, Hiury Hakim. Governança de tecnologia da informação: adoção de modelos
de melhores práticas em empresas brasileiras / Hiury Hakim Tarouco. Curitiba : Universidade Positivo, 2008.
126 p. Dissertação (mestrado) – Universidade Positivo, 2008. Orientador : Prof. Dr. Alexandre Reis Graeml 1. Governança corporativa. 2. Tecnologia da informação. I. Título. CDU 65.012.4
v
Aos meus pais e amigos. Para minha sobrinha
Dharlla que, com seu sorriso sincero e seu abraço
verdadeiro de criança, me levantou em muitos momentos
difíceis, mesmo sem ter consciência disso. Para o grande
irmão, Cícero Kwitschal pela amizade única e de extrema
importância na realização dos meus projetos pessoais e
profissionais. Para as pessoas que sempre estiveram por
perto até mesmo quando eu não estava disposto. Para as
pessoas que fizeram diferença em minha vida, que me
aconselharam quando me senti sozinho e me deram força
quando eu não estava muito animado. Dedico esse
projeto para as pessoas que amei, que abracei e àquelas
que, nos momentos de dúvida, trouxeram certeza pro meu
coração.
A todos que acreditaram no meu trabalho e me
incentivaram desde o início dessa importante fase da
minha vida.
vi
Agradecimentos
Em especial ao professor Alexandre Reis Graeml
pelos papéis fundamentais desempenhados ao longo
desses anos, não apenas no cumprimento deste trabalho,
mas como grande profissional e amigo, sempre me
ajudando com muita paciência, acreditando no meu
trabalho, incentivando e contribuindo de forma inigualável
para o aprimoramento do meu senso crítico, além do meu
crescimento profissional e pessoal.
Aos professores do curso de mestrado em
Administração da Universidade Positivo, por todo o
conhecimento compartilhado ao longo desses anos e pelo
suporte vital para a conclusão deste trabalho.
Às colegas Magali Maróstica e Patrícia Rossafa
por terem se empenhado junto comigo na realização de
vários trabalhos e artigos ao longo do curso.
Aos colegas e coordenadores da TIM Celular pelo
companheirismo, amizade e suporte nos momentos mais
difíceis, principalmente naqueles em que precisei me
ausentar do trabalho para realizar atividades relacionadas
ao mestrado.
Ao colega e amigo Hercílio Bittencourt pelo papel
fundamental no desenvolvimento do instrumento de coleta
utilizado nessa pesquisa.
À Andréa Sachet por revisar meu trabalho e com
seu refinado senso crítico e delicadeza singular, reclamar
da minha falta de respeito pelas regras da ABNT.
vii
Você não pode provar uma definição. O que você
pode fazer é provar que ela faz sentido.
Albert Einstein
viii
Resumo
O presente trabalho tem como objetivo principal a compreensão e caracterização da adoção de modelos de melhores práticas de governança de tecnologia da informação por empresas brasileiras usuárias de TI, a partir da visão dos seus executivos de TI. O estudo quantitativo de natureza descritivo-exploratória foi realizado por meio de uma survey eletrônica para a qual foram convidadas cem empresas brasileiras de destaque na área de TI. Os resultados obtidos com a amostra de 51 empresas indicaram que as empresas tendem a relacionar diretamente a adoção de modelos de melhores práticas de tecnologia da informação ao aumento da visibilidade dos executivos sobre o retorno de investimentos em TI e ao aumento do controle e qualidade dos serviços prestados pela TI, ou seja, a aplicação de governança leva a empresa, na visão dos respondentes, a atingir tais objetivos com sucesso. As empresas demonstraram também que os fatores determinantes para adoção de modelos de melhores práticas de governança de tecnologia da informação estão relacionados à crescente demanda por monitoramento e controle organizacional; à exigência de transparência pelos acionistas e pelo mercado; ao aumento da complexidade da tecnologia; e ao fato de as áreas de negócio estarem cada vez mais dependentes da TI. Os modelos de melhores práticas de governança de TI, identificados como mais freqüentemente utilizados nas empresas foram o Itil, Cobit, Pmbok e os códigos para gerenciamento de segurança da informação BS 7799, ISO/IEC 27001 e ISO/IEC 17799. Os resultados obtidos na pesquisa sugerem ainda que o conceito de governança de TI está ligado diretamente às iniciativas relacionadas ao aumento do controle e qualidade dos serviços prestados pela TI para a empresa.
Palavras-chave: governança de TI, tecnologia da informação, survey.
ix
Abstract
The major purpose of this thesis was to understand and characterize the adoption of IT government best practices by Brazilian IT user organizations, based on the perceptions of their executives. The quantitative study had an exploratory and descriptive nature and involved an electronic survey that was sent to one hundred organizations that had distinguished performance in the IT area. The results that were obtained from a sample of 51 respondents show that organizations tend to relate the adoption of best practice models in IT to the increase of the visibility executives have about the return on the investment in IT and the increase in the control and quality of the service provided by IT, i.e. IT governance leads to the achievement of such objectives in a successful way, according to the respondents’ perception. Companies have also shown that the determining factors for the adoption of IT governance best practice models relate to the increasing demand for organizational monitoring and control; the stake-holders’ demand for transparency; the increase in technology complexity;; and the fact that business areas are each time more dependent on IT. The IT governance best practice models that were more often identified in the organizations were Itil, Cobit, Pmbok and the regulations for information safety BS 7799, ISO/IEC 27001 and ISO/IEC 17799. The results that were obtained also suggest that the IT governance concept is directly related to initiatives that intend to increase the control and the quality of services that are provided by the IT area to the business areas in the organization.
Key-words: IT governance, information technology, survey.
x
Sumário
1 INTRODUÇÃO...........................................................................................17
1.1 FORMULAÇÃO DO PROBLEMA...............................................................19
1.2 DEFINIÇÃO DOS OBJETIVOS DA PESQUISA.........................................20 1.2.1 Objetivo geral .............................................................................................20 1.2.2 Objetivos específicos .................................................................................20
1.3 JUSTIFICATIVAS TEÓRICA E PRÁTICA..................................................21
2 QUADRO TEÓRICO DE REFERÊNCIA....................................................23
2.1 ALINHAMENTO ESTRATÉGICO ENTRE OS NEGÓCIOS E A TECNOLOGIA DA INFORMAÇÃO ............................................................23
2.2 GOVERNANÇA CORPORATIVA...............................................................32
2.3 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO ............................38 2.3.1 Regulamentações de conformidade...........................................................41 2.3.1.1 Sarbanes-Oxley Act (SOA) ................................................................................... 41 2.3.1.2 Acordo da Basiléia II ............................................................................................. 45 2.3.2 Modelos de melhores práticas ...................................................................48 2.3.2.1 Itil .......................................................................................................................... 48 2.3.2.2 Cobit...................................................................................................................... 56 2.3.2.3 Modelo de maturidade de governança de TI (IT Governance Maturity Model)..... 64 2.3.2.4 IT BSC .................................................................................................................. 66 2.3.2.5 PMBok .................................................................................................................. 68 2.3.2.6 BS 7799, ISO/IEC 27001 e ISO/IEC 17799.......................................................... 71 2.3.2.7 Prince2.................................................................................................................. 74 2.3.2.8 Seis Sigma............................................................................................................ 75 2.4 CONSIDERAÇÕES FINAIS SOBRE O REFERENCIAL TEÓRICO...........77
3 METODOLOGIA........................................................................................78
3.1 APRESENTAÇÃO DAS VARIÁVEIS DA PESQUISA ................................78 3.1.1 Definição constitutiva e operacional das variáveis da pesquisa.................78 3.1.2 Definição de outros termos relevantes.......................................................79
3.2 DELIMITAÇÃO E DESIGN DA PESQUISA................................................80 3.2.1 Delineamento da pesquisa.........................................................................80 3.2.2 População e amostragem ..........................................................................81 3.2.3 Elaboração do instrumento de coleta de dados (questionário) ..................82
3.3 RESUMO DOS PRINCIPAIS ASPECTOS DA METODOLOGIA EMPREGADA ............................................................................................87
3.4 CONSIDERAÇÕES SOBRE A APLICAÇÃO DA PESQUISA DE CAMPO......................................................................................................88
3.4.1 Pré-teste do instrumento de coleta de dados.............................................88 3.4.2 Contato inicial com os respondentes em potencial ....................................88 3.4.3 Tentativa de melhorar a taxa de retorno do questionário...........................89 3.4.4 Coleta de dados .........................................................................................91
xi
3.4.5 Considerações sobre a representatividade da amostra .............................92 3.4.6 Tratamento dos dados ...............................................................................92
3.5 CONSIDERAÇÕES ADICIONAIS SOBRE A PESQUISA DE CAMPO......................................................................................................93
3.5.1 Vantagens do uso de survey eletrônica .....................................................93 3.5.2 Dificuldades encontradas na pesquisa.......................................................94
4 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS...............................95
4.1 CARACTERIZAÇÃO DAS EMPRESAS PESQUISADAS E DOS RESPONDENTES .....................................................................................95
4.2 OPINIÃO DOS EXECUTIVOS DE TI COM RELAÇÃO À INFLUÊNCIA DO USO DE MODELOS DE MELHORES PRÁTICAS DE GOVERNANÇA DE TI PELAS EMPRESAS ........................................97
4.3 FATORES DE INFLUÊNCIA NA ADOÇÃO DE MODELOS DE MELHORES PRÁTICAS DE GOVERNANÇA DE TI..................................99
4.4 MODELOS DE MELHORES PRÁTICAS DE GOVERNANÇA DE TI ADOTADOS PELAS EMPRESAS PESQUISADAS.................................106
5 CONCLUSÕES E RECOMENDAÇÕES..................................................111
REFERÊNCIAS.......................................................................................................115
APÊNDICE 1 - QUESTIONÁRIO DE PESQUISA...................................................125
xii
Lista de ilustrações
Figura 1 Fatores para o desenvolvimento de organizações eficazes.................25
Figura 2 A cadeia de valor .................................................................................27
Figura 3 As cinco forças competitivas ................................................................28
Figura 4 Matriz de intensidade de informação....................................................30
Figura 5 Raízes de conflitos de agência: as decorrentes reações por boas práticas de governança corporativa.............................................35
Figura 6 Disciplinas do Itil ..................................................................................49
Figura 7 Suporte aos serviços............................................................................51
Figura 8 Entrega de serviços..............................................................................52
Figura 9 Desenvolvimento do gerenciamento da ICT ........................................54
Figura 10 Domínios do Cobit no framework .........................................................59
Figura 11 Cubo Cobit ...........................................................................................63
Figura 12 BSC para TI .........................................................................................68
Figura 13 Áreas de conhecimento do PMBok ......................................................71
Figura 14 Metodologia seis sigma........................................................................76
Figura 15 Variáveis relacionadas à adoção da governança de TI e seus reflexos sobre os negócios...................................................................78
Figura 16 Questões objetivas (escala Likert) da primeira parte do questionário, com menu drop-down – para determinação do grau de concordância...........................................................................84
Figura 17 Check boxes para indicação da utilização (ou não) de modelos de melhores práticas pela organização................................................84
Figura 18 Questões objetivas (escala Likert) da segunda parte do questionário, com menu drop-down – para medir o grau de concordância........................................................................................85
Figura 19 Questões objetivas da segunda parte do questionário, com menu drop-down – para medir o grau de utilização de modelos de melhores práticas............................................................................85
Figura 20 Campos opcionais para identificação do respondente e da empresa ...............................................................................................86
Figura 21 Página de agradecimento ao final do questionário ..............................86
Figura 22 Logotipo da Universidade Positivo no cabeçalho da pesquisa.............87
Figura 23 E-mail customizado enviado para apresentar a pesquisa aos participantes.........................................................................................89
Figura 24 Barra de rolagem lateral curta para facilitar a visualização do conteúdo total da página ......................................................................90
xiii
Figura 25 Conteúdo do banco de dados Microsoft Access® com os dados de alguns respondentes .......................................................................92
Figura 26 Registros dos dados de alguns respondentes já no Microsoft Excel®..................................................................................................93
Figura 27 Setores econômicos contemplados na pesquisa (população) .............96
Figura 28 Utilização de algum modelo de melhores práticas de governança de tecnologia da informação.............................................96
Figura 29 Opinião dos respondentes sobre as conseqüências da utilização de modelos de melhores práticas de governança de TI ..........................................................................................................97
Figura 30 Fatores de influência na adoção de modelos de melhores práticas de governança de TI.............................................................101
Figura 31 Campo texto permitindo a indicação de outro fator não abordado pela pesquisa .....................................................................104
Figura 32 Modelos de melhores práticas de governança de TI adotados pelas empresas pesquisadas.............................................................107
Figura 33 Campo texto permitindo a indicação de outro modelo não apresentado nas questões da pesquisa.............................................110
xiv
Lista de quadros
Quadro 1 Razões fundamentais do despertar da governança corporativa ..........36
Quadro 2 Principais modelos de melhores práticas de governança de TI ...........40
Quadro 3 Implicações do Sarbanes-Oxley Act para a área de TI ........................45
Quadro 4 Questões e processos dos domínios do Cobit .....................................57
Quadro 5 Forma de apresentação dos resultados da pesquisa realizada pela revista Information Week Brasil ....................................................81
Quadro 6 Metodologia empregada no trabalho....................................................87
xv
ABREVIATURAS
Sigla Significado
ABNT
ASP
BIS
BS
BSC
Associação Brasileira de Normas Técnicas
Active Server Pages
Bank for International Settlements
British Standard
Balanced Score Card
CCSC
CCTA
CEO
CFO
CIO
Commercial Computer Security Center
Central Computer and Telecommunications Agency
Chief Executive Officer
Chief Financial Officer
Chief Information Officer
CMM
CMMI
Capability Maturity Model
Capability Maturity Model Integration
CMN
Cobit
Conselho Monetário Nacional
Control Objectives for Information and Related Technology
Coso Committee of Sponsoring Organizations of the Tradeway Commission
CSBB
CVM
DSS
Comitê de Supervisão Bancária da Basiléia
Comissão de Valores Mobiliários
Decision Support System
FCS
GAAP
IBGC
Fatores Críticos de Sucesso
Generally Accepted Acounting Principles
Instituto Brasileiro de Governança Corporativa
ICT
IEC
Isaca
Information and Comunication Technology
International Electrotechnical Comission
Information Systems Audit and Control Association
Isacf
ISMS
ISO
Information Systems Audit and Control Foundation
Information Security Management System
International Organization for Standardization
ITGI IT Governance Institute (Instituto de Governança de TI)
Itil Information Technology Infrastructure Library
ITSM
KGI
KPI
MIS
IT Service Management
Key Goal Indicators
Key Performance Indicator
Management Information System
xvi
Sigla Significado
MIT
NBR
OGC
Massachusetts Institute of Technology
Norma Brasileira
Office of Government Commerce
PCAOB
PEE
Peti
PMBoK
Public Company Accounting Oversight Board
Planejamento Estratégico Empresarial
Planejamento Estratégico de Tecnologia da Informação
Project Management Body of Knowledge
PMI
PMO
Prince
Project Management Institute
Project Management Office
Projects in a Controlled Environment
Prompt
SEC
SEI
SLA
SOA
SW
TCO
TI
TIC
Project Resource Organisation Management and Planning Techniques
Stock Exchange Commission
Software Engineering Institute
Service Level Agreement
Sarbanes-Oxley Act
Software
Total Cost of Ownership
Tecnologia da Informação
Tecnologia da Informação e Comunicação
1 INTRODUÇÃO
A competição no mercado globalizado é de amplitude mundial e, desta
forma, os fatos que ocorrem em um ponto do planeta podem ter repercussão no
resto do mundo. Além disso, as relações entre empresas podem envolver agentes
muito distantes fisicamente, em um ambiente que exige respostas cada vez mais
rápidas e agilidade crescente. As equipes de gerência devem garantir que a
tecnologia da informação (TI) não seja um obstáculo para a organização, mas sim
habilitadora da necessária integração intra e inter-empresarial, bem como da criação
de novas estratégias de negócio, de novas estruturas organizacionais e de novas
formas de relacionamento entre as empresas, seus fornecedores, seus clientes e os
consumidores dos seus produtos.
As organizações administram muitos ativos, como pessoas, dinheiro,
instalações e o relacionamento com o cliente, mas a informação e as tecnologias
que coletam, armazenam e disseminam informações são ativos que apresentam
grandes desafios para a administração, em função da necessidade de grandes
investimentos, imediatos e constantes, em busca de resultados difíceis de prever e
de avaliar com precisão.
Algumas organizações conseguiram prosperar a despeito de suas práticas
deficientes na administração de tecnologia da informação, porém a informação, e
conseqüentemente as tecnologias que a disseminam, tem se apresentado como um
elemento cada vez mais importante dos produtos e serviços organizacionais e da
base dos processos empresariais, o que demanda uma preocupação maior com a
eficácia das práticas adotadas. Extrair maior valor da tecnologia da informação é
uma competência organizacional de importância crescente para o sucesso no
mercado.
Para Weill e Ross (2006), o termo tecnologia da informação deve ser
entendido de maneira ampla, abrangendo todas as formas como uma empresa
investe para gerar valor de negócio, a partir de recursos tecnológicos, seja cortando
despesas, automatizando ou suportando processos de negócio, ganhando
vantagens competitivas, atendendo a normas e regulamentos e utilizando a
18
informação para administrar, vender, contabilizar, controlar, compartilhar
informações com clientes, fornecedores e consumidores, embutir em produtos e
assim por diante.
Barton (1995) afirma que em todos os setores, a informação e a tecnologia
que a fornece tornaram-se ativos estratégicos para as empresas comerciais e seus
administradores. A evolução do papel da tecnologia da informação nas organizações
é notória e perceptível em todos os níveis hierárquicos e setores (REZENDE, 2007).
Sua disseminação nos setores das organizações gerou uma dependência
significativa do negócio em relação aos serviços prestados. Essa dependência cria
exigências como disponibilidade, garantia de continuidade, segurança, eficiência,
qualidade na entrega e no suporte, controles, conformidade e consistência. Aliado a
isso, atualmente o cenário regulatório requer a utilização de estruturas de
gerenciamento cada vez mais complexas (HARRIS, 2005).
Se, por um lado, as exigências se tornam cada vez maiores, por outro lado,
os investimentos em tecnologia da informação passam a condicionar-se a
demonstrações de viabilidade econômica e de retornos sobre o investimento cada
vez mais expressivos, principalmente depois de toda a discussão sobre a existência
de um eventual “paradoxo de produtividade”, que prosperou nas décadas de 1980 e
1990 (BRYNJOLFSSON, 1993; DEWAN e KRAEMER, 1998). A obtenção de
vantagens competitivas por meio do uso da tecnologia da informação pressupõe o
desenvolvimento de estratégias de negócios como ponto de partida para as
estratégias de utilização da tecnologia da informação.
Henderson e Venkatraman (1999) consideram que a falta de habilidade das
empresas em obter retornos consideráveis sobre os investimentos em tecnologia da
informação se deve, em parte, à ausência de coordenação e alinhamento com as
estratégias de negócios. Como os negócios e a tecnologia da informação se
tornaram mais interligados, o alinhamento estratégico entre eles emergiu como um
dos mais importantes assuntos empresariais e acadêmicos (BRODBECK e
HOPPEN, 2002; CHAN et al., 1997; LUFTMAN et al. 1993).
19
Diversos regulamentos, normas e recomendações surgiram no cenário
internacional como decorrência da necessidade de mitigar riscos oriundos da
indisponibilidade da tecnologia, bem como com o objetivo de proporcionar um grau
de transparência compatível com as expectativas de investidores, os quais começam
a ser levados em consideração pelas organizações, ao desenvolverem suas políticas
de governança de TI, na esperança de se obter um melhor alinhamento das
iniciativas de TI às estratégias empresariais, além da garantia de níveis de serviço
melhor ajustados às expectativas dos clientes. Duas legislações têm forte impacto
na área de tecnologia da informação das organizações: o Acordo de Basiléia II, em
2001, voltado para aspectos financeiros e de transparência das empresas, e a lei
norte-americana Sarbanes-Oxley, de 2002, com leis voltadas para definição de
critérios de governança. Ambos criaram regras que se difundiram pelas
organizações e têm artigos diretamente voltados para a área de TI (FERNANDES e
ABREU, 2006).
1.1 FORMULAÇÃO DO PROBLEMA
Muito se tem falado sobre governança de tecnologia da informação e
inúmeros são os fatores que levam as empresas a reverem seus atuais modelos de
gestão da tecnologia. Dentre eles, destacam-se: a complexidade cada vez maior dos
recursos envolvidos, a crescente dependência de tecnologia evidenciada pelo
negócio, a integração dos sistemas e soluções, as necessidades heterogêneas dos
negócios, a pressão por redução de custos e por maior flexibilidade e agilidade, a
responsabilidade legal (civil e criminal), a exigência de transparência pelos
acionistas e pelo mercado, a mudança do perfil da concorrência e o aumento das
ameaças e vulnerabilidades em tecnologia da informação (FERNANDES e ABREU,
2006).
Como já foi dito, diversos regulamentos, normas e recomendações surgiram
no cenário internacional como decorrência da necessidade de mitigar riscos oriundos
da indisponibilidade da tecnologia, bem como com o objetivo de proporcionar um
grau de transparência compatível com as expectativas de investidores.
Desdobramentos da legislação e dos regulamentos internacionais começam a surgir
no Brasil, com implicações diretas no curto prazo para instituições financeiras,
20
sociedades de capital aberto, filiais de empresas multinacionais com sede nos
Estados Unidos e fornecedores de empresas americanas.
A conformidade com os regulamentos vigentes, as exigências decorrentes
do aumento do grau de dependência do negócio em relação à área de tecnologia da
informação e o gerenciamento financeiro dos projetos criaram as condições
propícias para o surgimento dos mencionados modelos de governança de tecnologia
da informação, que sugerem a adoção de guias de melhores práticas para atingir a
eficiência na gestão dos serviços de TI.
Levando-se em conta o cenário de proliferação de modelos de melhores
práticas de governança de tecnologia da informação e as pressões existentes para
que as empresas os adotem, o presente estudo busca investigar o seguinte
problema de pesquisa:
Como está se dando a adoção de modelos de melhores práticas de governança de tecnologia da informação por empresas brasileiras usuárias de TI?
1.2 DEFINIÇÃO DOS OBJETIVOS DA PESQUISA
1.2.1 Objetivo geral
O objetivo geral deste trabalho é compreender e caracterizar a adoção de
modelos de melhores práticas de governança de tecnologia da informação por
empresas brasileiras usuárias de TI, a partir da visão dos seus executivos de TI.
1.2.2 Objetivos específicos
Para ajudar na consecução do objetivo geral proposto acima, foram criados
os seguintes objetivos de apoio:
Identificar os fatores que influenciam na adoção de modelos de melhores
práticas de governança de tecnologia da informação, com base na
literatura;
21
Identificar os fatores que têm influenciado as empresas pesquisadas na
adoção de modelos de melhores práticas de governança de tecnologia da
informação;
Comparar os fatores de influência identificados na literatura com aqueles
identificados a partir da pesquisa de campo;
Identificar os principais modelos de melhores práticas de governança de
tecnologia da informação disponíveis, de acordo com a literatura;
Identificar os modelos de melhores práticas de governança de tecnologia
da informação adotados pelas empresas pesquisadas;
Comparar os modelos identificados na literatura com aqueles identificados
a partir da pesquisa de campo;
Identificar a opinião dos executivos de tecnologia da informação com
relação à influência do uso de modelos de melhores práticas de
governança de tecnologia de informação nas empresas.
1.3 JUSTIFICATIVAS TEÓRICA E PRÁTICA
A pesquisa se justifica, do ponto de vista prático, pela importância do tema,
pois afeta diretamente os custos relacionados à tecnologia da informação nas
organizações, além do seu valor para o negócio. O estudo também poderá servir de
base para outros estudos de mesma natureza, comparativos entre diferentes regiões
ou internacionais. Trata-se de um tema extremamente atual no contexto
organizacional, uma vez que os motivos que levam as empresas a adotar modelos
de governança de TI são vários, bem como os modelos utilizados com o intuito de
padronizar a gestão da tecnologia da informação, afetando diretamente a gestão dos
serviços de tecnologia da informação. Os resultados deste estudo serão importantes
para que as empresas saibam quais os principais motivos que levam empresas
brasileiras à adoção ou não de modelos e melhores práticas de governança de TI.
Desta forma os resultados obtidos com este estudo poderão subsidiar o processo
decisório das empresas no que se refere à adoção, escolha e adequação de tais
práticas na sua gestão da tecnologia da informação.
22
A justificativa teórica pauta-se na importância do entendimento dos fatores
que levam empresas a adotar modelos de governança de tecnologia da informação.
O conhecimento de estratégias de gestão e dos motivos que influenciam as
empresas a utilizarem modelos de governança de tecnologia da informação
constituem objetivo relevante para a evolução dos estudos organizacionais, já que
pouco se tem discutido a questão pela academia, apesar da relevância prática
ressaltada no parágrafo acima.
23
2 QUADRO TEÓRICO DE REFERÊNCIA
2.1 ALINHAMENTO ESTRATÉGICO ENTRE OS NEGÓCIOS E A TECNOLOGIA
DA INFORMAÇÃO
Em um contexto global cada vez mais competitivo e complexo tecnologica-
mente, o sucesso das empresas passa a depender de sua capacidade de adminis-
trar seus recursos de forma efetiva. Para Albertin (1994), a tecnologia da informação
tem sido considerada essencial tanto para sobrevivência quanto para a elaboração
das estratégias empresariais, em função da sua crescente disseminação e utilização
dentro das organizações. Segundo Willcocks e Lester (1997), as discussões
iniciadas na década de 70, no Massachusetts Institute of Technology (MIT), têm
aumentado nos últimos anos, intensificando os questionamentos sobre os benefícios
que a tecnologia da informação proporciona às organizações, tanto por acadêmicos,
como por executivos empresariais.
Henderson e Venkatraman (1993), citam que a falta de habilidade das
empresas em obter retornos consideráveis sobre os investimentos em tecnologia da
informação, por exemplo, deve-se em parte à ausência de coordenação e
alinhamento com as estratégias de negócios. Como os negócios e a tecnologia da
informação se tornaram mais interligados, o alinhamento estratégico entre eles
emergiu como um dos mais importantes assuntos empresariais e acadêmicos.
O alinhamento estratégico dos negócios e da tecnologia da informação deve,
portanto, ser utilizado como ferramenta de gestão, focando nas atividades que a
gerência deve executar para atingir coesão entre os esforços desenvolvidos pela
área de tecnologia da informação e pelas áreas funcionais e de negócios. O
alinhamento decorre da perspectiva de integração dos planejamentos estratégicos
empresariais (PEE) e de tecnologia da informação (PETI), em que “a missão,
objetivos e planos de tecnologia da informação suportam e são suportados pela
missão, objetivos e planos de negócios” (REICH e BENBASAT, 1996, p. 6).
Segundo Porter (1980), o conceito de alinhamento estratégico originou-se
em pesquisas sobre estratégia de negócios, já que delas emerge o conceito de
24
alinhar os recursos organizacionais com as ameaças e as oportunidades do
ambiente. As estratégias de negócios devem refletir as decisões que, alinhadas aos
recursos corporativos, ajudam a ligar as organizações com seu ambiente. Para
Kaplan e Norton (1997), Luftman (2000) e Sabherwal e Chan (2001) a tecnologia da
informação é vista como um destes recursos corporativos que podem apoiar as
estratégias em nível operacional ou direcionar as estratégias em um nível mais alto,
apoiando o negócio na obtenção de vantagem competitiva.
Inúmeros modelos clássicos são encontrados na literatura apontando
diversos níveis de alinhamento. Porém, dois deles são os mais utilizados: o primeiro,
em nível estratégico, envolvendo a adequação entre o ambiente externo do negócio
e a tecnologia da informação (escopo e core competences) e o segundo, em nível
tático-operacional, envolvendo a integração funcional entre infra-estrutura, processos,
pessoas do negócio e suas plataformas tecnológicas (TEO e KING, 1996;
HENDERSON e VENKATRAMAN, 1993).
Lederer e Mendelow (1987) definem o alinhamento entre o PEE e o PETI
como uma função das estratégias de tecnologia da informação [orientação e
aplicação dos sistemas, suas funções e procedimentos], derivadas das estratégias
corporativas. Estas últimas, por sua vez, são, na visão desses autores, normalmente
decorrentes da missão e dos objetivos da organização.
Para Reich (1992), o alinhamento estratégico é o embutimento das funções
organizacionais do planejamento estratégico de tecnologia da informação (PETI) na
missão, objetivos e planos estratégicos da empresa.
Henderson e Venkatraman (1993) e Luftman et al. (1993) usam a mesma
base conceitual de Porter (1990) acerca do estabelecimento de estratégias
competitivas para definir alinhamento como o sincronismo entre a apropriação das
forças de barganha do ambiente externo e o ajuste das atividades internas
(primárias e secundárias). Neste segundo conjunto estão as estratégias de
tecnologia da informação. O ajuste da cadeia de valor interna com as forças de
barganha externas exige da organização o desenvolvimento de capacidades e
competência que lhe proporcionariam o desempenho esperado.
25
Chan et al. (1997) e Prahalad e Krishnan (2002) entendem o alinhamento
como a adequação da direção estratégica da corporação e a orientação estratégica
da tecnologia da informação.
Para Davenport e Prusak (1998) e Prahalad (2000) para que as
organizações possam compreender e aprender a aproveitar os benefícios da
tecnologia da informação, a estratégia da tecnologia da informação deve permitir às
organizações além de alinhar a tecnologia da informação com as metas dos
negócios empresariais, também explorar a tecnologia da informação como vantagem
competitiva e desenvolver arquiteturas e políticas de tecnologia coerentes com as
políticas internas, a fim de manter um ambiente de informação que alimente a
formulação de estratégias corporativas eficazes.
A gestão efetiva de uma organização requer a percepção objetiva do valor
da informação para os negócios da empresa. Segundo Rodriguez (1995), a sinergia
entre tecnologia e negócio é a chave do sucesso. É necessário, contudo, apropriar a
organização para a função da tecnologia da informação. Walton (1994) chama a
atenção para a necessidade do desenho da organização incluir os componentes da
estratégia de modo combinado e integrado, de forma a orientar os padrões do
comportamento organizacional, visando aos resultados de negócio e ao bem-estar
das pessoas, conforme mostra a Figura 1.
Fonte: Walton (1994)
Figura 1 Fatores para o desenvolvimento de organizações eficazes
Walton (1994) cita alguns impactos causados pela interação da tecnologia
da informação com a organização e explica a necessidade da implementação da
26
tecnologia da informação como capacitadora de mudanças e resultados,
considerando que:
a tecnologia da informação requer novos desenhos organizacionais
(cargos mais amplos e flexíveis, diferente distribuição da autoridade,
novos programas de treinamento e critérios de seleção);
a tecnologia da informação pode provocar reações organizacionais não
previstas (novas disputas por poder ou status, mudanças de padrões de
comunicação e controle comportamental generalizado);
a tecnologia da informação pode criar ou promover novas soluções
organizacionais (capacitar pessoas da organização a trabalharem juntas
no espaço e no tempo);
a tecnologia da informação pode ser modificada de modo a atender as
necessidades dos usuários;
a tecnologia da informação pode acelerar e refinar a adaptação
organizacional a condições de mudanças;
a tecnologia da informação e as formas organizacionais, por vezes, podem
ser consideradas alternativas, no sentido de que cada uma é capaz de
desenvolver funções similares, tais como facilitar certos tipos de
comunicação e coordenação em uma unidade organizacional;
a tecnologia da informação pode criar oportunidades para a introdução de
mudanças organizacionais que a administração pode achar desejáveis,
independentemente das necessidades ou potenciais efeitos do sistema de
TI.
Davenport (2001) chama atenção para o fato de que a tecnologia da
informação pode ser um fator essencial para aperfeiçoar o uso da informação ou
pode ser apenas um custo a mais para a empresa. Seu impacto positivo depende de
como são envolvidos os recursos humanos da empresa no uso da informação.
Porter e Millar (1985) afirmam que o papel desempenhado pelos sistemas e
tecnologias da informação nas organizações devem ser entendidos de maneira
27
ampla, para abranger todas as informações que são criadas e utilizadas pelos
negócios, assim como o grande espectro de tecnologias cada vez mais
convergentes e interligadas, que processam essas informações. Além dos
computadores, estão envolvidos equipamentos de reconhecimento de dados,
tecnologias de comunicações, automação industrial e outros hardwares e serviços,
bem como as novas formas de associação e relacionamento entre as empresas.
Henderson e Venkatraman (1999) avaliam a tecnologia da informação como
viabilizadora de uma nova forma de integração: a integração virtual, que surge como
uma forte alternativa à integração vertical, que passa a perder potencial como fonte
de vantagem competitiva.
Uma questão importante para entender o papel da TI é a obtenção de
vantagens competitivas ao longo da “cadeia de valor” que, segundo Porter e Millar
(1985), é o conjunto das atividades tecnológica e economicamente distintas que a
empresa utiliza para realizar seus negócios. Cada uma destas atividades representa
uma “atividade de valor”. Agregar valor nesta cadeia de maneira mais significativa
que seus concorrentes torna a empresa mais competitiva. A cadeia de valor
compõe-se de uma série de atividades independentes conectadas por meio das
“ligações” que existem sempre que uma atividade afeta o custo ou a eficiência de
outras atividades. Cada atividade, para ser realizada, tem um componente físico e
outro de processamento de informações. A Figura 2 ilustra a cadeia de valor e
apresenta nove atividades genéricas, que podem ser classificadas em dois grupos:
atividades-meio (ou de suporte) e atividades-fim (ou primárias), na visão de Porter e
Millar (1985).
Fonte: Porter e Millar (1985).
Figura 2 A cadeia de valor
28
Ainda na visão de Porter e Millar (1985), a tecnologia da informação permeia
as cadeias de valor, mudando a forma de executar as atividades de valor e também
a natureza das ligações entre elas. Ao introduzir novas formas de interação, a
tecnologia da informação pode afetar a competição entre as organizações de três
possíveis maneiras:
muda a estrutura do setor, ou seja, altera as regras de competição com
capacidade de influenciar cada uma das cinco forças competitivas que
devem ser consideradas para que se possa desenvolver uma estratégia
empresarial eficiente (Figura 3);
cria novas vantagens competitivas, reduzindo custos, aumentando a
diferenciação e alterando o escopo competitivo;
dá origem a negócios completamente novos.
Fonte: Porter e Millar (1985).
Figura 3 As cinco forças competitivas
O potencial que os recursos de tecnologia da informação têm de realizar
estas mudanças varia de acordo com as características do processo organizacional
em questão na cadeia de valor e do produto, no tocante à necessidade de
29
informação. A Figura 4 ilustra a “Matriz de intensidade da informação” que analisa o
“quanto” de informação está contido no processo e no produto, considerando a
cadeia de valor. Em empresas cujos produtos e processos contêm muita informação,
os sistemas de informação vão ter grande importância. No artigo original de Porter e
Millar (1985), não havia indicação de exemplo para o quadrante “alta informação
contida no produto” e “baixa intensidade da informação no processo”, posição que
para Ward (1987) seria ocupada por empresas de educação e de advocacia. Para
Duhan et al. (2001), empresas de consultoria também estariam neste mesmo
enquadramento, embora esses autores considerem que a análise da cadeia de valor
fique prejudicada no caso de empresas baseadas em conhecimento (como
consultorias), nas quais é difícil identificar o valor que é agregado em cada atividade.
Nestas situações, os autores defendem que a abordagem das competências
essenciais de Prahalad e Hamel (1990) seja mais adequada para planejar o uso
estratégico dos sistemas de informação. Tal abordagem classifica uma competência
organizacional como essencial se atender, simultaneamente, a três requisitos:
resultar de um conjunto de diferentes competências articuladas de forma a
constituir um diferencial estratégico de difícil imitação;
tiver impacto nos produtos finais, agregando valor para os clientes; e
propiciar meios para que a organização possa atuar em diferentes
mercados.
Para avaliar o impacto estratégico da tecnologia da informação, McFarlan
(1984) propôs a análise de cinco questões básicas sobre as aplicações dos recursos
tecnológicos, relacionadas às forças competitivas:
A TI pode estabelecer barreiras à entrada de novos competidores no
mercado?
A TI pode influenciar trocas de fornecedores, bem como alterar o poder de
barganha?
A TI pode alterar a base da competição (baseada em custo, diferenciação
ou enfoque)?
A TI pode alterar o poder de barganha nas relações com os compradores;
30
A TI pode gerar novos produtos?
Fonte: Porter e Millar (1985).
Figura 4 Matriz de intensidade de informação
Estas questões servem como orientação aos executivos na sua busca de
novas vantagens competitivas baseadas na tecnologia da informação, seja na sua
organização interna como na sua relação com outras empresas e com os
consumidores dos seus produtos. Desta forma, podem ser usadas para nortear usos
estratégicos da tecnologia da informação visando à formação de novas inter-
relações entre as empresas, como a formação de parcerias e redes de cooperação.
Embora o modelo do alinhamento estratégico tenha sido concebido para
analisar a estratégia da tecnologia da informação em uma organização, seus
conceitos podem ser muito úteis para o planejamento estratégico de relações entre
empresas viabilizadas ou potencializadas pela tecnologia da informação.
Farbey et al. (1995) propuseram um modelo voltado para a avaliação de
aplicações de tecnologia da informação, que fornece indicações para a ação em
cada caso. Este modelo apresenta uma classificação das aplicações, dispostas em
diversos “degraus”, que denominaram “a escada de avaliação de benefícios” (“the
benefits evaluation ladder”). À medida que se “sobe a escada”, aumenta a extensão
31
dos benefícios potenciais, embora aumentem também a complexidade, os riscos, a
incerteza e a dificuldade de “vender” a idéia aos stakeholders. Para cada um dos
oito tipos de aplicações, que correspondem aos degraus da “escada de benefícios”,
há a indicação dos fatores a serem considerados para avaliar a tecnologia da
informação, os quais podem ser mais objetivos (degraus mais baixos) ou mais
subjetivos (à medida que se sobe a escada). Os oito tipos de aplicações
identificados (cada uma correspondendo a um degrau da escada de avaliação) são:
1. mudanças obrigatórias;
2. automação;
3. sistemas de valor adicionado direto;
4. sistemas de informações gerenciais (MIS) e sistemas de apoio à decisão
(DSS);
5. infra-estrutura;
6. sistemas inter-organizacionais;
7. sistemas estratégicos;
8. transformação do negócio.
A partir do degrau infra-estrutura, ficam mais claras as situações em que
uma rede interligando empresas teria impactos significativos. Nos tipos de
aplicações de tecnologia da informação do degrau “sistemas inter-organizacionais”,
esta preocupação torna-se mais explícita. Para que haja uma visão clara de como a
tecnologia da informação pode trazer novas alternativas de operação e estratégia
dentro das organizações e também nos seus inter-relacionamentos, é preciso que se
tenha em mente a noção da eficácia das aplicações de tecnologia da informação.
Segundo Laurindo (2002), uma aplicação de tecnologia da informação eficaz atende
aos requisitos da empresa ou organização em que se insere, alterando suas
atividades fim e tornando-a mais competitiva. Também é preciso analisá-la com base
nos conceitos de cadeia de valor, de impacto estratégico e o alinhamento entre as
estratégias de tecnologia da informação e de negócios. Além disso, deve-se
observar que, embora esses modelos tenham sido propostos sob o prisma da
corporação, faz-se necessário ampliar sua visão para abranger redes de inter-
relação organizacionais e analisar a tecnologia da informação não somente na
32
cadeia de valor da empresa, mas também abrangendo todo o sistema de valor da
indústria na qual se insere (LAURINDO e SHIMIZU, 2001).
2.2 GOVERNANÇA CORPORATIVA
Segundo Steinberg (2003), governança corporativa “constitui o conjunto de
práticas e de relacionamento entre acionistas/cotistas, conselho de administração,
diretoria executiva, auditoria independente e conselho fiscal com a finalidade de
aprimorar o desempenho da empresa e facilitar o acesso ao capital”.
A governança corporativa trata das formas pelas quais os investidores
podem garantir o retorno de seus investimentos. Para La Porta et al. (1998), pode-se
entender que a governança corporativa dedica-se à administração dos problemas
tratados pela teoria da agência1 , induzidos pela separação entre propriedade e
controle nas corporações modernas.
Aoki (2000) e Farrar (1999) afirmam que as práticas de governança atribuem
ao conselho de administração a responsabilidade de promover ações que tenham
como orientação criar valor para o acionista, salvaguardando o conhecimento
corporativo e gerenciamento do capital humano.
Vives (2000) afirma que a governança corporativa tem seu foco principal na
proteção dos interesses do acionista. Para tanto, as práticas de governança devem
priorizar a integridade do negócio, motivar empregados, e, sobretudo promover a
perenidade da organização.
Para a Comissão de Valores Mobiliários (CVM, 2002):
Governança corporativa é o conjunto de práticas que tem por finalidade otimizar o desempenho de uma companhia, ao proteger todas as partes interessadas, tais como investidores, empregados e credores, facilitando o acesso ao capital. A análise das práticas de governança corporativa aplicadas ao mercado de capitais envolve
1 Segundo Jensen e Meckling (1976 apud Silveira, 2005), relacionamento de agência é um
contrato por meio do qual uma ou mais pessoas – o principal – engajam outra pessoa – o agente – para desempenhar alguma tarefa em seu favor, envolvendo a delegação de autoridade para tomada de decisão pelo agente.
33
principalmente: transparência, eqüidade de tratamento de acionistas e prestação de contas.
Segundo o Instituto Brasileiro de Governança Corporativa (IBGC, 2004),
governança corporativa é o sistema pelo qual as sociedades são dirigidas e
monitoradas, envolvendo os relacionamentos entre acionistas, conselho de
administração, diretoria, auditores independentes e conselho fiscal. Os princípios
básicos que norteiam esta prática são: transparência, eqüidade, prestação de contas
(accountability) e responsabilidade corporativa.
Pelo princípio da transparência entende-se que a administração deve cultivar
o desejo de informar não só o desempenho econômico-financeiro da companhia,
mas também todos os demais fatores, ainda que intangíveis, que norteiam a ação
empresarial. A transparência envolve uma rede de interessados, reunindo pessoas
que possuem envolvimento financeiro ou pessoal com a organização:
administradores, funcionários, fornecedores e clientes. Tapscott e Ticoll (2005) os
chamam de stakeholders e definem transparência como o acesso dos stakeholders
às informações institucionais referentes a assuntos que afetem seus interesses. As
empresas normalmente atingem maior valorização de suas ações em função da
transparência com que atuam. Por eqüidade entende-se o tratamento justo e
igualitário de todos os grupos minoritários, colaboradores, clientes, fornecedores ou
credores. A accountability, por sua vez, caracteriza-se pela prestação de contas da
atuação dos agentes de governança corporativa a quem os elegeu, com
responsabilidade integral daqueles por todos os atos que praticarem. Por fim,
responsabilidade corporativa representa uma visão mais ampla da estratégia
empresarial, com a incorporação de considerações de ordem social e ambiental na
definição dos negócios e operações (IBGC, 2004).
Empresas que adotam boas práticas internacionais de governança
corporativa conseguem se financiar a uma taxa menor no mercado, gerando
melhores resultados e, conseqüentemente, maior retorno aos acionistas. Segundo
Berton (2003), a valorização das ações no mercado é influenciada positivamente
pelo grau de segurança oferecido pelos direitos concedidos aos acionistas e pela
quantidade de informações disponibilizadas pelas empresas. Essas premissas dão
origem à possibilidade de as empresas se financiarem a custos mais baixos, a partir
34
do lançamento de ações no mercado, bem como aos indivíduos, de efetuarem
programas de capitalização com vistas à aposentadoria.
Klapper e Love (2002) investigaram as práticas de governança corporativa e
as medidas de proteção ao investidor no âmbito da empresa verificada nos países
emergentes e demonstraram que uma melhor governança corporativa está
altamente correlacionada com uma melhor performance operacional e maior
valorização no mercado.
De acordo com Weill e Ross (2004), a governança corporativa tornou-se um
tema dominante nos negócios por ocasião da safra de escândalos corporativos por
volta de 2002, a exemplo das empresas Enron, Worldcom e Tyco. A gravidade dos
impactos financeiros desses escândalos solapou a confiança de investidores
institucionais e individuais, além de ter aumentado a preocupação com a habilidade
e a determinação das empresas privadas de proteger seus stakeholders.
Para Andrade e Rossetti (2006), os conflitos de agência (Figura 5),
caracterizados pelos conflitos potenciais entre acionistas e gestores ou entre
acionistas majoritários e minoritários, em função da dispersão do capital das
corporações e da conseqüente separação entre a propriedade e a gestão, são as
razões fundamentais do despertar da governança corporativa.
35
Fonte: Andrade e Rossetti (2006).
Figura 5 Raízes de conflitos de agência: as decorrentes reações por boas práticas
de governança corporativa
Segundo Jensen e Meckling (1976), os custos de agência são a soma dos
custos de criação e estruturação de contratos entre o principal e o agente, gastos de
monitoramento das atividades dos gestores pelo principal, gastos promovidos pelo
próprio agente para mostrar ao principal que seus atos não serão prejudiciais aos
seus interesses, perdas residuais, decorrentes da diminuição da riqueza do principal
por eventuais divergências entre as decisões do agente e as decisões que iriam
maximizar a riqueza do principal.
A essência do problema de agência é o conflito de interesses possibilitado
pela separação entre a propriedade e o controle, referindo-se às dificuldades que os
investidores têm em garantir que seus fundos não serão expropriados ou perdidos
em projetos não atrativos. O problema de agência é um elemento essencial da
chamada visão contratual da empresa, desenvolvida por Coase (1937) e Jensen e
Meckling (1976) que se baseia na idéia de que a firma é um nexo de contratos entre
clientes, trabalhadores executivos e fornecedores de material e capital.
36
Somaram-se a essas razões, com mais força nos anos 1990, dois diferentes
conjuntos de fatores que levaram as empresas a aderirem a melhores práticas de
governança. Uma boa parte desses fatores encontrava-se dentro das corporações –
uns relacionados a conflitos de agência; outros, porém, às novas condições que se
estabeleceram no mundo dos negócios e que exigiam mudanças nas práticas de
alta gestão (Quadro 1). A um conjunto ampliado de fatores internos acrescentaram-
se assim os que se formaram em um ambiente externo crescentemente complexo,
mutável e desafiante (ANDRADE e ROSSETTI, 2006).
Quadro 1 Razões fundamentais do despertar da governança corporativa
Fonte: Andrade e Rossetti (2006).
Em junho de 2002, a Comissão de Valores Mobiliários (CVM) publicou a
cartilha “Recomendações da CVM sobre governança corporativa”, que contém
orientações relativas a boas práticas de governança corporativa. Embora a cartilha
não constitua norma cujo descumprimento implique sanções, a adoção das práticas
ali recomendadas significa a utilização de padrões de conduta superiores aos
exigidos pela lei e pela regulamentação da própria CVM (CVM, 2002).
37
A Bolsa de Valores de São Paulo (Bovespa) criou um novo segmento de
mercado, destinado à negociação de ações de empresas que voluntariamente se
comprometerem a adotar “boas práticas de governança corporativa”: o cumprimento
de regras societárias que ampliam os direitos dos acionistas melhora a qualidade
das informações prestadas pelas empresas e determina a resolução de conflitos por
meio de uma câmara de arbitragem (BOVESPA, 2008).
A resolução 2.829 do Conselho Monetário Nacional editada em 30 de março
de 2001 (CMN, 2008) estabelece três níveis distintos de boa governança
corporativa: os níveis 1, 2 e o novo mercado. O nível 1 estabelece elevados padrões
de transparência. O nível 2 implica a adoção de normas de governança corporativa
que incluem: utilização de critérios norte-americanos nas demonstrações contábeis,
renovação anual do conselho de administração e direito de voto aos detentores de
ações preferenciais. O novo mercado é um segmento de listagem destinado à
negociação de ações emitidas por companhias que se comprometam,
voluntariamente, com a adoção de práticas de governança corporativa adicionais em
relação ao que é exigido pela legislação.
Se já havia motivos importantes para que os acionistas e o mercado se
preocupassem em obter melhores informações sobre como as empresas estavam
sendo geridas, tanto em função do problema de agência como simplesmente para
serem capazes de saber melhor como estavam seus investimentos, alguns fatos
desencadearam um movimento acelerado na busca da garantia de adoção de
melhores práticas na gestão das empresas. Em 2 de dezembro de 2001, por
exemplo, a gigante norte-americana do setor energético Enron, com faturamento
superior a US$ 100 bilhões, entrou em falência (IBGC, 2004).
Nesse cenário, a governança surgiu com o propósito de garantir o
componente ético da organização, representado por seus diretores e outros
funcionários, na criação e proteção dos benefícios para todos os acionistas.
O mercado reagiu à onda de escândalos com várias iniciativas, próprias ou
derivadas de leis que obrigam a uma maior transparência na gestão. O Acordo de
Basiléia II, em 2001, voltado para aspectos financeiros e de transparência das
38
empresas, e a lei Sarbanes-Oxley, de 2002, com leis voltadas para definição de
critérios de governança, criaram regras que se difundiram pelas organizações e
chegaram até as áreas de tecnologia da informação. A Sarbanes-Oxley tem artigos
diretamente voltados para a área de tecnologia da informação, que faz parte da
governança corporativa (FERNANDES e ABREU, 2006).
2.3 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO
O conceito de governança de TI vem sendo mal empregado ou mal
compreendido entre os profissionais de tecnologia da informação, ainda que este
esteja se tornando bastante popular (McLANE, 2003). Lunardi (2008), justifica a falta
de clareza pela própria natureza da disciplina de sistemas de informação,
reconhecida como uma área do conhecimento relativamente nova.
Várias definições de governança de TI vêm sendo desenvolvidas ao longo
dos anos. Weill e Ross (2004), definem governança de tecnologia da informação
como um ferramental para a especificação dos direitos de decisão e
responsabilidade, visando a encorajar comportamentos desejáveis no uso da
tecnologia da informação.
Para Vanni (2005), governança de tecnologia da informação trata das
estruturas de relacionamentos e processos para dirigir e controlar a organização no
alcance de seus objetivos. Agregar valor a esses objetivos e ao mesmo tempo
equilibrar os riscos em relação ao retorno da tecnologia de informação e seus
processos. São estruturas e processos que buscam garantir que a tecnologia da
informação suporte e leve os objetivos e estratégias da organização a assumirem o
seu valor máximo. Permitem controlar a execução e a qualidade dos serviços e
viabilizam o acompanhamento de contratos internos e externos. Definem, enfim, as
condições para o exercício eficaz da gestão com base em conceitos consolidados de
qualidade.
A expressão IT Governance é definida como uma estrutura de relações e
processos que dirige e controla uma organização, a fim de atingir seu objetivo de
adicionar valor ao negócio por meio do gerenciamento balanceado do risco com o
39
retorno esperado do investimento. O objetivo principal da governança de TI é alinhar
a TI ao negócio, agregando valor e minimizando riscos (ITGI, 2007).
Um modelo de governança de TI possibilita, na visão de Fernandes e Abreu
(2006):
controlar, medir e auditar a execução e a qualidade dos serviços;
acompanhar contratos internos e externos; e
criar condições para o eficaz exercício da gestão de TI, com base em
conceitos consolidados de qualidade.
Enquanto a gestão de TI tradicional possui uma orientação interna e focada
no presente, a governança de TI é orientada para o negócio, com foco no futuro
(MENEZES, 2005).
De acordo com Vanni (2005), governança de TI é uma capacidade
organizacional exercida por um comitê, pela gerência executiva e pela gerência de
TI, para definir e implementar a estratégia de TI com o objetivo de alinhar TI com o
negócio, agregando valor e minimizando riscos.
Conforme Menezes (2005), o propósito da governança de TI é atingir os
seguintes objetivos:
alinhar a estratégia de TI com o negócio;
usar a TI eficientemente, para explorar novas oportunidades e maximizar
benefícios para a empresa, medindo o desempenho da TI e ajustando
suas ações, quando necessário;
usar recursos da TI de forma eficaz, garantindo uma boa relação
custo/benefício;
assegurar adequado tratamento aos riscos originários da TI.
Para Fernandes e Abreu (2006), a governança de TI deve:
40
garantir o alinhamento da TI ao negócio (suas estratégias e objetivos),
tanto no que diz respeito a aplicações como à infra-estrutura de serviços
de TI;
garantir a continuidade do negócio contra interrupções e falhas(manter e
gerir as aplicações e a infra-estrutura de serviços);
garantir o alinhamento da TI a marcos de regulação externos como a
Sarbanes-Oxley (empresas que possuem ações ou títulos, papéis sendo
negociados em bolsas de valores norte-americanas), Basiléia II (no caso
de bancos) e outras normas.
A governança de tecnologia da informação surgiu num quadro de
preocupações crescentes com a governança corporativa, decorrente de escândalos
administrativos em empresas de grande expressão, conforme relatado na seção
anterior.
Nas duas últimas décadas vêm surgindo diversos modelos de melhores
práticas para TI, que parecem se ajustar às aspirações dos acionistas e do mercado,
em geral, de garantir que as ações de TI estejam alinhadas com a estratégia das
organizações, contribuindo para o atingimento dos objetivos dos investidores. Alguns
desses modelos são originais e outros são derivados e/ou evoluídos de outros
modelos. Os principais modelos em voga atualmente, citados no meio acadêmico e
profissional, relacionados com a governança de TI, estão apresentados no Quadro 2.
Quadro 2 Principais modelos de melhores práticas de governança de TI
Modelo de Melhores Práticas Escopo do Modelo
COBIT – Control Objectives for Information and Related Technology
Modelo abrangente aplicável para a auditoria e controle de processos de TI, desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos.
CMMI – Capability Maturity Model Integration Desenvolvimento de produtos e projetos de sistema e software.
ITIL – Information Technology Infrastructure Library
Infra-estrutura de tecnologia da informação (serviço de TI, segurança, gerenciamento da infra-estrutura, gestão de ativos e aplicativos etc).
BS 7799, ISO/IEC 27001 e ISO/IEC 17799 – Código de Prática para a Gestão da Segurança da Informação
Segurança da informação.
Modelos ISO – International Organization for Sistema da qualidade, ciclo de vida de software,
41
Standardization teste de software etc. eSCM – SP – Service Provider Capability Maturity Model
Outsourcing em serviços que usam TI de forma intensiva.
PRINCE2 – Project in Controlled Environment Metodologia de gerenciamento de projetos. PMBoK – Project Management Body of Knowledge Base de conhecimento em gestão de projetos.
BSC – Balanced Scorecard Metodologia de planejamento e gestão da estratégia.
Seis Sigma Metodologia para melhoramento da qualidade de processos.
SAS 70 – Statement on Auditing Standards for Services Organization Regras de auditoria para empresas de serviços.
Fonte: adaptado de Fernandes e Abreu (2006).
A governança de tecnologia da informação ganha força no atual cenário de
competitividade do mundo dos negócios. Um mundo em que é cada vez maior a
necessidade de adoção pelas áreas de TI de mecanismos que permitam estabelecer
objetivos, avaliar resultados e examinar, de forma detalhada e concreta, se as metas
foram alcançadas. O foco da governança de TI está em permitir que as perspectivas
de negócios, de infra-estrutura de pessoas e de operações sejam levadas em
consideração no momento de definição das ações de tecnologia da informação,
garantindo o que mais interessa à empresa, que é o atingimento dos seus objetivos
estratégicos.
2.3.1 Regulamentações de conformidade
2.3.1.1 Sarbanes-Oxley Act (SOA)
Tillman e Fares (2002) afirmam que a Sarbanes-Oxley é uma lei de reforma
corporativa forte que visa à proteção dos investidores por meio da melhoria na
precisão e confiança do processo de divulgação financeira das empresas.
Para Fernandes e Abreu (2006), os motivadores do Sarbanes-Oxley Act
foram os escândalos financeiros acontecidos em companhias abertas nos Estados
Unidos. A falência da Enron, deixou um rombo de US$ 60 bilhões no mercado. As
revelações de fraude da Enron provocaram um efeito cascata. Depois dela veio a
Worldcom, a segunda maior empresa de telefonia de longa distância do país, a Tyco,
holding industrial de serviços e produção de componentes eletrônicos, fibra óptica,
equipamentos para automóveis, telecomunicações e sistemas elétricos, a Xerox, que
escondeu prejuízos, a Imclone, empresa de biotecnologia, que divulgou informações
42
privilegiadas a amigos e familiares e até a gigante farmacêutica Merck, acusada de
praticar um método contábil não convencional para aumentar artificialmente seu
faturamento (CARDOSO et al., 2003).
Para evitar a perda da confiança no mercado financeiro e o conseqüente
esvaziamento dos investimentos, os senadores Paul Sarbanes (Democrata de
Maryland) e Michael Oxley (Republicano de Ohio) propuseram, em 2002, a lei que
carrega seus nomes. O objetivo mor da lei Sarbanes-Oxley é coibir a conduta
antiética de administradores e auditores, restaurando a confiabilidade das
demonstrações contábeis e financeiras (Sarbanes-Oxley Act, 2002).
A lei apresenta um rol de responsabilidades e sanções, tipificando crimes de
colarinho branco praticados por administradores e auditores. Além disso, proíbe
práticas contábeis que possam expor qualquer sociedade anônima a riscos sem
provisionamento prévio e veda a concessão de empréstimos a membros do
conselho de administração e da diretoria, conforme esclarecem Fernandes e Abreu
(2006). Ainda para esses autores, os objetivos principais da lei Sarbanes-Oxley, que
tem foco nos controles internos sobre relatórios financeiros, são proteger os
investidores do mercado de capitais americano de fraudes contábeis e financeiras de
companhias abertas, assim como instituir uma série de penalidades contra crimes
relacionados a este tipo de fraude.
O termo controle interno sobre relatórios financeiros é entendido por Ramos
(2004), como o processo projetado por, ou sob a supervisão do principal executivo e
do principal responsável por finanças do emitente, ou pessoas que desempenham
funções similares, efetivados pelo comitê de diretores do emitente, pela gerência ou
outras pessoas, para:
prover garantia razoável relacionada à confiabilidade de emissão de
relatórios financeiros e a preparação de relatórios de resultados
financeiros para propósitos externos, de acordo com princípios de
contabilidade geralmente aceitos (GAAP), incluindo políticas e
procedimentos para manter registros detalhados, com exatidão e de forma
correta, de modo que esses registros reflitam as transações e disposições
dos ativos do emitente;
43
prover garantia de que as transações sejam registradas quando
necessário para permitir a preparação de declarações de resultados
financeiros, e que as receitas e despesas do emitente sejam feitas
somente de acordo com autorizações da gerência e diretores;
prover garantia relacionada à prevenção ou detecção, no momento
preciso, de aquisições não autorizadas, uso ou disposição dos ativos do
emitente que possam ter um efeito material nas declarações dos
resultados financeiros.
Conforme o Sarbanes-Oxley Act (2002), a Stock Exchange Commission
(SEC), autoridade que regula o mercado de capitais norte-americano, tem a
responsabilidade de estabelecer as regras para implantar a legislação, incluindo
diretrizes para a elaboração de relatórios financeiros pelos CEO e CFO.
Segundo o Sarbanes-Oxley Act (2002), a lei é composta pelos seguintes
títulos:
Título I: Public Company Accounting Oversight Board (PCAOB), que trata
de uma organização não-governamental que deve registrar as auditorias e
estabelecer os padrões de auditoria relativos aos controles financeiros das
empresas abertas.
Título II: Auditor Independence, que estabelece que os auditores sejam
independentes e que haja rotatividade entre empresas de auditoria.
Título III: Corporate Responsibility, que atribui as responsabilidades
corporativas, em termos da formação de um comitê de auditoria, da sua
composição e dos requisitos sobre o envio de relatórios à SEC e outros
tipos de conduta requeridos dos CEOs, CFOs e demais diretores.
Título IV: Enhanced Financial Disclosures, que estabelece novas regras
para a elaboração e publicação de resultados financeiros, assim como
requer que a administração mantenha um sistema de controle interno
adequado.
44
Título V: Analyst Conflicts of Interest, que estabelece regras para que não
haja conflitos de interesse na atuação de analistas de corretoras de valores
ou de administração de fundos.
Título VI: Comission Resources and Authority, que estabelece regras para
a autorização de fundos para a SEC, assim como a autoridade da SEC
para suspender, temporariamente ou não, empresas e profissionais de
auditoria.
Título VII: Studies and Reports, que autoriza a SEC a efetuar estudos e
relatórios relativos à consolidação de firmas de auditoria, agências de
índices de risco, violações profissionais no âmbito do mercado de capitais,
análises dos resultados das ações da SEC e estudos de bancos de
investimentos.
Título VIII: Corporate and Criminal Fraud Accountability, que estabelece
regras específicas e penalidades para a destruição de registros
corporativos, assim como para a alteração de dados e falsificações.
Título IX: White-Collar Crime Penalty Enhancements, que contém
penalidades para os chamados crimes do colarinho branco.
Título X: Corporate Tax Returns, que estabelece que o CEO deve,
obrigatoriamente, assinar o imposto de renda da pessoa jurídica.
Título XI: Corporate Fraud Accountability, que define a responsabilidade
corporativa pela comunicação de informações financeiras de resultados
fraudulentos.
Dentre essas normas, passaram a ser exigidas características de
confiabilidade e disponibilidade dos sistemas e aplicativos mantidos pela TI. A lei
obriga as empresas que possuem capital aberto e ações negociadas na bolsa de
Nova Iorque a responderem pelo que fazem com o dinheiro, não só internamente,
mas também em filiais localizadas em outros países, podendo estender a exigência
até seus fornecedores (FERNANDES e ABREU, 2006).
As seções 302 e 404 do Sarbanes-Oxley Act (2002) têm especificações e
requisitos de qualidade da informação que afetam a TI. O Quadro 3 mostra as
45
principais implicações operacionais do Sarbanes-Oxley Act para a TI, considerando
os processos de TI, conforme organizados por Fernandes e Abreu (2006).
Quadro 3 Implicações do Sarbanes-Oxley Act para a área de TI Requisitos de qualidade da informação
Implicações do SOA
O conteúdo da informação deve ser
apropriado.
Processo de desenvolvimento de requisitos de software; Processo de gerenciamento de requisitos de software; Métodos de engenharia de software; Processos de verificação (teste); Processos de validação (aceitação pelos usuários); Processos de segurança da informação empregados nos aplicativos; Processos de aceitação de produtos de terceiros; Processos de gestão da mudança e da configuração.
A informação deve estar disponível no
momento em que for necessária.
Disponibilidade de aplicativos; Disponibilidade da infra-estrutura; Gerenciamento de incidentes e problemas no ambiente de produção; Suporte aos usuários; Gestão de aplicativos e de ativos de TI; Processos de gerenciamento da infra-estrutura; Segurança da infra-estrutura; Gerenciamento da contingência; Gerenciamento de disponibilidade e desempenho.
A informação deve ser atual ou pelo menos
ser a última disponível.
Processos de gerenciamento de dados; Planejamento e gerenciamento da contingência e de desastres; Segurança da informação na infra-estrutura.
Os dados e as informações devem
estar corretos.
Segurança da informação em aplicativos; Segurança da infra-estrutura de TI; Teste de software; Controle da mudança e da configuração; Gerenciamento de dados; Gerenciamento de requisitos.
A informação deve ser acessível aos usuários
interessados.
Segurança da informação referente a controle de acessos e privilégios; Controle de autorizações.
Deve haver um sistema de controle interno
sobre relatórios financeiros.
Avaliação de riscos de TI; Gestão da qualidade; Planos de desastres e recuperação.
Fonte: Fernandes e Abreu (2006).
O Sarbanes-Oxley Act mudou fundamentalmente os negócios e o cenário
regulatório. No contexto da tecnologia da informação, torna-se claro que a natureza
e as características do uso de tecnologia nas organizações e seus sistemas de
informação afetam os controles internos e os relatórios financeiros (ITGI, 2007).
2.3.1.2 Acordo da Basiléia II
Estabelecido pelo Bank for International Settlements (BIS), sediado na
cidade suíça da Basiléia, o primeiro acordo de capital da Basiléia passou a vigorar
46
em 1998 e foi implementado após um período marcado por crises nos sistemas
bancários da Rússia, Ásia e México (BIS, 2008). A crise na Ásia culminou com a
falência do maior e mais antigo banco da Inglaterra, o Banco Barings. O acordo de
capital da Basiléia foi editado pelo Comitê de Supervisão Bancária da Basiléia
(CSBB), estabelecendo em sua segunda versão (Basiléia II), requisitos de capital
mínimo para as instituições financeiras, em função dos seus riscos de crédito e
operacionais (FERNANDES e ABREU 2006). Esse acordo possui três pilares:
Pilar 1 – Requisito mínimo de capital
Este primeiro pilar estabelece regras e procedimentos para cálculo dos
requisitos de capital, tendo em vista os riscos de crédito e operacionais, de
acordo com a aplicação de abordagens distintas de avaliação e mitigação
de riscos. O risco de crédito se refere à perda econômica sofrida pela
incapacidade voluntária ou involuntária do tomador do crédito em atender
às suas obrigações contratuais no tempo requerido. No caso dos bancos, a
metodologia deve atender tanto a uma transação individual de crédito como
a uma carteira de crédito, ou seja, o portfolio de crédito da instituição. O
risco operacional, por sua vez, se refere ao risco de perdas financeiras
diretas ou indiretas resultantes de processos internos inadequados, de
falhas nos processos, pessoas e sistemas, ou mesmo de eventos externos.
Pilar 2 – Processo de revisão supervisora
O segundo pilar estabelece regras para que os Bancos Centrais de cada
país executem auditorias nas instituições financeiras, visando a avaliar a
aplicação dos métodos de gestão de risco e a avaliação e mitigação de
riscos de crédito e operacionais, assim como a emissão de informações
para o mercado acerca da exposição ao risco pela instituição.
Pilar 3 – Disciplina de mercado
O terceiro pilar estabelece regras para a comunicação ao mercado dos
requisitos mínimos de capital, face aos riscos e aos métodos e resultados
de avaliações de riscos, conforme estabelecido pelo primeiro pilar.
As instituições financeiras nacionais se obrigam a cumprir as diretrizes do
CSBB (BC, 2004). Segundo Fernandes e Abreu (2006), o Banco Central do Brasil
47
vem auditando as áreas de TI dos bancos por meio do instrumento denominado
Cobit – Control Objectives for Information and Related Technology, desenvolvido
pela Information Systems Audit and Control Association – Isaca. Ainda na visão
desses autores, questões como “risco operacional” e “risco de crédito”, são
primordiais, impactando a TI em aspectos como:
capacidade de armazenamento de dados em face da granularidade de
informações requeridas de cada cliente, visando a avaliar riscos de forma
mais consistente;
integridade das informações acerca das transações do banco;
integridade das informações armazenadas sobre os clientes e operações
de crédito;
segurança dessas informações;
contingências na operação;
planejamento de capacidade;
planejamento de desastres e recuperação;
integridade do processo de emissão de relatórios requeridos pelo BIS.
Conforme salientam Fernandes e Abreu (2006), analogamente ao que é
demandado pelo Sarbanes-Oxley Act, o Acordo da Basiléia estabelece obrigações
para o CIO ou profissional equivalente, que deve:
inserir as questões do Acordo em seu Plano de Tecnologia da Informação;
implantar novos processos de TI;
ajustar ou melhorar processos existentes;
ajustar a estrutura organizacional de TI para acomodar novos processos;
definir e implantar novos indicadores de desempenho, caso seja
necessário;
tratar a gestão de riscos (planejamento e monitoramento) de TI como um
processo com identidade própria na organização de TI.
48
Allen et al. (2004) afirmam que o CSBB tem buscado maneiras de minimizar
os riscos de quebra de instituições financeiras em função do desempenho de suas
atividades. O novo acordo de capital da Basiléia (Basiléia II) estabelece regras
específicas para este fim.
2.3.2 Modelos de melhores práticas
Como já mencionado, nas duas últimas décadas vêm surgindo diversos
modelos de melhores práticas para TI, que parecem se ajustar às aspirações dos
acionistas e do mercado, em geral, de garantir que as ações de TI estejam alinhadas
com a estratégia das organizações, contribuindo para o atingimento dos objetivos
dos investidores. É importante ressaltar que o termo melhores práticas,
freqüentemente adotado pelas empresas, e por isso adotado nesse trabalho, é uma
forma (talvez equivocada) de se referir a procedimentos padronizados incorporados
em sistemas organizacionais. Essas práticas estão em constante atualização e
evolução, e nem sempre representam, necessariamente, a melhor forma de fazer
algo, mas a forma daqueles que tiveram suas práticas sistematizadas primeiro.
Logo, o termo deve ser entendido a partir desta perspectiva, como sinônimo de
práticas padronizadas, independentemente de serem melhores do que outras
práticas possíveis de serem utilizadas. Aqui serão relacionados os principais
modelos de melhores práticas identificados na literatura.
2.3.2.1 Itil
Itil, biblioteca de infra-estrutura de TI, é uma estrutura de padrões e melhores
práticas para gerenciar os serviços e a infra-estrutura de TI. Trata-se da abordagem
mundialmente mais difundida para o gerenciamento de serviços de TI (service
management) (OGC, 2008), tendo sido elaborada pela CCTA (Central Computer and
Telecommunications Agency) em 1980 e transferida em abril de 2001 para o OGC
(Office of Government Commerce), do governo britânico.
Inicialmente, o Itil era constituído de dez livros principais e trinta publicações
complementares (OGC, 2008). Em 2002, foi revisado e reorganizado, entitulado Itil
versão 2. Em 2007, a versão 2 foi revisada e substituída pela terceira versão
49
constando de apenas 5 livros principais (OGC, 2008). Como já foi mencionado, trata-
se da mais abrangente e respeitada fonte de informações sobre processos de TI,
constituindo-se em uma descrição coerente e integrada de melhores práticas de
gerenciamento de serviços de TI (OGC, 2008). Compreende cinco perspectivas (ou
disciplinas): negócio, gerência da infra-estrutura, gerência das aplicações, entrega
de serviços de TI e suporte aos serviços de TI (OGC, 2008). A Figura 6 mostra as
disciplinas do Itil.
Fonte: OGC (2002).
Figura 6 Disciplinas do Itil
2.3.2.1.1 Gestão de serviços de TI
A gestão de serviços de TI (service management) visa à melhoria na
qualidade dos serviços de TI e, conseqüentemente, suportar os processos de
negócio. Para ser capaz de entregar o que o cliente deseja, a TI deve observar: a
especificação, a conformidade, a consistência, o valor e a comunicação (OGC,
2008). A especificação detalha a solução de TI, determinando e clarificando o
serviço. A conformidade garante que o serviço seja executado de acordo com o que
foi especificado. A consistência visa à regularidade na entrega do serviço. O valor
remunera a um preço justo o produto ou serviço fornecido. Os clientes desejam
ainda ser comunicados sobre qualquer fato relevante relacionado ao serviço, bem
como dispor de canais de comunicação eficazes, caso enfrentem algum problema ou
50
necessitem de assistência.
A elaboração do catálogo de serviços é fundamental na gestão dos serviços
de TI. O catálogo especifica todos os serviços fornecidos pela área de TI e o nível de
cada serviço. É a base para elaboração dos acordos de níveis de serviços (SLA) e
para implantação da gestão de incidentes. A gestão de incidentes, por sua vez, é a
base para implantação de várias disciplinas do Itil (OGC, 2005).
A central de serviços (service desk) é responsável pelo atendimento a
usuários, clientes e pessoal interno, atuando como primeiro ponto de contato do
departamento de TI com seus clientes e usuários (OGC, 2008). É responsável
também pelo registro de todos os eventos, geração de relatórios de controle,
monitoramento do atendimento e produção de informações gerenciais capazes de
contribuir para o processo de melhoria contínua do atendimento.
A gestão de serviços de TI (IT Service Management - ITSM) é composta pelas
disciplinas de suporte aos serviços (service support) e entrega de serviços (service
delivery).
2.3.2.1.2 Suporte aos serviços
Os processos relacionados com o suporte aos serviços (service support) são,
conforme mostrado na Figura 7: gestão de incidentes, gestão de problemas,
gerência de configuração, gerência de liberações e gerência de mudanças (OGC,
2008). A seguir, descreve-se prevemente cada um deles, conforme porposto por
Fernandes e Abreu (2006).
Gestão de incidentes – um incidente é um evento que não faz parte da
operação normal, reduzindo a qualidade ou suspendendo a entrega do serviço. O
objetivo da gestão de incidentes é restaurar a operação normal de um serviço no
menor período de tempo possível, a fim de minimizar os impactos negativos sobre
os negócios e retornar aos melhores níveis de qualidade e disponibilidade. Trata do
efeito e não da causa.
Gestão de problemas – o objetivo da gestão de problemas é minimizar o
impacto de incidentes sobre a capacidade de negócios de uma organização,
51
causados por falhas na infra-estrutura, evitando a recorrência de incidentes. Dá-se
por meio da investigação, diagnóstico e solução de cada problema. Busca a causa-
raiz dos incidentes.
Gestão de configuração – tem por objetivo assegurar que somente
componentes autorizados, ou seja, itens de configuração, como software, hardware,
documentos, processos e procedimentos sejam utilizados no ambiente de TI, e que
todas as mudanças nesses componentes sejam gravadas e rastreadas durante todo
o ciclo de vida de cada um. Objetiva ainda garantir a comunicação entre todas as
disciplinas da gestão de serviços, por meio do banco de dados de gerência de
configurações.
Fonte: OGC (2000).
Figura 7 Suporte aos serviços
Gerência de liberações – tem os seguintes principais objetivos: coordenar e
gerenciar implantação de releases no ambiente em operação; desenhar
procedimentos eficientes para distribuição e implantação de mudanças no ambiente
de TI; planejar, construir, testar e implantar mudanças; comunicar e gerenciar as
expectativas dos clientes durante o planejamento e a implantação de mudanças.
Mantém o banco de dados de configurações atualizado. Implanta releases de forma
52
controlada e segura, garantindo segurança e rastreabilidade.
Gestão de mudanças – o objetivo da gestão de mudanças é garantir a
aplicação de métodos e procedimentos padronizados, para lidar eficientemente com
todas as mudanças no ambiente computacional, minimizando impactos na qualidade
dos serviços ocasionados por incidentes relacionados a esses eventos. Todas as
partes afetadas por uma mudança devem ter a oportunidade de acompanhá-la e
entender seus impactos.
2.3.2.1.3 Entrega de serviços
Os processos relacionados com a entrega de serviços (service delivery)
compreendem, conforme definido pelo OGC (2000) e mostrado na Figura 8, a
gerência de nível de serviço, a gerência de capacidade, a gerência de
disponibilidade, a gerência financeira e a gerência de continuidade.
Fonte: OGC (2000).
Figura 8 Entrega de serviços
A seguir são discutidos, brevemente, os processos relacionados à entrega de
serviços, conforme apresentados em OGC (2000).
Gerência de nível de serviço – tem por objetivo definir, monitorar e controlar
os acordos de nível de serviço (service level agreements). Os SLAs são acordos
53
formais, realizados entre a área de TI e seus clientes, nos quais são definidas as
metas objetivas de desempenho e as responsabilidades das partes. Possibilita ao
departamento de TI entregar exatamente o que foi solicitado pelo cliente, além de
garantir que os serviços sejam reconhecidos como benéficos para a organização.
Gerência de capacidade – planeja, justifica e gerencia níveis apropriados de
recursos necessários para soluções específicas de TI, evitando a falta ou o excesso
de recursos. Responde por atividades de ajuste para otimizar o uso dos recursos
disponíveis. Atua no gerenciamento da capacidade de negócios, serviços e
recursos.
Gerência de disponibilidade – este processo é responsável pela
racionalização da capacidade da infra-estrutura e da organização do suporte, para
que possa entregar os serviços de TI a um custo compatível com os níveis de
disponibilidade necessários para a satisfação dos requisitos do negócio, dentro das
especificações dos acordos de níveis de serviços. Realiza o projeto, implantação,
medição e gerenciamento da disponibilidade da infra-estrutura de TI.
Gerência financeira – realiza a gestão dos recursos financeiros da área de TI.
A gerência financeira deve otimizar os recursos financeiros, contabilizar as despesas
de forma a apropriar os custos de TI, de acordo com os serviços prestados, e apoiar
decisões de investimentos em TI. Cobre o orçamento (previsão das despesas e
investimentos), a contabilidade (registro) e a cobrança (apropriação por centros de
custos).
Gerência de continuidade – garante que qualquer serviço de TI seja capaz de
prover valor para seus clientes e usuários, mesmo em situações em que falharem as
soluções normais de disponibilidade. A gerência de continuidade deve suportar o
planejamento de continuidade dos negócios, garantindo que todos os recursos e
serviços de TI possam ser recuperados no tempo combinado. Avalia impactos,
riscos e ameaças. Administra ações preventivas e corretivas.
2.3.2.1.4 Gestão da infra-estrutura da TI e da comunicação
O gerenciamento pró-ativo da infra-estrutura da TI e da comunicação (ICT –
54
Information and Comunication Technology) é o foco dessa disciplina. O crescente
grau de dependência do negócio em relação à tecnologia, a crescente complexidade
do ambiente, as necessidades de flexibilidade e satisfação do cliente, as restrições
de investimentos e os reduzidos ciclos de vida de produtos compõem os desafios do
gerenciamento com relação a esta questão (OGC, 2004).
A Figura 9 mostra a evolução da complexidade da infra-estrutura de TI dos
anos 1970 até os dias atuais: computação monolítica, redes locais, redes
distribuídas e serviços distribuídos, de acordo com o OGC (2004).
O escopo do gerenciamento da infra-estrutura de ICT engloba o desenho, o
planejamento, a implantação, a operação e o suporte técnico. Essa disciplina se
relaciona com as disciplinas entrega dos serviços e suporte ao serviço.
Fonte: OGC (2004).
Figura 9 Desenvolvimento do gerenciamento da ICT
2.3.2.1.5 Gestão da segurança
A gestão da segurança (security management) tem como propósito garantir a
segurança do negócio e limitar os danos por meio da prevenção, minimizando o
55
impacto dos incidentes de segurança da informação. A gestão de segurança adota a
BS 7799-1:1999 como referência de melhores práticas a serem adotadas (OGC,
2008). Referências podem ser obtidas também na norma ISO/IEC 17799:2000 e em
sua equivalente nacional, a ABNT NBR ISO/IEC 17799 (ver o item 2.3.2.6).
A informação é um ativo que tem valor para a organização e deve ser
protegido contra ameaças, para garantir a continuidade dos negócios e minimizar
danos. A segurança preserva o valor da informação sobre os seguintes aspectos:
confidencialidade, integridade e disponibilidade (KRUTZ e VINES, 2001). A
confidencialidade protege informações importantes de uso ou interceptação não
autorizados, garantindo que estarão acessíveis somente a pessoas autorizadas. A
integridade salvaguarda a exatidão e a completude da informação e do software. A
disponibilidade assegura que a informação e os serviços de TI estejam disponíveis
quando necessário (OGC, 2004).
As organizações, os sistemas de informação e as redes de computadores são
colocados à prova por ameaças à segurança da informação oriundas de várias
fontes: fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo e inundação
(LAUDON e LAUDON, 2004). Problemas causados por vírus e hackers tornam-se a
cada dia mais comuns, ambiciosos e sofisticados. Tais vulnerabilidades agravam-se
com a computação distribuída, interconexão a redes públicas e privadas e
compartilhamento de recursos (O´BRIEN, 2006).
Segundo dados do Gartner Group (2008), migrar de uma situação em que
não há qualquer processo de gerenciamento de serviços de TI para a adoção
completa das melhores práticas pode reduzir o custo total de propriedade (TCO) de
um organização em cerca de 48%.
Fernandes e Abreu (2006) afirmam que o Itil é claramente orientado à
gestão da qualidade de serviços, uma vez que todos os seus processos podem ser
conduzidos e gerenciados por meio de ciclos de melhoria contínua. O funcionamento
integrado e centralizado dos processos de gerenciamento facilita o alinhamento das
demandas entre o negócio, os clientes e os usuários, de forma que os serviços de TI
possam ser gerenciados de forma efetiva e mensurável.
56
2.3.2.2 Cobit
O Cobit (Control Objectives for Information and related Technology), foi
criado em 1994 pela ISACF (Information Systems Audit and Control Foundation), a
partir do seu conjunto inicial de objetivos de controle, e vem evoluindo por meio da
incorporação de padrões internacionais técnicos, profissionais, regulatórios e
específicos para processos de TI (ISACA, 2008). Em 1998, foi publicada a sua
segunda edição, contendo uma revisão nos objetivos de controle de alto nível e o
seu detalhamento, além de um conjunto de ferramentas e padrões para
implementação (ISACA, 2008). A terceira edição foi publicada em 2000 pelo IT
Governance Institute (ITGI), órgão criado pela ISACA com o objetivo de promover
um melhor entendimento e a adoção dos princípios de governança de TI
(FERNANDES e ABREU, 2006).
O Cobit fornece um detalhado conjunto de procedimentos e diretrizes que
devem ser aplicados na auditoria dos processos de TI, bem como uma avaliação dos
riscos e probabilidades de ocorrência (ISACA, 2008).
As práticas de gestão do Cobit auxiliam a otimizar os investimentos em TI e
fornecem métricas para avaliação dos resultados, por meio de um conjunto de
recursos, compreendendo um sumário executivo, um framework, controle de
objetivos, mapas de auditoria, um conjunto de ferramentas de implantação e um guia
com técnicas de gerenciamento (ITGI, 2005).
O Cobit é orientado ao negócio da empresa, fornecendo informações
detalhadas para gerenciar processos apoiados em objetivos de negócio (ISACA,
2008). Os gerentes devem avaliar o risco e administrar os investimentos em TI. Os
usuários precisam de garantias de nível de serviço de TI, das quais dependem os
produtos e serviços entregues aos clientes internos e externos (ISACA, 2008). Os
auditores avaliam o nível de gestão de TI apoiados nas recomendações do Cobit e
sugerem a adoção de novas práticas (ISACA, 2008). O Cobit está distribuído em
quatro domínios (ITGI, 2005):
Planejamento e organização – cobre o uso da tecnologia e o modo como
esta pode ser melhor utilizada na organização para que os objetivos e
57
metas sejam atingidos. Também destaca a organização e a forma como a
infra-estrutura de TI está preparada para otimizar resultados e gerar
maiores benefícios do uso de TI;
Aquisição e implementação – endereça a estratégia da empresa na
identificação de requerimentos de TI, na aquisição de tecnologia e na
implementação dentro dos processos de negócio;
Entrega e suporte – concentra-se nos aspectos da entrega da TI. Cobre
áreas como execução de aplicações de sistemas de TI e seus resultados,
bem como os processos de suporte que habilitam a execução desses
sistemas com efetividade e eficiência. Os processos de suporte incluem
objetivos de segurança e treinamento; e
Monitoramento – alinha a TI à estratégia da empresa, avaliando se as
necessidades do negócio são atingidas com os sistemas de TI e se os
objetivos de controle necessários cobrem os requerimentos regulatórios.
Cobre também os objetivos de efetividade e disponibilidade, a auditoria e
os objetivos de controles internos e externos.
O Quadro 4 mostra questões gerenciais típicas abordadas e os processos de
TI relativos a cada um dos domínios do Cobit, de acordo com o ITGI (2005).
O Cobit avalia o grau de confiança, qualidade e segurança adequados para
as necessidades das corporações, provendo sete critérios de informação que podem
ser empregados para definir genericamente o que os negócios requerem da TI:
efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade
e confiabilidade (FERNANDES e ABREU, 2006).
Quadro 4 Questões e processos dos domínios do Cobit
Questões gerenciais Processos de TI
58
PO (P
lane
jam
ento
e
Org
aniz
ação
)
• A estratégia do negócio e a TI estão alinhadas?
• A empresa está otimizando a utilização dos seus recursos?
• Todos na organização compreendem os objetivos da TI?
• Os riscos relacionados à TI estão compreendidos e sendo gerenciados?
• A qualidade dos sistemas de TI está adequada às necessidades do negócio?
• PO-1 Definir um plano estratégico para TI • PO-2 Definir a arquitetura da informação • PO-3 Determinar a direção tecnológica • PO-4 Definir a organização de TI, os
seus processos e relacionamentos • PO-5 Gerenciar o investimento em TI • PO-6 Comunicar objetivos e direciona-
mentos gerenciais • PO-7 Gerenciar os recursos humanos • PO-8 Gerenciar a qualidade • PO-9 Avaliar e gerenciar riscos de TI • PO-10 Gerenciar projetos
AI (
Aqu
isiç
ão e
im
plem
enta
ção)
• Os novos projetos conseguem entregar soluções que atendam as necessidades do negócio?
• Os novos projetos conseguem ser entregues dentro do prazo e orçamento planejados?
• Os novos sistemas funcionam adequadamente depois de implementados?
• As alterações em ambiente de produção de TI causam baixo impacto nas operações de negócio correntes?
• AI-1 Identificar soluções automatizadas • AI-2 Adquirir e manter software aplicativo • AI-3 Adquirir e manter infra-estrutura
tecnológica • AI-4 Viabilizar operação e utilização • AI-5 Adquirir recursos de TI • AI-6 Gerenciar mudanças • AI-7 Instalar e aprovar soluções e
mudanças
DS
(ent
rega
e s
upor
te)
• Os serviços de TI estão sendo entregues com alinhamento às prioridades do negócio?
• Os custos de TI estão otimizados? • As equipes de trabalho são capazes
de utilizar os sistemas de TI com segurança e produtividade?
• Atributos como confidencialidade, integridade e disponibilidade estão implementados de forma adequada?
• DS-1 Definir e gerenciar níveis de serviço • DS-2 Gerenciar serviços terceirizados • DS-3 Gerenciar desempenho e
capacidade • DS-4 Garantir a continuidade dos
serviços • DS-5 Garantir a segurança dos sistemas • DS-6 Identificar e alocar custos • DS-7 Educar e treinar usuários • DS-8 Gerenciar central de serviços e
incidentes • DS-9 Gerenciar a configuração • DS-10 Gerenciar problemas • DS-11 Gerenciar dados • DS-12 Gerenciar o ambiente físico • DS-13 Gerenciar operações
ME
(mon
itora
ção
e av
alia
ção)
• As medições de desempenho da TI detectam problemas antes que seja tarde demais?
• Há garantias de que os controles internos sejam eficientes e eficazes?
• É possível associar diretamente o desempenho de TI aos objetivos de negócio estabelecidos anteriormente?
• Riscos, controles, conformidade e desempenho são medidos e divulgados?
• ME-1 Monitorar e avaliar os processos • ME-2 Monitorar e avaliar os controles
internos • ME-3 Obter auditoria independente • ME-4 Prover para auditoria independente
Fonte: Adaptado de ITGI (2005).
59
A Figura 10 mostra o inter-relacionamento dos objetivos de negócio com a
governança de TI e com cada um dos domínios do Cobit.
Fonte: Adaptado de ITGI (2005).
Figura 10 Domínios do Cobit no framework
Segundo o ITGI (2005), os domínios estão subdivididos em processos, que
garantem a completude da gestão de TI, conforme descritos a seguir.
2.3.2.2.1 Domínio planejamento e organização (PO)
O domínio planejamento e organização se encarrega das seguintes
questões, de acordo com (ITGI, 2005):
define a estratégia de TI – esclarece e formaliza, por meio de um plano
estratégico, até onde a organização pretende chegar, vinculando as
diretrizes de TI às necessidades do negócio;
define a arquitetura da informação – descreve como a organização dos
sistemas de informação é suportada pela manutenção de um modelo de
informações de negócio e pela garantia de que os sistemas são
apropriados e estão definidos para otimizar o uso de informações;
60
determina a direção tecnológica – visão de futuro de tecnologia e adesão a
padrões;
define a organização de TI e seus relacionamentos – estabelece a
estrutura da área de TI, plano de carreira, cargos com seus papéis e os
relacionamentos com as outras áreas da organização;
gerencia os investimentos de TI – avalia o retorno dos investimentos,
contabiliza o custeio e investimentos e apropria por centro de custos;
gerencia a comunicação das diretrizes de TI – desenvolve e implanta
planos de comunicação que visam a disseminar o conhecimento das
estratégias de TI em toda a organização;
gerencia os recursos humanos – cuida do recrutamento, contratação e
capacitação da equipe em relação ao negócio e às tecnologias que
compõem a diretriz tecnológica;
assegura alinhamento de TI com os requerimentos externos – observa o
grau de adesão entre os regulamentos externos e as necessidades
explícitas das áreas de negócio em relação ao planejamento e às ações
da área de TI;
avalia os riscos – analisa ameaças, impactos no negócio e vulnerabilidades
da informação e das instalações, bem como a probabilidade de ocorrência;
gerencia os projetos – administra os projetos de TI observando modelos e
melhores práticas de mercado; e
gerencia a qualidade – observa a qualidade da entrega de software e a
utilização de modelos.
2.3.2.2.2 Domínio aquisição e implementação (AI)
O domínio aquisição e implementação se encarrega das seguintes questões,
de acordo com (ITGI, 2005):
identifica as soluções de automação – analisa as necessidades de
automação dos processos de negócio;
61
adquire software e provê sua manutenção – define e aplica modelos de
avaliação para a contratação de software;
adquire a infra-estrutura tecnológica e provê sua manutenção – define
modelos de avaliação para contratação de equipamentos e serviços de
infra-estrutura;
desenvolve os procedimentos e provê sua manutenção – cuida da
construção de descrições formais dos processos da área de TI;
instala e certifica software – cuida da instalação de software em ambiente
de homologação e dos testes de certificação que possibilitam a liberação
para o ambiente de produção; e
gerencia mudanças – avalia e aprova mudanças no ambiente de TI, tanto
em equipamentos e arquitetura como em sistemas e processos.
2.3.2.2.3 Domínio entrega e suporte (DS)
O domínio entrega e suporte se encarrega das seguintes questões, de
acordo com (ITGI, 2005):
define os acordos de níveis de serviço (SLA) e provê sua manutenção –
Formaliza os níveis de atendimento e solução requeridos pela área de TI
dos seus fornecedores e das áreas de negócio em relação à área de TI;
gerencia os serviços de terceiros – acompanha e avalia os serviços
contratados;
gerencia o desempenho e a capacidade do ambiente – define os recursos
computacionais e garante que não haja escassez de recursos, nem
tampouco subutilização, evitando problemas de desempenho nas
aplicações ou desperdício de investimentos;
assegura a continuidade de serviços – implanta arquiteturas
computacionais de alta disponibilidade, que visam à manutenção dos
sistemas e processos operacionais, reduzindo-se o impacto da
indisponibilidade sobre o negócio;
62
assegura a segurança dos serviços – visa à preservação da
confidencialidade, da integridade e da disponibilidade, garantindo que
somente pessoas autorizadas possam acessar a informação, que a
informação esteja exata e completa, e que, quando necessário, a
informação esteja disponível;
identifica e aloca custos – aloca corretamente as despesas e investimentos
de TI nos devidos centros de custos;
treina os usuários;
assiste e aconselha os clientes – observa a atuação pró-ativa da área de TI
em relação aos seus clientes internos;
gerencia a configuração – provê a manutenção do banco de dados de
configuração de hardware e software;
gerencia problemas e incidentes – registra e acompanha todos os
incidentes no ambiente de sistemas;
gerencia os dados – define o modelo de dados e o ciclo de vida da
informação, especificando prazos para manutenção da informação, de
acordo com os requisitos do negócio e a legislação pertinente;
gerencia a infra-estrutura – administra, desenha e planeja, fornece suporte
técnico, desenvolvimento e operação, focados nos desafios da infra-
estrutura de TI; e
gerencia as operações – administra o funcionamento das operações de TI.
2.3.2.2.4 Domínio monitoramento (ME)
O domínio monitoramento se encarrega das seguintes questões, de acordo
com (ITGI, 2005):
monitora os processos – acompanha os processos de negócio, incluindo
sistemas, tecnologia e pessoas, e avalia sua adequação aos
requerimentos do negócio;
analisa a adequação dos controles internos;
63
provê auditorias independentes; e
provê segurança independente.
Cada um dos 34 processos avalia quatro dimensões: onde a organização se
encontra hoje, o atual estágio de desenvolvimento da indústria (melhores práticas), o
atual estágio dos padrões internacionais e até onde a organização pretende chegar
(ITGI, 2005). A Figura 11 mostra uma visão integrada por meio do “Cubo Cobit” do
modelo que pode ser definido em função do princípio básico do seu framework:
recursos de TI são gerenciados por processos de TI, para atingir metas de TI, que
por sua vez estão estreitamente ligadas aos requisitos do negócio.
Fonte: Adaptado de ITGI (2005).
Figura 11 Cubo Cobit
Para Fernandes e Abreu (2006), a forma como o Cobit está estruturado
favorece muito o entendimento dos processos de TI e, conseqüentemente, fornece
um excelente guia para a sua implementação ou melhoria nas organizações, assim
como para a avaliação da maturidade atual dos processos existentes. A utilização
sistemática do Cobit como um modelo de gestão pode trazer, na visão desses
autores, vários benefícios para uma organização, tais como:
64
responsabilidades e protocolos de comunicação bastante claros, tornando
a circulação de informações mais direta e precisa entre os grupos
interessados em vários níveis;
visão clara acerca da situação atual dos processos de TI e de seus pontos
de vulnerabilidade;
redução da exposição a riscos;
maior solidez e assertividade no planejamento encadeado das ações de
melhoria, devido ao entendimento das dependências entre os processos e
dos recursos necessários a serem envolvidos;
alta visibilidade, por parte de todos os níveis da organização, acerca do
impacto dos esforços de melhoria nos processos de TI, e dos seus
reflexos nos processos de negócio, por meio dos indicadores de metas e
de desempenho;
redução dos custos operacionais e de propriedade do acervo de TI; e
melhoria da imagem perante os clientes, por meio do aumento do grau de
satisfação e da confiabilidade em relação aos serviços de TI.
Segundo o ITGI (2005), a estrutura do Cobit integra e institucionaliza boas
práticas de planejamento e organização, aquisição e implementação, entrega e
suporte, e monitoramento e avaliação do desempenho de TI.
2.3.2.3 Modelo de maturidade de governança de TI (IT Governance Maturity Model)
O modelo de maturidade de governança de TI apóia-se nos conceitos do
modelo CMM SW (Capability Maturity Model for Software) proposto pelo SEI
(Software Engineering Institute), com foco no nível de serviço (ITGI, 2007).
O modelo descreve os processos e atividades requeridos em cada um dos
seis níveis de maturidade, que, de acordo com Fernandes e Abreu (2006) são os
seguintes:
Nível 0, classificado como inexistente - não há gerenciamento de atividades
relacionadas à TI para medir o que os objetivos de TI adicionam de valor para a
organização, nem para medir se os riscos relacionados à TI são apropriadamente
65
gerenciados.
Nível 1, classificado como inicial / ad hoc - o conceito de governança de TI
não existe formalmente e a supervisão se baseia principalmente em considerações
gerenciais de objetivos relacionados de TI, analisados caso a caso. A governança de
TI depende da iniciativa e da experiência de uma equipe de gerenciamento, que
limita a entrada dos demais integrantes da organização. A alta gerência somente é
envolvida quando surgem problemas mais graves. O gerenciamento de desempenho
é tipicamente limitado a medidas técnicas e somente dentro de funções de TI.
Nível 2, classificado como repetitivo mas intuitivo - a realização supera a
formalização. Requer supervisão de TI, sendo necessário compartilhar
responsabilidades com a gerência sênior. Práticas regulares de governança são
metas. A criação de relatórios regulares de desempenho e investigação de
problemas se tranformou em atividade corriqueira nas iniciativas da equipe de TI.
Usuários-chave ou stakeholders são participantes voluntários ou cooptados,
dependendo do projeto de TI e das prioridades.
Nível 3, classificado como processos definidos - um framework organizacional
e de processos é definido para a supervisão e gerenciamento de atividades de TI e
está sendo introduzido na organização como base para governança de TI. O corpo
gerencial tem objetivos de direção, desenvolvidos segundo procedimentos
específicos de gerenciamento, compatíveis com atividades de governança. Isso
inclui: ajuste regular de objetivos, revisão de desempenho, avaliações da
capacidade necessária e planejamento de projetos e recursos para qualquer
necessidade de implementação de TI. Práticas informais prévias bem sucedidas
foram formalizadas, com técnicas relativamente simples sendo utilizadas.
Nível 4, classificado como processos gerenciáveis e medidos - ajustes de
objetivos foram desenvolvidos para um estágio sofisticado, com relacionamentos
entre objetivos externos em termos de negócios. Processos de TI provêem métricas
bem compreendidas. Resultados reais são comunicados à alta gerência na forma de
balanced scorecards. A equipe da gerência corporativa trabalha junto, com o
objetivo de maximizar o valor da entrega de serviços de TI e gerenciar os riscos
66
relacionados à TI. Existe avaliação regular das capacidades de TI e os projetos são
entregues com os requisitos reais de desempenho. Relacionamentos entre as
funções de TI, seus usuários da comunidade de negócios e provedores externos são
baseados em funções definidas e acordos de níveis de serviço.
Nível 5, classificado como processos otimizados - práticas de governança de
TI são desenvolvidas segundo uma sofisticada abordagem, empregando técnicas
eficazes. Existe transparência das atividades de TI e o corpo diretivo percebe o
controle das estratégias de TI. Atividades de TI são priorizadas de acordo com a real
prioridade do negócio. O valor entregue para a empresa pode ser medido e passos
adotados tempestivamente corrigem desvios significativos ou problemas. A
abordagem de balanced scorecards evoluiu, tornando-se a mais relevante medida
de estratégia dos negócios corporativos. O esforço despendido no gerenciamento de
risco é minimizado por meio da adoção de padrões e automação de processos. A
prática de melhoria contínua da capacidade de TI está imersa na cultura. Auditorias
independentes provêem garantias de gerenciamento. Além disso, o custo de TI é
efetivamente monitorado e a organização está habilitada para melhorar
continuamente. Seletivamente, serviços foram terceirizados. A organização está
habilitada a demonstrar excelência de desempenho e demandar melhores práticas
de outras organizações.
O ITGI (2005) considera o modelo de maturidade de governança de TI
eficiente nos passos para avaliar a maturidade dos processos, mas sugere outros
modelos para implantação.
2.3.2.4 IT BSC
O IT BSC é baseado nos balanced scorecards, modelo desenvolvido por
Norton e Kaplan, no início dos anos 1990. Esses autores foram motivados pela
crença de que a medição de desempenho somente considerando indicadores
financeiros estava obsoleta e que basear-se somente nessas medidas de
desempenho impedia as empresas de criar valor econômico futuro (KAPLAN e
NORTON, 1997). Estudando diversas organizações, esses autores começaram a
focalizar sua atenção em um scorecard multidimensional. Isto resultou no que
67
chamaram de balanced scorecard – BSC, organizado em quatro perspectivas:
financeira, clientes, processos internos, e aprendizado e crescimento. O nome da
metodologia reflete o balanço entre objetivos de curto e longo prazo, medidas
financeiras e não financeiras, indicadores de resultados e de desempenho e entre
perspectivas internas e externas de desempenho.
Kaplan e Norton (1997) definem o BSC como um sistema de gestão
estratégica com os seguintes objetivos:
traduzir a estratégia da empresa em termos operacionais;
alinhar a organização à estratégia;
transformar a estratégia em tarefas de todos;
converter a estratégia em processo contínuo; e
mobilizar a mudança por meio da liderança executiva.
A representação visual das relações de causa e efeito entre os objetivos
estratégicos nas quatro perspectivas estratégicas compreendidas pelo BSC é
chamada de mapa estratégico. Kaplan e Norton (2004) afirmam que o mapa
estratégico representa o modo como a empresa cria valor e é considerado pelos
autores como o “elo perdido” entre a formulação da estratégia e a sua execução.
Segundo Fernandes e Abreu (2006), o mapa estratégico e o balanced
scorecard contituem-se em uma poderosa ferramenta para realizar o alinhamento da
TI ao negócio, assim como para desdobrar os objetivos estratégicos de TI em
iniciativas que contribuam para o atendimento dos objetivos.
O IT BSC desenvolve um mapa da estratégia de TI e define métricas para
aferir os resultados das iniciativas de TI, contemplando os fatores críticos de
sucesso (FCS), indicadores-chave de metas (KGI) e indicadores-chave de
desempenho (KPI). A Figura 12 apresenta um modelo genérico de balanced
scorecard para TI.
68
Fonte: Fernandes e Abreu (2006).
Figura 12 BSC para TI
A aplicação do IT BSC como sistema de gestão estratégica é relativamente
recente, principalmente no Brasil. Embora existam aplicações do IT BSC, por força
da adoção do BSC pela empresa como um todo, há poucos registros sobre os
resultados da sua aplicação especificamente à área de TI (FERNANDES e ABREU,
2006).
2.3.2.5 PMBok
O Project Management Body of Knowledge ou PMBok foi elaborado pelo
Project Management Institute (PMI), uma organização não governamental dedicada
às necessidades dos gerentes de projetos de todo o mundo. O PMBok foi
desenvolvido contando com a colaboração de várias dezenas de profissionais
afiliados ao PMI e de origens diversas. A primeira versão do PMBok foi publicada em
1996, a segunda versão em 2000 e a versão atual é de 2004 (PMI, 2004).
Segundo o PMI (2004), o principal objetivo do guia PMBok é identificar o
subconjunto do conjunto de conhecimentos em gerenciamento de projetos que é
69
amplamente reconhecido como boa prática. Contudo, o PMBok não fornece uma
descrição detalhada do conjunto de conhecimentos, mas uma visão geral, sendo
que boa prática significa que existe um acordo geral de que a aplicação correta
dessas habilidades, ferramentas e técnicas pode aumentar as chances de sucesso
de uma ampla série de projetos diferentes.
O modelo proposto pelo PMBok está estruturado em nove áreas de
conhecimento em gerenciamento de projetos, conforme a Figura 13 e cada uma
destas áreas se referem a um aspecto a ser considerado dentro da gerência de
projetos. Todos os processos devem estar presentes quando da execução do
projeto para que esse tenha sucesso. Esses processos são:
Gerenciamento de integração do projeto: O objetivo principal é realizar as
negociações dos conflitos entre objetivos e alternativas do projeto com a
finalidade de atingir ou exceder as necessidades e expectativas de todas
as partes interessadas. Envolve o desenvolvimento e a execução do plano
do projeto e o controle geral de mudanças.
Gerenciamento do escopo do projeto: O objetivo principal é definir e
controlar o que deve e o que não deve estar incluído no projeto. Consiste
da iniciação, planejamento, definição, verificação e controle de mudanças
do escopo.
Gerenciamento do tempo do projeto: O objetivo principal é garantir o
término do projeto no tempo certo. Consiste na definição, ordenação e
estimativa de duração das atividades, e na elaboração e controle de
cronogramas.
Gerenciamento dos custos do projeto: O objetivo principal é garantir que o
projeto seja executado dentro dos orçamento aprovado. Consiste no
planejamento de recursos, estimativa, orçamento e controle de custos.
Gerenciamento da qualidade do projeto: O objetivo principal é garantir que
o projeto venha a satisfazer as exigências para as quais foi contratado.
Consiste em planejamento, garantia e controle de qualidade.
70
Gerenciamento de recursos humanos do projeto: O objetivo principal é
garantir o melhor aproveitamento das pessoas envolvidas no projeto.
Consiste no planejamento organizacional, alocação de pessoal e
desenvolvimento de equipe.
Gerenciamento das comunicações do projeto: O objetivo principal é
garantir a geração adequada e apropriada, coleta, disseminação,
armazenamento e disposição final das informações do projeto. Consiste
no planejamento da comunicação, distribuição da informação, relatório de
acompanhamento e encerramento administrativo.
Gerenciamento de riscos do projeto: O objetivo principal é maximizar os
resultados de ocorrências positivas e minimizar as conseqüências de
ocorrências negativas. Consiste na identificação, quantificação, tratamento
e controle de riscos.
Gerenciamento de aquisições do projeto: O objetivo principal é obter bens
e serviços externos à organização executora. Consiste no planejamento
de aquisição, planejamento de solicitação, solicitação de propostas,
seleção de fornecedores, e administração e encerramento de contratos.
71
Fonte: PMI (2004).
Figura 13 Áreas de conhecimento do PMBok
Fernandes e Abreu (2006) afirmam que a ênfase do modelo é sobre a gestão
de projetos e não sobre a engenharia de desenvolvimento do produto resultante do
projeto. Dessa forma, o PMBok, para ser utilizado de forma consistente em uma
organização de TI, necessita de adaptações em função dos tipos, portes e riscos dos
projetos. O modelo também pode ser aplicado em ferramentas de gerenciamento de
projetos existentes no mercado, sendo que algumas ferramentas podem apoiar total
ou parcialmente as boas práticas previstas no modelo.
2.3.2.6 BS 7799, ISO/IEC 27001 e ISO/IEC 17799
Para Freitas e Lesca (1992), a informação é recurso estratégico para o
sucesso da empresa frente à concorrência. Portanto, deve ser considerada como um
ativo da organização tão importante quanto qualquer outro e deve ser protegida
devido ao seu valor (ABNT, 2001; YAPP, 2000).
72
Com o crescente uso de redes de computadores, sistemas de telecomunica-
ções e a Internet, as organizações estão expostas a riscos antes desconhecidos
(NAVARRO, 2001; DIPPEL, 2000). Um dos fatores que limita o crescimento do
comércio eletrônico são os problemas de segurança (BALARINE, 2002). Desta
forma, grandes empresas, agências governamentais e instituições internacionais têm
trabalhado para estabelecer padrões e normas que reflitam as melhores práticas de
mercado relacionadas à segurança dos sistemas e informações (DHILLON e
BACKHOUSE, 2001; MASON, 2000).
Em 1989 o Commercial Computer Security Center (CCSC), órgão ligado ao
departamento de indústria e comércio do Reino Unido, publicou a primeira versão do
PD0003 – Código para Gerenciamento de Segurança da Informação (ROCHA, 2002).
Em 1995, este código foi revisado e publicado como um British Standard (BS), com a
denominação de BS 7799, que apresentava as melhores práticas em controles de
segurança para auxiliar as organizações comerciais e de governo na implantação e
crescimento da segurança da informação (BASTOS, 2002). A BS 7799 foi revisada e
atualizada em 1999 com o acréscimo de novos controles, devido às novas
necessidades de mercado como o comércio eletrônico, computação móvel entre
outros aspectos, sendo publicada como Parte 1, BS 7799-1:1999 (BSI, 2006).
A BS 7799-1:1999 foi submetida à ISO, em função do interesse internacional
em uma norma de segurança da informação, sendo que em dezembro de 2000 a
Parte 1 BS 7799-1:1999 foi publicada como norma internacional ISO/IEC
17799:2000, após aprovação em outubro na reunião do Comitê Internacional de
Normatização realizada em Tóquio, no Japão (OLIVA e OLIVEIRA, 2003). Em 2001,
a Associação Brasileira de Normas Técnicas (ABNT), publicou a versão brasileira da
ISO/IEC 17799:2000 que ficou com a denominação de NBR/ISO 17799 – Código de
Prática para a Gestão da Segurança da Informação (NAKAMURA e GEUS, 2002).
A BS 7799-2:2002, como foi chamada a Parte 2, especifica os controles de
segurança que devem ser implementados de acordo com necessidades do negócio
e das requisições legais para a obtenção da certificação de segurança nesta norma.
Da mesma forma como ocorreu com a 17799, a BS 7799-2:2002 transformou-se na
73
ISO/IEC 27001:2005, publicada em 15 de outubro de 2005 (FERNANDES e ABREU,
2006).
A norma NBR/ISO 17799 define 132 controles que podem compor o escopo
do sistema de gerência de segurança (Information Security Management System -
ISMS), enfocando o processo sob o ponto de vista do negócio da empresa
(FERNANDES e ABREU, 2006). A norma trata de aspectos como política de
segurança, segurança organizacional, classificação e controles dos ativos da
informação, segurança em pessoas, segurança física e do ambiente, gerenciamento
das operações e comunicações, controle de acesso, desenvolvimento e manutenção
de sistemas, gestão da continuidade do negócio e conformidade.
Os pilares que sustentam a segurança da informação são: confidencialidade,
integridade e disponibilidade (ABNT, 2001; WILLIAMS, 2001; MASON, 2000). A
confidencialidade da informação é a garantia de que somente pessoas autorizadas
terão acesso a ela (ABNT, 2001). A integridade da informação tem como objetivo
garantir a exatidão da informação, assegurando que pessoas não autorizadas não
possam modificá-la, adicioná-la ou removê-la (ABNT, 2001). Já a disponibilidade
garante que os autorizados a acessarem a informação possam fazê-lo sempre que
necessário (ABNT, 2001).
Esses pilares balizadores são constantemente ameaçados de diversas
formas como por incêndio, falta de energia elétrica, mau funcionamento do hardware,
erros de software, erros de usuários, crime por computador e mau uso do
computador (LAUDON e LAUDON, 1999). A ameaça principal é o crime por
computador (DIPPEL, 2000; LAUDON e LAUDON, 1999), que pode variar de uma
brincadeira de adolescente à espionagem industrial. Devido à concentração das
informações em uma organização, o crime por computador torna-se um aspecto de
elevadas perdas e alto risco para uma empresa comercial (LAUDON e LAUDON,
2000).
Os principais benefícios da segurança da informação estão na prevenção de
perdas financeiras, além da garantia de proteção dos ativos de informação, no caso
74
da ocorrência de alguma das ameaças já citadas anteriormente (FERNANDES e
ABREU, 2006).
2.3.2.7 Prince2
A PRINCE (Projects in Controlled Environments) foi estabelecida
primeiramente em 1989 pelo CCTA do governo britânico e se trata de uma
metodologia desenvolvida a partir da PROMPTII, uma metodologia de
gerenciamento de projetos criada pela empresa Simpact Systems Ltda. em 1975, a
qual foi adotada pelo CCTA em 1979 como padrão para uso por todos os projetos de
sistemas de informação do governo. O CCTA, depois de incorporado ao OGC,
continuou o desenvolvimento da metodologia e a PRINCE2 foi lançada em 1996, em
resposta aos requisitos dos usuários para melhorar a orientação de gestão de
projetos para todos os tipos de projeto, além dos projetos de sistemas de informação.
Em 2002 foi lançada a terceira edição da metodologia e em 2005 a quarta edição
(FERNANDES e ABREU, 2006; OGC, 2008).
Os principais objetivos da PRINCE2 são fornecer um método que:
possa ser repetido por todos os projetos;
possa ser ensinado;
assegure que os membros dos projetos saibam o que esperar deles, onde,
como e quando;
previna mais cedo problemas no projeto;
permita ser proativo, não reativo, mas capaz de acomodar mudanças
repentinas, oriundas de eventos inesperados; e
forneça um guia constante para os gerentes de projetos e demais
interessados, facilitando o planejamento, controle e comunicação no
âmbito do projeto.
Segundo o OGC (2008), a PRINCE2 é, de fato, uma metodologia de
gerenciamento de projetos, ao contrário do PMBok, que é apenas um conjunto de
conhecimentos.
75
2.3.2.8 Seis Sigma
Essa metodologia começou na Motorola, em 1987, no setor de
comunicações, com o propósito de melhorar a qualidade dos produtos. O seu nome
se origina da letra do alfabeto grego utilizada em estatística para simbolizar o desvio-
padrão, ou seja, uma medida para quantificar a variação e inconsistência de um
determinado processo.
Seis sigma é um sistema abrangente e flexível para alcançar, sustentar e
maximizar o sucesso empresarial (PANDE, NEUMAN e CAVANAGH, 2001).
Segundo Fernandes e Abreu (2006), o objetivo principal do seis sigma é a melhoria
do desempenho do negócio por meio da melhoria do desempenho de processos,
tendo como meta um processo que apresente 3,4 defeitos para cada milhão de
oportunidades ou o “seis sigma”, que equivale a um rendimento de 99,9997% de
resultados do processo isentos de defeitos.
Os objetivos do seis sigma variam de acordo com os objetivos da melhoria,
conforme a lista a seguir:
redução de custos;
melhoria da produtividade;
crescimento de fatia de mercado;
retenção de clientes;
redução de tempo de ciclo;
redução de defeitos;
mudança cultural para a qualidade; e
excelência no desenvolvimento de produtos e serviços.
A Figura 14 mostra o modelo com suas principais atividades e tem como
alicerce a metodologia DMAIC, que significa “Define, Measure, Analyze, Improve and
Control”.
76
Fonte: Pande, Neuman e Cavanagh (2001).
Figura 14 Metodologia seis sigma
Segundo Kendall e Rollins (2003), a metodologia define um redesenho na
estrutura organizacional da empresa. Esta estrutura é centralizada em um
departamento de especialistas na metodologia seis sigma, alocados em cargos
temporais de dois a três anos. O departamento seis sigma opera como um escritório
de gestão de projetos ou PMO, que interage intensamente com a diretoria da
empresa para transformar suas estratégias em resultados, por meio da gestão de
projetos.
Embora existam poucos dados sobre a aplicação de seis sigma na indústria
de TI, esta metodologia pode ser aplicada em processos de desenvolvimento de
software, principalmente em fábricas de programas e manutenção de sistemas, onde
há maior quantidade de projetos e um maior índice de repetição destes, nos
processos de infra-estrutura, gerenciamento de incidentes, gerenciamento de
problemas, gerenciamento da disponibilidade e central de serviços (FERNANDES e
ABREU, 2006).
77
2.4 CONSIDERAÇÕES FINAIS SOBRE O REFERENCIAL TEÓRICO
Este capítulo apresentou o referencial teórico desta pesquisa, abordando os
conceitos relacionados à governança corporativa e de tecnologia da informação,
além dos aspectos de alinhamento estratégico entre negócios e tecnologia da
informação, citado como um dos principais objetivos da realização da governança de
TI. Também foram apresentadas as regulamentações que exercem influência na
tomada de decisão relacionada ao tema e discutidos os modelos de melhores
práticas adotados por empresas. No próximo capítulo, será apresentada a
metodologia utilizada na pesquisa realizada com empresas brasileiras usuárias de TI,
com o objetivo de caracterizar a adoção de modelos de melhores práticas de
governança de tecnologia da informação.
78
3 METODOLOGIA
O presente capítulo apresenta a metodologia utilizada na realização da
pesquisa, para atingir os objetivos propostos e caracterizar a adoção de modelos de
melhores práticas de governança de tecnologia da informação por empresas
brasileiras usuárias de TI, a partir da visão dos seus executivos de TI.
3.1 APRESENTAÇÃO DAS VARIÁVEIS DA PESQUISA
O presente estudo considera três variáveis possivelmente interdependentes,
que se pretende compreender melhor a partir deste estudo, as quais são
apresentadas na Figura 15, a seguir.
Figura 15 Variáveis relacionadas à adoção da governança de TI e seus reflexos
sobre os negócios
3.1.1 Definição constitutiva e operacional das variáveis da pesquisa
Fatores influentes
D.C.: Motivos que levam empresas a reverem seus atuais modelos de gestão
da tecnologia da informação (FERNANDES e ABREU, 2006).
D.O.: Serão identificados com base na análise estatística das respostas dos
executivos de tecnologia da informação das empresas estudadas às
perguntas da survey, estruturadas utilizando-se afirmações e escala do tipo
Likert.
79
Modelos de governança de TI
D.C.: Segundo Weill e Ross (2004), consistem em um ferramental para a
especificação dos direitos de decisão e responsabilidade, visando a encorajar
comportamentos desejáveis no uso da tecnologia da informação. Tratam da
descrição formal e verificável de como as decisões relacionadas à TI são
tomadas visando ao cumprimento de seus objetivos explícitos.
D.O.: Serão identificados com base na análise estatística das respostas dos
executivos de tecnologia da informação das empresas estudadas, às
perguntas da survey, estruturadas utilizando-se afirmações e escala do tipo
Likert.
Opinião sobre governança de TI nos negócios
D.C.: Trata-se da influência positiva ou negativa da governança de TI no
negócio e alcance dos objetivos que levaram as empresas pesquisadas a
rever seus atuais modelos de gestão da tecnologia da informação
(FERNANDES e ABREU, 2006).
D.O.: Será identificado com base na análise estatística das respostas dos
executivos de tecnologia da informação das empresas estudadas, às
perguntas da survey, estruturadas utilizando-se afirmações e escala do tipo
Likert.
3.1.2 Definição de outros termos relevantes
Governança corporativa
Conjunto de práticas e de relacionamentos entre acionistas/cotistas, conselho
de administração, diretoria executiva, auditoria independente e conselho fiscal
com a finalidade de aprimorar o desempenho da empresa e facilitar o acesso
ao capital (STEINBERG, 2003).
Governança de tecnologia da informação
80
Estrutura de relações e processos que dirige e controla uma organização a
fim de atingir seu objetivo de adicionar valor ao negócio por meio do
gerenciamento balanceado do risco com o retorno do investimento em TI. O
objetivo principal da governança de tecnologia da informação é alinhar a TI ao
negócio, agregando valor e minimizando riscos (ITGI, 2007).
3.2 DELIMITAÇÃO E DESIGN DA PESQUISA
3.2.1 Delineamento da pesquisa
A presente pesquisa, de natureza quantitativa, caracteriza-se como survey
com propósito exploratório-descritivo de corte-transversal (cross sectional).
A pesquisa survey foi considerada adequada para atingir os objetivos
propostos nesse estudo, porque estes atendem os requisitos sugeridos por Freitas et
al. (1997) para a sua utilização:
deseja-se responder questões do tipo “o quê?”, “por quê?”, “como?” e
“quanto?”, ou seja, o foco de interesse recai sobre “o que está
acontecendo” ou “como e por que isso está acontecendo”;
não se tem interesse ou não é possível controlar as variáveis dependentes
e independentes;
o ambiente natural é a melhor situação para estudar o fenômeno de
interesse;
o objeto de interesse ocorre no presente ou no passado recente.
Uma pesquisa é considerada exploratória quando o objetivo é familiarizar-se
com o tópico ou identificar os conceitos iniciais sobre um tópico, dar ênfase na
determinação de quais conceitos devem ser medidos e como devem ser medidos,
buscar descobrir novas possibilidades e dimensões da população de interesse
(PINSONNEAULT e KRAEMER, 1993).
Ainda na visão desses autores, uma pesquisa descritiva busca identificar
quais situações, eventos, atitudes ou opiniões estão manifestos em uma população;
81
descreve a distribuição de algum fenômeno na população ou entre os subgrupos da
população ou, ainda, faz uma comparação entre essas distribuições. Neste tipo de
survey a hipótese não é causal, mas tem o propósito de verificar se a percepção dos
fatos está ou não de acordo com a realidade.
Uma pesquisa de corte-transversal (cross-sectional) se caracteriza pela
coleta dos dados em um só momento, pretendendo descrever e analisar o estado de
uma ou várias variáveis em um dado momento (XIMENES e ARAÚJO, 1995).
Outros aspectos da pesquisa survey estão relacionados à adequação dos
respondentes (indivíduos que fornecem as informações), à unidade de análise
(aquilo que se pretende analisar), ou seja, os respondentes realmente devem
representar a unidade de análise. Segundo Pinsonneault e Kraemer (1993), a
unidade de análise pode ser um indivíduo, nesse caso coincidindo com o
respondente, mas também um grupo, um setor da organização ou a própria
organização, entre outras.
Neste estudo foram analisadas empresas usuárias de tecnologia da
informação e a unidade de análise ou respondentes escolhidos foram os dirigentes
da área de tecnologia da informação.
3.2.2 População e amostragem
Anualmente a revista Information Week Brasil realiza uma pesquisa para
selecionar as cem empresas consideradas mais inovadoras em TI durante o ano.
Na edição de dezembro de 2007, a revista publicou os resultados referentes
à pesquisa realizada naquele ano, em um formato similar ao apresentado no Quadro
5.
Quadro 5 Forma de apresentação dos resultados da pesquisa realizada pela revista
Information Week Brasil Posição Empresa Principal Executivo de TI
1 Nome da empresa 1 Nome do principal executivo de TI 2 Nome da empresa 1 Nome do principal executivo de TI ... Nome da empresa x Nome do principal executivo de TI
100 Nome da empresa 100 Nome do principal executivo de TI Fonte: adaptado de Information Week Brasil (2007).
82
Delimitar uma pesquisa é estabelecer limites para a investigação. A limitação
da pesquisa pode ser em relação ao aspecto, à extensão e a uma série de outros
fatores (LAKATOS e MARCONI, 2005). Com intuito de minimizar a complexidade da
pesquisa, o presente estudo se concentrou em analisar o universo das cem
empresas consideradas mais inovadoras em tecnologia da informação pela revista
Information Week Brasil. Além de se tratar de uma base pronta com o nome das
empresas e dos respectivos responsáveis pelas áreas de TI, o que proporciona uma
certa conveniência ao pesquisador, esta lista tem uma outra vantagem, que é tratar
de empresas consideradas inovadoras na área de tecnologia, permitindo que se
obtenha entendimento sobre como a governança de TI ocorre em empresas que
possuem destaque em sua área, sob este prisma.
Segundo Lakatos e Marconi (2005), os questionários expedidos pelo
pesquisador alcançam em média uma taxa de retorno de 25%. A presente pesquisa
obteve uma amostra de 51 participantes, o que representa pouco mais de 50% do
universo escolhido. Esse retorno acima da média se justifica pelo primeiro contato
com os participantes ter sido telefônico, proporcionando mais confiança e
credibilidade para a pesquisa, além do envio de um e-mail personalizado para cada
um dos respondentes.
Os respondentes compuseram uma amostra por adesão, que não pode ser
considerada como dispondo de distribuição probabilística de representação da
população.
3.2.3 Elaboração do instrumento de coleta de dados (questionário)
Selltiz (1965) aponta alguns fatores que exercem influência na taxa de
retorno dos questionários:
patrocinador;
forma atraente;
extensão;
tipo de carta que o acompanha, solicitando colaboração;
facilidade para o preenchimento e devolução pelo correio;
83
motivos apresentados para a resposta; e
tipo de classe de pessoas a quem é enviado o questionário.
O questionário elaborado foi dividido em duas partes.
A primeira delas compreendeu quatro questões objetivas, obedecendo à
escala Likert (Figura 16), por meio das quais se procurou medir o grau de
concordância (ou discordância) dos pesquisados quanto a cada afirmação.
A segunda parte, destinada somente às empresas que utilizam modelos de
melhores práticas de tecnologia da informação, só era disponibilizada em caso de
resposta afirmativa para a questão número 2, ou seja, de o participante afirmar que a
empresa utiliza algum modelo de governança de TI (Figura 17). Em caso de
resposta negativa, era finalizada a participação do respondente na pesquisa. Para
quem respondia afirmativamente à questão, a segunda parte do questionário era
então disponibilizada 2 , apresentando duas novas seções, conforme mostram a
Figura 18 e a Figura 19. Por fim, para permitir a identificação do respondente e da
empresa, no caso de o respondente assim desejar, foram adicionados quatro
campos opcionais (Figura 20).
O questionário consistiu em questões/afirmações objetivas, cujas respostas
podiam ser dadas por meio de simples cliques do mouse, sem a necessidade de
digitação adicional. Isto foi possível devido à utilização de check boxes e menus
drop-down. Ainda assim, campos abertos para inclusão de texto foram
disponibilizados ao longo do questionário, para permitir eventuais complementações
que os respondentes julgassem necessárias.
Dentre as vantagens da utilização de escala do tipo Likert, além dos
resultados poderem ser facilmente submetidos a tratamento estatístico, estão a fácil
construção e aplicação do questionário, além do rápido entendimento pelos
entrevistados, conforme salienta Graeml (2004).
2 Para essas duas seções foram adotadas seis categorias para a medição do grau de
concordância (ou discordância) dos pesquisados com cada afirmação (escala Likert) e do grau de utilização dos modelos de governança de TI identificados na literatura.
84
Figura 16 Questões objetivas (escala Likert) da primeira parte do questionário, com
menu drop-down – para determinação do grau de concordância
Figura 17 Check boxes para indicação da utilização (ou não) de modelos de
melhores práticas pela organização
85
Figura 18 Questões objetivas (escala Likert) da segunda parte do questionário,
com menu drop-down – para medir o grau de concordância
Figura 19 Questões objetivas da segunda parte do questionário, com menu drop-
down – para medir o grau de utilização de modelos de melhores práticas
86
Figura 20 Campos opcionais para identificação do respondente e da empresa
Como foi desenvolvido e publicado na Internet, o questionário proporcionou
fácil acesso aos respondentes em um formato padrão, o que tornou o seu
preenchimento familiar aos respondentes, uma vez que se tratam de gestores da
área de tecnologia da informação das empresas pesquisadas, acostumados com
menus drop-down e com check-boxes. A submissão das respostas se deu por meio
de um simples clique do mouse sobre o botão “submeter respostas”, colocado no pé
da página, ao final do questionário, ação que permitia a gravação automática das
respostas no banco de dados e o carregamento de uma página de agradecimento
pela participação (Figura 21).
Figura 21 Página de agradecimento ao final do questionário
87
Com relação ao patrocinador, foram tomados os cuidados para que o
respondente ficasse ciente de estar participando de uma pesquisa realizada por um
pesquisador (mestrando) da Universidade Positivo (Figura 22).
Figura 22 Logotipo da Universidade Positivo no cabeçalho da pesquisa
O questionário foi programado em linguagem de programação ASP,
utilizando o Microsoft Access® como banco de dados para armazenamento das
respostas. Foi publicado na Internet para facilitar o acesso dos respondentes à
pesquisa.
3.3 RESUMO DOS PRINCIPAIS ASPECTOS DA METODOLOGIA EMPREGADA
O Quadro 6 mostra um breve resumo da metodologia empregada neste
trabalho.
Quadro 6 Metodologia empregada no trabalho
Caracterização da pesquisa Organização da pesquisa
Abordagem metodológica
Quantitativa Objeto empírico Cem empresas mais inovadoras em 2007 em TI, conforme a revista Information Week
Tipo de pesquisa Descritivo - exploratória
Quantidade de observações
Amostra de 51 empresas das cem empresas que compõem a população
Técnica de Survey Unidade de análise Organizacional (no setor
88
investigação de TI)
Instrumento de coleta Questionário Unidade de observação CIOs ou gerentes de informática
Análise dos dados Análise estatística descritiva
Enfoque de observação Governança de TI; alinhamento
Perspectiva temporal Corte transversal: um dado momento no tempo
Critério de seleção da amostra
Conveniência (por adesão)
Fonte: elaborado pelo autor.
3.4 CONSIDERAÇÕES SOBRE A APLICAÇÃO DA PESQUISA DE CAMPO
3.4.1 Pré-teste do instrumento de coleta de dados
No processo de elaboração do questionário foram realizados dois pré-testes
com a preocupação de se obter um instrumento que garantisse fidedignidade e
validade para a pesquisa (LAKATOS e MARCONI, 2005). Esses dois pré-testes
foram realizados com gestores da área de tecnologia da informação de algumas
empresas de grande porte localizadas na região sul do Brasil.
3.4.2 Contato inicial com os respondentes em potencial
Validado o instrumento de pesquisa, foi realizado um primeiro contato
telefônico com todas as cem empresas envolvidas na pesquisa para apresentação
inicial e para a obtenção do endereço eletrônico preferencial dos respondentes para
envio da pesquisa.
Em seguida, via correio eletrônico, foi enviado um e-mail customizado de
apresentação da pesquisa, conforme mostrado na Figura 23, contendo o link com o
endereço de acesso à pesquisa na Internet.
89
Figura 23 E-mail customizado enviado para apresentar a pesquisa aos
participantes
3.4.3 Tentativa de melhorar a taxa de retorno do questionário
Acreditava-se que a personalização da mensagem, pela inclusão do nome
do destinatário e da empresa no corpo da mensagem, contribuiria para aumentar a
taxa de retorno. Como já mencionado, o primeiro contato com os participantes foi
telefônico. Em seguida, com o endereço eletrônico do respondente em mãos, foi
encaminhado um e-mail personalizado para o respondente, minimizando a chance
de o respondente perceber a mensagem como uma mala-direta tipo spam3, mas
como uma correspondência pessoal de solicitação de colaboração, conforme
recomenda Graeml (2004).
Dilmann (1978, apud GRAEML, 2004) faz algumas recomendações visando
a se obter uma melhor taxa de retorno para o questionário, oriundas da sua
experimentação anterior com surveys. Uma delas é fornecer recompensa ao
3 Spam é o nome que se dá a mensagens de e-mail não solicitadas, enviadas de forma
indiscriminada para um grande número de usuários da Web, simultaneamente.
90
respondente, mostrando consideração, fornecendo apreciação verbal, usando uma
abordagem consultiva, dando suporte a seus valores, oferecendo recompensas
tangíveis e fazendo o questionário interessante. Na tentativa de motivar o respon-
dente a participar, foi inserido o seguinte texto no corpo do e-mail enviado: “as
próprias perguntas do questionário podem ajudar sua empresa a refletir sobre os
aspectos que influenciam as decisões relacionadas ao tema” e “caso deseje receber
os resultados desta pesquisa, por favor, preencha seus dados nos campos indicados
ao final do questionário”, conforme sugerido por Graeml (2004).
Outra recomendação de Dilmann (1978, apud GRAEML, 2004) é de reduzir
os custos do respondente, fazendo a tarefa parecer breve, reduzindo o esforço
mental e físico necessários, eliminando chances de exposição a situações
embaraçosas, por meio da garantia de anonimato (se desejado), eliminando a
eventual sensação de inferioridade em relação ao pesquisador. Nesse sentido, o e-
mail de apresentação da pesquisa ressalvava que: “a pesquisa não vai tomar mais
do que dez ou quinze minutos do seu tempo” e “os dados individuais das empresas
participantes serão mantidos em sigilo”. Além disso, por se tratar de um questionário
acessível por meio de um navegador de Internet, o tamanho da barra de rolagem
lateral da janela do navegador foi mantida proporcional a uma página curta de fácil
visualização do seu conteúdo total (Figura 24).
Figura 24 Barra de rolagem lateral curta para facilitar a visualização do conteúdo
total da página
91
Por fim, respeitou-se a recomendação de se estabelecer uma relação de
confiança, provendo antecipadamente um sinal de apreciação, identificando a
pesquisa com uma organização conhecida que tivesse legitimidade e construindo
outras relações de intercâmbio. Isto ocorreu por meio do contato telefônico de
apresentação realizado com as empresas antes do envio do questionário de
pesquisa pela Internet.
3.4.4 Coleta de dados
As fontes de dados secundários utilizadas para este estudo foram jornais e
revistas, periódicos acadêmicos, relatórios de pesquisas acadêmicas, relatórios
setoriais, livros especializados, bases de dados, informações obtidas em sites de
orgãos como o Office of Government Commerce (OGC), Information Systems Audit
and Control Association (ISACA), Information Technology Governance Institute
(ITGI), entre outros.
Os dados secundários foram utilizados para orientação e subsídio na
elaboração do instrumento de coleta de dados primários, além da preparação da
revisão teórica desta pesquisa.
Em seguida, já com o instrumento de pesquisa pronto, foram iniciados os
contatos com as empresas. A dinâmica adotada na pesquisa foi, como já
mencionado, a realização de um contato telefônico com os respondentes e só então
o envio do e-mail com a pesquisa. Em média, foram realizados cerca de dez
contatos telefônicos por dia, seguidos do envio de e-mail com o link para responder
o questionário. O número de questionários respondidos ao final de cada dia de
pesquisa era um pouco inferior à metade do número de empresas contactadas.
Cerca de quinze dias após o início dos telefonemas, todas as empresas já
tinham sido contactadas, porém apenas 38% das empresas haviam respondido o
questionário. Para reforço, foi enviado novamente o e-mail da pesquisa para todas
as empresasque não haviam respondido e se identificado nos campos disponíveis
para isso. Após esse reforço, o percentual subiu para 51% e foi encerrada a coleta
de dados.
92
3.4.5 Considerações sobre a representatividade da amostra
Para garantir que as respostas fossem isentas, não se exigiu a identificação
da empresa e/ou do respondente. Em função disto, infelizmente, não é possível
comparar dados eventualmente disponíveis das empresas que responderam ao
questionário com os daquelas que deixaram de responder, o que permitiria uma
verificação estatística da representatividade da amostra de conveniência obtida.
Ainda assim, acredita-se que não exista nenhuma característica significativa
que diferencie o grupo de não respondentes dos respondentes. Tampouco foi
identificado qualquer motivo que levasse o pesquisador a imaginar que a amostra de
respondentes fizesse parte de uma população distinta da dos não respondentes, no
que tange aos objetivos do estudo.
3.4.6 Tratamento dos dados
A base de dados foi montada em Microsoft Access® e os dados coletados
dos respondentes foram automaticamente gravados nessa base. A Figura 25 ilustra
alguns questionários respondidos e gravados no banco de dados.
Figura 25 Conteúdo do banco de dados Microsoft Access® com os dados de
alguns respondentes
93
Os dados coletados foram então transferidos, por meio de exportação e
importação para o Microsoft Excel®, que foi o software escolhido para as análises
posteriores. A Figura 26 ilustra alguns questionários respondidos, já gravados já no
Microsoft Excel® para análise.
Figura 26 Registros dos dados de alguns respondentes já no Microsoft Excel®
3.5 CONSIDERAÇÕES ADICIONAIS SOBRE A PESQUISA DE CAMPO
3.5.1 Vantagens do uso de survey eletrônica
As vantagens da utilização da survey eletrônica ficaram muito evidentes com
relação à economia de tempo e dinheiro, permitindo que se atingisse um grande
número de respondentes em todo o território brasileiro. Foi possível realizar a
pesquisa sem a ajuda de outras pessoas, sendo que os contatos e o envio dos
questionários foram realizados todos pelo próprio pesquisador. Taylor (2000) aponta
a redução drástica nos custos e a velocidade de resposta como as principais
vantagens das surveys pela Internet, ao compará-las com outros métodos
anteriormente conhecidos. Simsek (1999) acrescenta a esta lista de vantagens o fato
94
de a Internet facilitar a verificação de entrega da mensagem e sua respectiva leitura,
a redução do consumo de papel (questão ambiental) e a minimização de erros
potenciais de interpretação da caligrafia do respondente.
3.5.2 Dificuldades encontradas na pesquisa
Com relação às dificuldades encontradas na operacionalização desta
pesquisa, pode-se citar a baixa percentagem dos questionários que voltaram em um
primeiro momento, apesar da iniciativa de se telefonar antecipadamente para cada
um dos respondentes pretendidos. Acredita-se que isto decorra do desinteresse em
participar de pesquisas acadêmicas.
Vários foram os contactados que se posicionaram negativamente com
relação a pesquisa no momento em que souberam que se tratavam de dados para
serem analisados pela academia, sem perspectiva de qualquer divulgação na mídia
ou premiação. Dentre os motivos alegados pelos gestores contactados que se
negaram a cooperar com a pesquisa, a falta de tempo e a impossibilidade de
fornecer dados dessa natureza em função da política da empresa, foram os mais
comuns.
95
4 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS
Com o objetivo de compreender e caracterizar a adoção de modelos de
melhores práticas de governança de tecnologia da informação por empresas
brasileiras usuárias de TI, a partir da visão dos seus executivos de TI, foi aplicado
um questionário que buscou:
identificar os fatores que têm influenciado as empresas pesquisadas na
adoção de modelos de melhores práticas de governança de tecnologia da
informação;
identificar os modelos de melhores práticas de governança de tecnologia
da informação adotados pelas empresas pesquisadas;
identificar a opinião dos executivos de tecnologia da informação com
relação à influência do uso de modelos de melhores práticas de
governança de tecnologia de informação nas suas empresas.
Em seguida são apresentados os resultados obtidos a partir da aplicação do
questionário, confrontando-se as respostas dos participantes com as expectativas
prévias, em função da revisão bibliográfica realizada e apresentada no capítulo 2,
além da experiência do pesquisador com o tema.
4.1 CARACTERIZAÇÃO DAS EMPRESAS PESQUISADAS E DOS
RESPONDENTES
Os respondentes da pesquisa foram diretores, gerentes e coordenadores da
área de tecnologia de informação nas organizações estudadas. Com relação ao
porte das empresas estudadas, tratam-se de empresas grandes, com investimentos
em TI, no ano de 2007, sempre superiores a cinco milhões de reais.
O perfil da população de empresas contactadas nessa pesquisa está
dividido basicamente em quatro segmentos conforme a Figura 27. Embora não se
possa afirmar onde se encontram os 51% representantes da amostra utilizada para
análise, uma vez que os respondentes não precisavam se identificar e não foi
incluída nenhuma pergunta sobre o setor de atuação, é importante salientar que
96
indústria é o setor mais representativo da população com 51%, seguida do setor de
serviços, com 29%, e dos setores de finanças e comércio, com 11% e 9% de
participação, respectivamente. Outros setores, como o governamental, não estão
contemplados.
Figura 27 Setores econômicos contemplados na pesquisa (população)
Do total das 51 respostas válidas, a grande maioria das empresas,
representando 88% dos respondentes, declararam utilizar algum modelo de
melhores práticas de governança de tecnologia da informação (ver a Figura 28).
Embora 12% das empresas pesquisadas tenham declarado não utilizar modelos de
melhores práticas, estas também demonstraram acreditar em resultados positivos
oriundos da utilização de tais práticas na empresa, como será visto na próxima
seção.
Figura 28 Utilização de algum modelo de melhores práticas de governança de
tecnologia da informação
97
4.2 OPINIÃO DOS EXECUTIVOS DE TI COM RELAÇÃO À INFLUÊNCIA DO
USO DE MODELOS DE MELHORES PRÁTICAS DE GOVERNANÇA DE TI
PELAS EMPRESAS
Várias definições foram abordadas no referencial teórico dessa pesquisa,
com relação ao uso de modelos de melhores práticas de governança de TI.
Fernandes e Abreu (2006) afirmam que a utilização de tais modelos habilita
a empresa a controlar, medir e auditar a execução e a qualidade dos serviços;
acompanhar contratos internos e externos e criar condições para o eficaz exercício
da gestão de TI, com base em conceitos consolidados de qualidade. Em função
disto, o questionário envolveu questões para capturar a opinião dos participantes
sobre essas vantagens de se utilizar práticas de governança. Os respondentes
dessa pesquisa se posicionaram conforme mostrado na Figura 29.
Figura 29 Opinião dos respondentes sobre as conseqüências da utilização de
modelos de melhores práticas de governança de TI
A maioria dos respondentes se posicionou de forma positiva com relação à
influência da adoção de modelos de melhores práticas de tecnologia da informação
no que tange ao aumento da visibilidade dos executivos da empresa sobre o retorno
98
dos investimentos em TI. Do total de respondentes, 63% concordaram plenamente e
outros 31% concordaram com esta afirmativa, somando um total de 94%. Não houve
respostas negativas com relação a esta questão, apenas 6% dos respondentes
indicaram não ter opinião formada a respeito.
Da mesma forma, os respondentes também demonstraram considerar
importante a adoção de modelos de melhores práticas de tecnologia da informação
para o aumento do controle e da qualidade dos serviços prestados pela TI na
empresa. Do total de respondentes, 61% concordaram plenamente e 23%
concordaram com esta afirmativa, somando um total de 84%. Não houve respostas
negativas, embora 16% dos respondentes tenha indicado não ter opinião a respeito.
Com relação à influência da adoção de modelos de melhores práticas de
tecnologia da informação no aumento dos lucros da empresa, as opiniões ficaram
divididas. Embora 16% concordem plenamente e outros 28% concordem que a
governança de TI amplie os lucros da organização, 31% dos respondentes
afirmaram não ter opinião formada e outros 26% discordam da afirmação.
Também há certo ceticismo com relação à influência da adoção de modelos
de melhores práticas de tecnologia da informação no aumento da agilidade na
realização de processos empresariais: 27% das respostas indicam concordância
plena, 37% demonstram concordância, 26% discordaram da afirmativa e 6%
discordam totalmente. Houve ainda 4% dos respondentes que declararam não ter
opinião formada a respeito do assunto.
Esses resultados demonstram que as empresas tendem a relacionar
diretamente a adoção de modelos de melhores práticas de tecnologia da informação
ao aumento da visibilidade dos executivos sobre o retorno de investimentos em TI,
reforçando o que afirma Vanni (2005), que trata governança de TI como uma
capacidade organizacional exercida por um comitê, pela gerência executiva e pela
gerência de TI, para definir e implementar a estratégia de TI com o objetivo de
alinhar TI com o negócio, agregando valor e minimizando riscos.
O aumento do controle e qualidade dos serviços prestados pela TI, ou seja,
a aplicação de governança leva a empresa a atingir tais objetivos com sucesso. Isto
99
já havia sido constatado em um estudo de caso realizado na Accor Services Brasil,
que após implementar governança de TI, observou que o volume de negócios
duplicou, os custos de TI, proporcionalmente a tais resultados, cairam em mais de
30%, obtendo-se ainda melhor nível de serviço. No caso da Accor, a satisfação dos
usuários aumentou em cerca de 50% e o backlog baixou de 40% para 10%,
conforme afirmam Fernandes e Abreu (2006).
Weill e Ross (2006) afirmam, a partir do seu estudo, que empresas com
governança de TI superior têm lucros no mínimo 20% maiores do que as com má
governança embora entendam que esse não seja um motivo isolado ou único fator
relevante para que isso ocorra. Embora a presente survey tenha apresentado
resultados em que mais respondentes considerem que há aumento nos lucros do
que redução, ficou evidente que há controvérsia a respeito do assunto. O mesmo
aconteceu com relação ao aumento da agilidade na realização de processos
empresariais. Novas pesquisas precisariam ser realizadas que procurassem
compreender o motivo dessa diversidade de opiniões.
4.3 FATORES DE INFLUÊNCIA NA ADOÇÃO DE MODELOS DE MELHORES
PRÁTICAS DE GOVERNANÇA DE TI
Vários foram os fatores identificados na literatura que estimulam as
empresas a adotar modelos de melhores práticas de tecnologia da informação.
Dentre eles, destacam-se: a complexidade cada vez maior dos recursos envolvidos,
a crescente dependência de tecnologia evidenciada pelo negócio, a integração dos
sistemas e soluções, necessidades heterogêneas dos negócios, a pressão por
redução de custos e por maior flexibilidade e agilidade, a responsabilidade legal (civil
e criminal), a exigência de transparência pelos acionistas e pelo mercado, a
mudança do perfil da concorrência e o aumento das ameaças e vulnerabilidades em
tecnologia da informação (FERNANDES e ABREU, 2006).
Regulamentos, normas e recomendações surgiram no cenário internacional
como decorrência da necessidade de mitigar riscos oriundos da indisponibilidade da
tecnologia, bem como com o objetivo de proporcionar um grau de transparência
compatível com as expectativas de investidores, especialmente nos Estados Unidos.
100
Em conseqüência disto, desdobramentos da legislação e dos regulamentos
internacionais começam a surgir no Brasil, com implicações diretas no cotidiano de
instituições financeiras, sociedades de capital aberto, filiais de empresas
multinacionais e fornecedores de empresas estrangeiras, de países onde as
exigências de governança são maiores.
A conformidade com os regulamentos vigentes, as exigências decorrentes
do aumento do grau de dependência do negócio em relação à área de tecnologia da
informação e o gerenciamento financeiro dos projetos criaram as condições
propícias para o surgimento dos mencionados modelos de governança de tecnologia
da informação, que sugerem a adoção de guias de melhores práticas para atingir a
eficiência na gestão dos serviços de TI.
Levando-se em conta esse cenário, as questões seguintes buscaram
identificar os fatores que têm influenciado as empresas pesquisadas na adoção de
modelos de melhores práticas de governança de tecnologia da informação. A
amostra utilizada nas análises seguintes compreende somente as empresas que
declararam utilizar algum modelo de melhores práticas, conforme já mencionado,
que corresponderam a 88% do total de respondentes. Ficaram de fora desta análise
as seis empresas que não utilizam práticas de governança de TI.
101
Figura 30 Fatores de influência na adoção de modelos de melhores práticas de
governança de TI
A grande maioria dos respondentes demonstrou concordar com relação ao
fato de a crescente demanda por monitoramento e controle organizacional ser
determinante para a empresa adotar modelos de melhores práticas de governança
de tecnologia da informação. Do total de respondentes, 67% concordaram
plenamente e outros 31% concordaram com esta afirmativa, somando 98%. Não
houve respostas negativas, apenas 2% dos respondentes indicaram não ter opinião
a respeito.
O fator aumento das ameaças e vulnerabilidades em TI como determinante
para a empresa adotar modelos de melhores práticas de governança de tecnologia
da informação também foi considerado importante. Com 42% de respondentes
102
concordando plenamente e 38% concordando, chegou-se a um total de 80% de
concordância com a afirmação contida no questionário. Cerca de 11% dos
respondentes discordaram de este fator influenciar a empresa na adoção de
modelos de melhores práticas de governança de tecnologia da informação. Os 9%
restantes indicaram não ter opinião a respeito do assunto.
A mudança do perfil da concorrência como fator determinante para a
empresa adotar modelos de melhores práticas de governança de tecnologia da
informação não foi considerado um fator tão importante quanto os anteriores.
Apenas 2% dos respondentes concordaram plenamente e 47% concordaram com a
afirmação, ou seja, houve menos de 50% de respostas positivas. Um valor
expressivo de 22% de respondentes indicaram não ter opinião formada e 29%
discordaram. Nenhum dos respondentes discordou totalmente.
Grande parte dos respondentes demonstrou concordar com relação ao fator
das exigências da lei Sarbanes-Oxley dos EUA ser um fator determinante para a
empresa adotar modelos de melhores práticas de governança de tecnologia da
informação. Do total de respondentes, 42% concordaram plenamente e 53%
concordaram com esta afirmativa, somando um total de 95% de opiniões positivas.
Não houve respostas negativas e apenas 5% dos respondentes consideraram não
ser afetados por essa lei norte-americana, tendo respondido que esse fator não se
aplica.
A exigência de transparência pelos acionistas e pelo mercado é fator
determinante para a empresa adotar modelos de melhores práticas de governança
de tecnologia da informação, na opinião dos respondentes. Com 69% deles
concordando plenamente e 24% concordando com a afirmação neste sentido (o que
representa 93% de concordância), apenas 7% dos respondentes indicaram não ter
opinião a respeito. Não houve nenhuma opinão contrária a essa afirmação.
A necessidade de responsabilização legal (civil e criminal) de funcionários e
dirigentes como fator determinante para a empresa adotar modelos de melhores
práticas de governança de tecnologia da informação obteve 13% de concordância
plena e 44% de concordância (somando 57% de respostas positivas), 27% dos
103
respondentes declararam não ter opinião formada sobre o assunto e apenas 16%
demonstraram discordância.
A pressão por maior flexibilidade e agilidade foi considerado fator
determinante para a empresa adotar modelos de melhores práticas de governança
de tecnologia da informação por 58% dos respondentes (27% concordaram
plenamente e 31% concordaram). Um percentual expressivo de 29% de
respondentes indicaram não ter opinião e 13% discordaram de este ser um motivo
importante para justificar a adoção de governança de TI. De acordo com Mendes e
Guimarães (2002), o termo flexibilidade organizacional se refere a um conjunto de
iniciativas adotadas pela organização, que visa a aumentar a sua efetividade e sua
capacidade de reagir positivamente às variações do ambiente. Zisblat (2008)
investigou o impacto das práticas Itil na flexibilidade organizacional e afirma que o
conjunto de disciplinas do modelo Itil adotado na organização por ele pesquisada, na
sua totalidade, não contribuiu para a flexibilidade e, tampouco, para o engessamento
da empresa, isto é, seu resultado indica uma tendência à neutralidade.
A maioria dos respondentes demonstrou concordar que a pressão por
redução de custos seja um fator determinante para a empresa adotar modelos de
melhores práticas de governança de tecnologia da informação. Do total de
respondentes, 40% concordaram plenamente e 31% concordaram, somando um
total de 71% de percepções positivas a esse respeito. Contudo, um número
significativo de respondentes (29%) discorda dessa afirmativa. Curiosamente,
apesar de haver opiniões bastante divergentes, não houve registro de nenhum caso
de respondente sem opinião formada sobre a questão.
Com 100% de respostas positivas, a necessidade de integração dos
sistemas e soluções foi considerada um fator determinante para a empresa adotar
modelos de melhores práticas de governança de tecnologia da informação (64% dos
respondentes concordaram plenamente e os 36% restantes concordaram com a
importância desse fator).
O fato de as áreas de negócio estarem cada vez mais dependentes da TI
também foi considerado um fator determinante para as empresa adotarem modelos
104
de melhores práticas de governança de tecnologia da informação (69% dos
respondentes concordaram plenamente e os 31% restantes concordaram com a
afirmação sobre a questão).
O aumento da complexidade da tecnologia como fator determinante para a
empresa adotar modelos de melhores práticas de governança de tecnologia da
informação demonstrou influenciar a grande maioria dos respondentes. Do total de
respondentes, 53% concordaram plenamente e 36% concordaram, somando 89%
de respostas positivas. Discordaram desse fator, 11% dos respondentes.
As respostas oferecidas pelos respondentes demonstram que os fatores
identificados na literatura e abordados na pesquisa são, de fato, levados em
consideração pelas empresas estudadas que adotam modelos de melhores práticas
de governança de tecnologia da informação para definir investimentos em
governança de TI.
Como já mencionado, além dos fatores previamente identificados, sobre os
quais se pediu para que os respondentes opinassem (ver a Figura 30), foi criado um
campo de texto no questionário permitindo que o respondente indicasse outro fator
de influência não abordado pela pesquisa para adoção de modelos de melhores
práticas (ver a Figura 31). Contudo, apenas um respondente utilizou este campo,
para indicar que o estudo de viabilidade de sourcing (outsourcing, multisourcing etc.)
era um fator determinante da adoção de modelos de governança de TI.
Figura 31 Campo texto permitindo a indicação de outro fator não abordado pela
pesquisa
É provavel que fatores como a crescente demanda por monitoramento e
controle organizacional; a exigência de transparência pelos acionistas e pelo
105
mercado; o aumento da complexidade da tecnologia; e o fato das áreas de negócio
estarem cada vez mais dependentes da TI estejam inter-relacionados, uma vez que
tratam, de maneira geral, de uma necessidade única de aumento de controle sobre
serviços prestados pela TI para toda a empresa. Tais fatores reforçam conceitos
como o do ITGI (2007), que entende governança como a estrutura de relações e
processos que dirige e controla uma organização, a fim de atingir seu objetivo de
adicionar valor ao negócio por meio do gerenciamento balanceado do risco com o
retorno esperado do investimento, tendo como objetivo principal o alinhamento da TI
ao negócio, agregando valor e minimizando riscos.
Fernandes e Abreu (2006) defendem o fator pressão por redução de custos
como motivador à adoção de governança. A pesquisa demonstrou que este fator
não é tão considerado pelas empresas como outros. O resultado das questões
anteriores que demonstram haver fraca relação também entre utilização de
governança e aumento nos lucros da empresa contribui para o entendimento de que
as empresas não adotam modelos de melhores práticas com o objetivo de melhorar
seus resultados financeiros.
Outro fator mencionado por Fernandes e Abreu (2006), que não apareceu
como um fator tão importante na pesquisa ora realizada é a mudança do perfil da
concorrência. Segundo os participantes, as pressões externas, vindas da
concorrência, têm menos impacto na adoção de modelos de melhores práticas do
que alguns dos outros fatores apontados.
Outro ponto a considerar é que as exigências da lei Sarbanes-Oxley dos
Estados Unidos foram o único fator que alguns respondentes declararam que não se
aplica. Embora a lei tenha mudado os negócios e o cenário regulatório, no que diz
respeito ao uso de tecnologia nas organizações e seus sistemas de informação
(ITGI, 2007), ela afeta diretamente apenas empresas que mantêm relações
comerciais com os EUA. Empresas que não possuem esse vínculo, de fato, não
devem sofrer pressões nesse sentido.
O principal objetivo da Sarbanes-Oxley é coibir a conduta antiética de
administradores e auditores, restaurando a confiabilidade das demonstrações
106
contábeis e financeiras (Sarbanes-Oxley Act, 2002), apresentando um rol de
responsabilidades e sanções, tipificando crimes de colarinho branco praticados por
administradores e auditores. Ainda que a lei não influencie empresas que não têm
relação comercial com os Estados Unidos, o fator avaliado que mede a necessidade
de responsabilização legal (civil e criminal) de colaboradores demonstra alguma
preocupação nesse sentido pelas empresas. Mesmo que a relação entre esse fator e
governança seja relativamente fraca nas empresas brasileiras, até mesmo porque no
Brasil não houve grandes escândalos e mudanças na legislação para proteger os
stakeholders de dirigentes de empresas inescrupulosos, acredita-se que essa
preocupação também vá se ampliar no Brasil.
A pressão por maior flexibilidade e agilidade apresentou um nível mais
elevado de discordância do que os outros fatores, o que possivelmente tem relação
com a questão anterior. Afinal, já se constatou que o aumento da agilidade na
realização de processos empresariais também não representa uma relação forte
com a utilização de práticas de governança.
4.4 MODELOS DE MELHORES PRÁTICAS DE GOVERNANÇA DE TI
ADOTADOS PELAS EMPRESAS PESQUISADAS
Como já mencionado, nas duas últimas décadas vêm surgindo diversos
modelos de melhores práticas para TI, que parecem se ajustar às aspirações dos
acionistas e do mercado de garantir que as ações de TI estejam alinhadas com a
estratégia das organizações, contribuindo para o atingimento dos objetivos dos
investidores. A presente pesquisa identificou na literatura os principais modelos
mencionados e buscou identificar os que estão sendo adotados nas empresas
(Figura 32). Além da identificação dos modelos, foi medido o nível de utilização de
cada um deles, observando assim o grau de maturidade da aplicação que cada
empresa faz dos modelo adotados.
107
Figura 32 Modelos de melhores práticas de governança de TI adotados pelas
empresas pesquisadas
A utilização do modelo Itil, biblioteca de infra-estrutura de TI, definida como
uma estrutura de padrões e melhores práticas para gerenciar os serviços e a infra-
estrutura de TI ocorre em 100% das empresas respondentes. Do total de
respondentes, 7% afirmaram utilizar plenamente, 78% afirmaram fazer muita
utilização e 15% fazem utilização moderada desse modelo. Esse modelo se
destacou nas empresas, o que era esperado, uma vez que se trata da abordagem
mundialmente mais difundida para o gerenciamento de serviços de TI (service
management) (OGC, 2008).
108
A grande preocupação identificada em questões anteriores, com controle e
qualidade dos serviços prestados pela TI justificam que o Itil seja amplamente
utilizado pelas empresas, em virtude de o Itil se preocupar com esses aspectos.
A utilização das práticas de gestão do Cobit, que por definição auxiliam a
otimizar os investimentos em TI e fornecem métricas para avaliação dos resultados
(ITGI, 2005), foi identificada em 88% das empresas respondentes. Do total de
respondentes, 11% afirmaram utilizar plenamente, 44% afirmaram fazer muita
utilização, 31% fazem utilização moderada, 2% fazem pouca utilização e apenas 7%
das empresas não utilizam o modelo. Outros 5% dos respondentes afirmaram não
saber responder sobre a intensidade de utilização de Cobit na organização.
Depois do Itil, esse é o modelo com mais utilização nas empresas, o que
também era esperado, pois também trata do controle e qualidade dos serviços
prestados pela TI.
O IT Governance Maturity Model, que se apóia nos conceitos do modelo CMM
SW, com foco no nível de serviço, foi identificado (e com pouca utilização) em
apenas 24% das empresas. Os 76% restantes afirmaram não fazer nenhuma
utilização de tal modelo. Isto também não representou surpresa. A baixa utilização
do modelo se justifica por se tratar de um modelo eficiente apenas nos passos para
avaliar a maturidade dos processos, sugerindo outros modelos para implantação,
segundo o ITGI (2005).
O IT BSC, baseado nos balanced scorecards foi identificado em apenas 33%
das empresas pesquisadas. Do total de respondentes, 18% afirmaram fazer
utilização moderada e 15% fazem pouca utilização. Os outros 67% afirmaram não
utilizar o modelo. Embora se trate de uma ferramenta para realizar o alinhamento da
TI ao negócio, assim como para desdobrar os objetivos estratégicos de TI em
iniciativas que contribuam para o atendimento dos objetivos empresariais, segundo
Fernandes e Abreu (2006), o modelo não trata de controle e qualidade de serviços,
podendo constituir uma razão para sua baixa utilização na grande maioria das
empresas.
O Project Management Body of Knowledge ou PMBok foi identificado em 87%
109
das empresas pesquisadas. O modelo elaborado pelo Project Management Institute
(PMI) apareceu com utilização plena em 2% das empresas, muita utilização em
29%, utilização moderada em 31% e pouca utilização em 25%. Sua ampla utilização
nas empresas se justifica por ser um modelo que busca aumentar o controle dos
projetos realizados pela área de TI, por ser um modelo de fácil adaptação e por ser
dedicado às necessidades dos gerentes de projetos de todo o mundo.
Os códigos para gerenciamento de segurança da informação BS 7799,
ISO/IEC 27001 e ISO/IEC 17799 foram identificados em 64% das empresas
respondentes, com diferentes níveis de utilização: 16% indicaram fazer muita
utilização, 24% fazem uma utilização moderada e outros 24% fazem pouca
utilização. As 36% restantes declararam não utilizar tais modelos. Esse modelo se
justifica pois trata de segurança da informação, que demonstrou ser preocupação
relevante para as empresas estudadas. Sua utilização em menor intensidade do que
o Cobit e Itil aparentemente acontece em função do foco apenas em segurança, não
dispondo práticas de controle e qualidade de serviços.
A metodologia de gerenciamento de projetos PRINCE2 não foi identificada em
nenhuma das empresas pesquisadas. Com 100% de respostas negativas, todos os
respondentes apontaram não fazer nenhuma utilização de tal modelo. Essa
metodologia não tem relação com governança de TI nas empresas estudadas.
Seis Sigma, que aborda a melhoria e reinvenção dos processos de negócio,
foi identificada em 20% das empresas estudadas. Do total de respondentes, 20%
afirmaram fazer pouca utilização desse modelo e a grande maioria (80%) afirmou
não fazer nenhuma utilização. Essa metodologia também parece não ter relação
com governança de TI nas empresas estudadas.
Da mesma forma que havia sido feito para os fatores que motivam a adoção
da governança corporativa, também foi incluído um campo que permitisse que o
respondente indicasse algum outro modelo adotado em sua empresa, conforme
mostrado na Figura 33.
110
Figura 33 Campo texto permitindo a indicação de outro modelo não apresentado
nas questões da pesquisa
Apenas duas empresas das 45 respondentes mencionaram utilizar outros
modelos. Com utilização plena, uma delas mencionou “benchmarking de TIC
(comparativos de gestão, custos, ativos, tecnologia, RH, tendências)” e a outra, “ISO
9001”.
111
5 CONCLUSÕES E RECOMENDAÇÕES
Neste capítulo são apresentadas as conclusões, as limitações do trabalho e
as sugestões para pesquisas futuras.
A presente pesquisa buscou identificar a opinião dos executivos de
tecnologia da informação com relação a influência do uso de modelos de melhores
práticas de governança de tecnologia de informação nas empresas. Os resultados
obtidos que atendem a este objetivo de apoio demonstram que as empresas tendem
a relacionar diretamente a adoção de modelos de melhores práticas de tecnologia
da informação ao aumento da visibilidade dos executivos sobre o retorno de
investimentos em TI e ao aumento do controle e qualidade dos serviços prestados
pela TI, ou seja, a aplicação de governança leva a empresa, na visão dos
respondentes, a atingir tais objetivos com sucesso.
O instrumento de coleta utilizado nesta pesquisa foi desenvolvido com base
na literatura estudada para identificar os fatores que influenciam na adoção de
modelos de melhores práticas de governança de tecnologia da informação. Os
resultados da aplicação desse questionário, com objetivo de identificar os fatores
que têm influenciado as empresas pesquisadas na adoção desses modelos,
demonstram que alguns fatores citados na literatura como sendo importantes
motivos para a adoção de práticas de governança de TI não foram considerados tão
importantes pelos participantes do estudo ora realizado. As respostas fornecidas
para os fatores pressão por redução de custos e aumento nos lucros da empresa
contribuem para o entendimento de que as empresas pesquisadas não adotam
modelos de melhores práticas com o objetivo de melhorar seus resultados
financeiros.
Exigências legais como a imposta pela lei Sarbanes-Oxley dos Estados
Unidos demonstraram afetar mais diretamente apenas empresas que mantêm
relações comerciais com os EUA, o que já era esperado. Empresas que não
possuem esse vínculo, de fato, não sofrem pressões fortes nesse sentido. Ainda que
a lei não influencie essas empresas, o fator avaliado que trata da responsabilização
legal (civil e criminal) de funcionários demonstra alguma preocupação nesse sentido
112
pelas empresas. Ainda que a relação entre esse fator e governança seja
relativamente fraca nas empresas brasileiras, até mesmo porque no Brasil não
houve grandes escândalos e mudanças na legislação para proteger os stakeholders
de dirigentes de empresas inescrupulosos, acredita-se que essa preocupação
também vá se ampliar no Brasil.
Outras pressões externas, vindas da concorrência, também demonstraram
ter pouco impacto nas decisões relacionadas à adoção de modelos de melhores
práticas pelas empresas participantes da pesquisa.
As empresas demonstraram que os fatores determinantes para adoção de
modelos de melhores práticas de governança de tecnologia da informação estão
relacionados à crescente demanda por monitoramento e controle organizacional; à
exigência de transparência pelos acionistas e pelo mercado; ao aumento da
complexidade da tecnologia; e ao fato das áreas de negócio estarem cada vez mais
dependentes da TI.
Esses fatores justificam a grande utilização do Itil, biblioteca de infra-
estrutura de TI, definida como uma estrutura de padrões e melhores práticas para
gerenciar os serviços e a infra-estrutura de TI. Esse modelo foi indicado em 100%
das empresas respondentes, o que era esperado, uma vez que se trata da
abordagem mundialmente mais difundida para o gerenciamento de serviços de TI
(OGC, 2008).
A utilização das práticas de gestão do Cobit, que por definição auxiliam a
otimizar os investimentos em TI e fornecem métricas para avaliação dos resultados
(ITGI, 2005), foi identificada em 88% das empresas respondentes. Depois do Itil,
esse é o modelo com mais utilização nas empresas tratando do controle e qualidade
dos serviços prestados pela TI.
O Project Management Body of Knowledge ou PMBok foi identificado em 87%
das empresas pesquisadas. Sua ampla utilização nas empresas se justifica por ser
um modelo que busca aumentar o controle dos projetos realizados pela área de TI,
por ser um modelo de fácil adaptação e por ser dedicado às necessidades dos
gerentes de projetos de todo o mundo.
113
Os códigos para gerenciamento de segurança da informação BS 7799,
ISO/IEC 27001 e ISO/IEC 17799 foram identificados em 64% das empresas
respondentes. Sua utilização em menor intensidade do que o Cobit e Itil
aparentemente acontece em função do foco apenas em segurança, não dispondo
práticas de controle e qualidade de serviços.
Tais resultados, incluindo a opinião dos executivos, os fatores que motivam
a adoção de modelos de melhores práticas e a sua escolha, remetem ao
cumprimento dos objetivos de apoio e, conseqüentemente, ao atingimento do
objetivo geral deste trabalho.
Embora o Itil represente o conjunto de práticas mais utilizado para
governança de TI, não se conhecem pesquisas científicas que suportem a afirmação
de que o Itil represente as melhores práticas4. Este estudo, assim como outros que o
precederam, detectam o seu elevado nível de adoção pelo mercado, o que é um
indício de boa aceitação.
Algumas limitações são percebidas na presente pesquisa. Com intuito de
aumentar a taxa de retorno de respostas, o instrumento utilizado na pesquisa
garantiu o anonimato dos respondentes. Dessa forma, os dados não podem ser
classificados por setor econômico ou área de atuação da empresa. Talvez uma
pesquisa focada em empresas de um determinado setor possa gerar resultados
diferenciados, principalmente no caso de se tratar especificamente do setor
financeiro, que possui exigências específicas e governamentais que não foram
abordadas neste trabalho.
Adotou-se nessa pesquisa um questionário publicado na Internet, com a
solicitação de participação sendo enviada aos respondentes por meio eletrônico (e-
mail). Esse método apresenta uma limitação relacionada ao acesso do participante
ao conteúdo do questionário, pois algumas empresas podem ter restrições de
segurança e bloquear mensagens eletrônicas com origem desconhecida ou
4 Reforça-se aqui que o termos melhores práticas, embora amplamente adotado pelo mercado,
refere-se apenas a práticas padronizadas, não sendo, necessariamente, melhores do que outras práticas adotadas no mercado.
114
conteúdo considerado impróprio. Ainda que os cuidados com o conteúdo e
apresentação tenham sido devidamente tomados, algumas empresas podem não ter
sequer recebido o e-mail da pesquisa.
Em função do tempo e recursos disponíveis, a pesquisa se limitou ao estudo
quantitativo do tema. Um estudo qualitativo envolvendo métodos como um estudo de
caso, por exemplo, poderia elucidar questões que aqui não puderam ser tratadas
com mais detalhes.
Embora a presente survey tenha apresentado resultados em que mais
respondentes considerem que há aumento nos lucros do que redução com a
utilização de governança de TI, ficou evidente que há controvérsia a respeito do
assunto. O mesmo aconteceu com relação ao aumento da agilidade na realização
de processos empresariais. Novas pesquisas precisariam ser realizadas que
procurassem compreender o motivo dessa diversidade de opiniões.
A pressão por maior flexibilidade e agilidade apresentou um nível mais
elevado de discordância do que os outros fatores influentes na adoção de
governança de TI, o que possivelmente tem relação com a questão anterior. Afinal,
já se constatou que o aumento da agilidade na realização de processos
empresariais também não representa uma relação forte com a utilização de práticas
de governança.
Pesquisas futuras poderiam elucidar esses pontos relacionados aos
resultados financeiros e à agilidade das empresas que utilizam governança de TI,
talvez partindo de uma abordagem qalitativa que permita o estudo de alguns poucos
casos em profundidade.
Por fim, todos os resultados obtidos ao longo dessa pesquisa levam ao
entendimento de que o conceito de governança de TI está ligado diretamente às
iniciativas relacionadas ao aumento do controle e qualidade dos serviços prestados
pela TI para a empresa, em face da importância que os serviços de informática vêm
assumindo para a consecussão dos objetivos das organizações.
115
REFERÊNCIAS
ALBERTIN, A. L. Administração de informática e a organização. Revista de Administração de Empresas, v. 34, n. 6, p. 60-72, Nov./Dez. 1994.
ALLEN, L.; DELONG, G.; SAUNDERS, A. Issues in the credit risk modeling of retail
markets. Journal of Banking and Finance, v. 28, n. 4, Abr. 2004.
ANDRADE, A.; ROSSETTI, J. P. Governança corporativa: fundamentos,
desenvolvimento e tendências. São Paulo: Atlas, 2006.
AOKI, M. Information and governance in the Silicon Valley model. Cambridge
University Press, 2000.
ABNT (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS). NBR/ISO 17799: código de práticas para a gestão de segurança da informação. Rio de Janeiro,
2001.
BALARINE, O. F. O. Tecnologia da informação como vantagem competitiva. RAE Eletrônica, São Paulo, n. 1, a. 1, jan./jun. 2002.
BARTON, L. D. Wellsprings of knowledge. Boston: Harvard Business School Press,
1995.
BASTOS, A. Os novos rumos da gestão de segurança com as normas ISO 17799 e
BS 7799. Módulo Security Magazine, ago, 2002.
BC (Banco Central). COMUNICADO 12.746, dez. 2004. Disponível em
<http://www.bcb.gov.br/>. Acesso em 30 jun. 2008.
BERTON, L. H. Indicadores de desempenho e as práticas de boa governança corporativa. Tese (Doutorado em Engenharia de Produção) – Universidade Federal
de Santa Catarina, Florianópolis, 2003.
BIS (Bank for International Settlements). BIS History - Overview. Disponível em
<http://www.bis.org/about/history.htm>. Acesso em 03 jul. 2008.
116
BOVESPA (Bolsa de Valores de São Paulo). Site oficial. Disponível em:
<http://www.bovespa.com.br/Principal.asp>. Acesso em: 20 mai, 2008.
BRODBECK, A. F., HOPPEN, N. Alinhamento estratégico entre os planos de
negócio e de tecnologia de informação: um modelo operacional para a
implementação. In: XXVI Encontro Nacional da Associação Nacional de Pós-
Graduação e Pesquisa em Administração, Porto Alegre. Anais... Salvador:
ENANPAD, 2002.
BRYNJOLFSSON, E. The productivity paradox of information technology: review and
assessment. Communications of the ACM, dezembro de 1993.
BSI. BSI Brasil, 2006. Disponível em: <http://www.bsiamericas.com>. Acesso em:
20 nov, 2006.
CARDOSO, R. L.; RICCIO, E. L.; NETO, O. R., MANTOVANI, F. A Evolução
Recente da Transparência dos Fatores de Risco nas Informações Contábeis: Uma
análise de Empresas Brasileiras de Telecomunicações. In: XXVII Encontro Nacional
da Associação Nacional de Pós-Graduação e Pesquisa em Administração, São
Paulo. Anais... ENANPAD, 2003.
CHAN, Y. E., HUFF, S. L., BARCLAY, D. W. e COPELAND, D. G. Business strategic
orientation, information system strategic orientation, and strategic alignment.
Information Systems Research, v. 8, n. 2, p. 125-150, 1997.
CMN (Conselho Monetário Nacional). Site oficial. Disponível em:
<http://www.fazenda.gov.br/portugues/orgaos/cmn/cmn.asp>. Acesso em: 20 mai.
2008.
COASE, R. The nature of the firm. Economica, v. 4, p. 386-405, 1937.
CVM (Comissão de Valores Mobiliários). Recomendações da CVM sobre Governança Corporativa. São Paulo: CVM, 2002.
DAVENPORT, T. H. e PRUSAK, L. Working knowledge. Boston: Harvard Business
School Press, 1998.
117
DAVENPORT, T. H. Ecologia da informação: por que só tecnologia não basta para
o sucesso na era da informação. 4. ed. São Paulo: Futura, 2001.
DEWAN, S; KRAEMER, K. L. International dimensions of productivity paradox.
Communications of the ACM, agosto de 1998.
DHILLON, G.; BACKHOUSE, J. Current directions in IS security research: towards
socio-organizational perspectives. Journal of Information Systems, n. 11, p. 127-
153, 2001.
DILMANN, D. A. Mail and telephone surveys: the total design method. Nova
Iorque: Wiley-Interscience, 1978.
DIPPEL, T. IT as an enabler of computer fraud. Information Security Technical Report. XX, v. 5, n. 2, p. 60-70, 2000.
DUHAN, S.; LEVY, M.; POWELL, P. Information Systems strategies in knowledge-
based SME’s: the role of core competencies. European Journal of Information Systems, v. 10, n. 1, p. 25-40, 2001.
FARBEY, B; LAND, F. F.; TARGETT, D. Taxonomy of information systems
applications: the benefits evaluation ladder. European Journal of Information System, v. 4, n. 1, 1995.
FARRAR, J. H. A Brief Thematic History of Corporate Governance. Bond Law Review, v. 11, n. 2, p. 259-273, 1999.
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI: da estratégia
à gestão dos processos e serviços. Rio de Janeiro: Brasport, 2006.
FREITAS, H.; CUNHA Jr., M.; MOSCAROLA, J. Aplicação de sistema de software
para auxílio na análise de conteúdo. Revista de Administração da USP, São Paulo,
v. 32, n. 3, p. 97-109, jul./set. 1997.
FREITAS, H.; LESCA, H. Competitividade empresarial na era da informação. RAE – Revista de Administração de Empresas. São Paulo, v. 27, n. 3, p. 92-102, jul./set.
1992.
118
Gartner Group. Why ITIL can help. Página disponível em:
<http://www.itilsurvival.com/>. Acesso em: 25 de maio de 2008.
GRAEML, A. R. Os impactos da utilização da Internet e outras tecnologias da informação sobre o setor industrial (uma análise de empresas de manufatura do
Estado de São Paulo). Tese de Doutorado, FGV, São Paulo, 2004.
HARRIS, S. CISSP all-in-one exam guide, Third Edition. McGraw-Hill, 2005.
HENDERSON, J. C.; VENKATRAMAN, N. Strategic alignment: leveraging
information technology for transforming organizations. IBM Systems Journal, v. 32,
n. 1, p. 4-16, 1993.
HENDERSON, J. C.; VENKATRAMAN, N. Strategic alignment: leveraging
information technology for transforming organizations. IBM Systems Journal, v. 38,
n. 1, p. 472-484, 1999.
IBGC, Instituto Brasileiro de Governança Corporativa. Código das melhores práticas de governança corporativa, São Paulo : IBGC, 2004.
IWB (INFORMATION WEEK BRASIL) Revista IT Media S. A. ano 9, n. 194. 11 de
dezembro de 2007.
ISACA (Information Systems Audit and Control Association). Cobit 4.1, Rolling
Meadows, 2008.
ITGI (IT Governance Institute). Cobit 4.0, Rolling Meadows, 2005.
ITGI (IT Governance Institute). Board briefing on IT governance, 2. edition.
Disponível em <http://www.itgi.org/>. Acesso em 08 out. 2007.
JENSEN, M. C.; MECKLING, W. H. Theory of the firm: managerial behavior, agency
costs and ownership structure. Journal of Financial Economics, 3, p. 305-360, Oct.
1976.
KAPLAN, R. S. e NORTON, D. P. A estratégia em ação: balanced scorecard. São
Paulo: Ed. Campus, 1997.
119
______. Mapas estratégicos: convertendo ativos intangíveis em resultados
tangíveis. Rio de Janeiro: Campus, 4ª Ed. 2004.
KENDALL, G. I.; ROLLINS, S. C. Advanced project portfolio management and the PMO. Ross Publishing, Inc. 2003.
KLAPPER, L. F., LOVE, I. Corporate governance, investor protection and
performance in emerging markets (March 2002). World Bank Policy Research Working Paper No. 2818. Disponível em <http://ssrn.com/abstract=303979>. Acesso em
out. 2007.
KRUTZ, R. L.; VINES, R. D. The CISSP prep guide: mastering the ten domains of
computer security. United States of America: Wiley Computer Publishing, 2001.
LA PORTA, R.; LOPEZ-DE-SILANES, F.; SHLEIFER, A.; VISHNY, R. Law and
finance. Journal of Political Economy, v. 106, n. 6, p. 1113-1155, 1998.
LAKATOS, E. M.; MARCONI, M. A. Fundamentos de metodologia científica. 6. ed.
São Paulo: Atlas, 2005.
LAUDON, K.; LAUDON, J. Sistemas de informação. 4. ed. Rio de Janeiro: LTC,
1999.
________. Management information systems: organization and technology in the
networked enterprise. 6. ed. New Jersey: Prentice Hall, 2000.
_______ Sistemas de informação gerenciais. São Paulo: Pearson Prentice Hall,
2004.
LAURINDO, F. J. B.; SHIMIZU, T. Decisão em problemas da tecnologia da informação. In: Decisão nas organizações. São Paulo: Atlas, 2001.
LAURINDO, F. J. B. Tecnologia da informação - eficácia nas organizações. São
Paulo: Futura, 2002.
120
LEDERER, A. L.; MENDELOW, A. L. Information resource planning: information
systems managers’ difficulty in determining top management’s objectives. MIS Quarterly, v. 11, n. 3, p. 388-399, Sep. 1987.
LUFTMAN, J. N., LEWIS, P. R. e OLDACH, S. H. Transforming the enterprise: The
alignment of business and information technology strategies. IBM System Journal, v.
32, n.1, p. 198-220, 1993.
LUFTMAN, J. Assessing Business IT Alignment Maturity. Communications of the AIS. Vol. 4, n. 14, Dezembro de 2000.
LUNARDI, G. L. Um estudo empírico e analítico do impacto da governança de TI no desempenho organizacional. Porto Alegre: UFRGS, Tese de Doutorado, 2008.
MASON, T. Platform security and commom criteria. Information Security Technical Report. XX, v. 5, n. 1, p. 14-25, 2000.
McFARLAN, F. Warren Information technology changes the way you compete.
Harvard Business Review, Mai/Ago, 1984.
McLANE, G. IT Governance and its impact on IT management (a literature review).
Masters os Business in Information Technology Management. M.B dissertation
project. UTS. 2003.
MENDES, P.; GUIMARÃES, T. Flexibilidade organizacional em ambiente de P&D.
Alcance e limites da divisão de trabalho por processo. In: Encontro da Associação
Nacional de Pós-Graduação e Pesquisa em Administração, 2002, Salvador: Anais...
Salvador: ANPAD, 2002.
MENEZES, H. N. Avaliação do nível de maturidade da governança de tecnologia da informação: estudo de caso em indústrias de grande porte.
Fortaleza: UNIFOR, Dissertação de Mestrado, 2005.
NAKAMURA, E.T.; GEUS, P. L. Segurança de redes em ambientes cooperativos.
São Paulo: Berkeley Brasil, 2002.
121
NAVARRO, L. Information security risks and managed security services. Information Security Technical Report. XX, v. 6, n. 3, p. 28-26, 2001.
O´BRIEN, J. A. Sistemas de informação e as decisões gerenciais na era da internet. São Paulo: Saraiva, 2006.
OGC. Itil Service Support Book – Versão 2.1 (2000).
____. Itil Aplication Management Book – Versão 1.0 (2002).
____. Best Practice for Security Management. ITIL. London: TSO, 2004.
____. Managing successful projects with PRINCE2. London, The Stationary Office,
2005.
____. Office of Government Commerce. Página oficial disponível em:
<http://www.ogc.gov.uk/>. Acesso em: 25 de maio de 2008.
OLIVA, R. e OLIVEIRA, M. Elaboração, Implantação e Manutenção de Política de
Segurança por Empresas no Rio Grande do Sul em relação às recomendações da
NBR/ISO177991. In: XXVII Encontro Nacional da Associação Nacional de Pós-
Graduação e Pesquisa em Administração, São Paulo. Anais... ENANPAD, 2003.
PANDE, P. S.; NEUMAN, R. P.; CAVANAGH, R. R. Estratégia seis sigma. Rio de
Janeiro: Qualitymark, 2001.
PINSONNEAULT, A.; KRAEMER, K. L. Survey research in management information
systems: an assessment. Journal of Management Information System, 1993.
PMI. A guide to the Project Management Body of Knowledge, Newton Square, 3ª
Ed. 2004.
PORTER, M. E. Competitive strategy, New York: Free Press, 1980.
PORTER, M. E. Vantagem competitiva. Ed. Campus. 1990.
PORTER, M. E., MILLAR, V. E. How information gives you competitive advantage.
Harvard Business Review, v. 63, n° 4, Jul/Aug, 1985.
122
PRAHALAD, C. K., HAMEL, G. The core competence in the corporation, Harvard Business Review, p. 79-91, Mai-Jun, 1990.
PRAHALAD, C. K. Os desafios do novo milênio. Exame, n. 12, p. 126-132, jun. 2000.
PRAHALAD, C. K., KRISHNAN M. S. The dynamic synchronization of strategy and
information technology. Sloan Management Review, v. 43, n. 4, p. 24–33, 2002.
RAMOS, M. How to comply with Sarbanes-Oxley Section 404: assessing the
effectiveness of internal Control. New Jersey, John Wiley and Sons, 2004.
REICH, B. H. Investigating the linkage between business objectives and information technology objectives: a multiple case study in the insurance industry.
Tese de Doutorado, University of British Columbia, USA, 1992.
REICH, B. H.; BENBASAT, I. Measuring the linkage between business and
information technology objectives. MIS Quarterly, v. 20, n. 1, p. 5-81, Mar. 1996.
REZENDE, D. A. Sistemas de informações organizacionais: guia prático para
projetos. São Paulo: Atlas, 2007.
ROCHA. Acusação de roubo de base de dados agita web brasileira. Portal Módulo,
2002. Disponível em: <http://www.modulo.com.br >. Acesso em: 20 mai. 2008.
RODRIGUEZ, M. V. A tecnologia de informação e mudança organizacional. Rio
de Janeiro: Infobook, 1995.
SABHERWAL, R.; CHAN, Y. E. Alignment between business and IS strategies: a
study of prospectors, analyzers and defenders. Information Systems Research,
Linthicum, v. 12, n. 1, p. 1-33, março de 2001.
SARBANES-OXLEY ACT OF 2002. United States Congress. Disponível em:
<http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf>. Acesso
em: 25 de maio de 2008.
SELLTIZ, C. Métodos de pesquisa nas relações sociais. São Paulo: Herder, 1965.
123
SILVEIRA, A. M. Governança corporativa: desempenho e valor da empresa no
Brasil. São Paulo: Saint Paul Editora, 2005.
SIMSEK, Z. Sample surveys via electronic mail: a comprehensive perspective.
Revista de Administração de Empresas. V.39. n. 1. Jan/Mar, 1999.
STEINBERG, H. A dimensão humana da governança corporativa: pessoas criam
as melhores e piores práticas. São Paulo: Editora Gente, 2003.
TAPSCOTT, D.; TICOLL, D. A empresa transparente: como a era da transparência
revolucionará os negócios. São Paulo: M. Books do Brasil, 2005.
TAYLOR, H. Does Internet research work? Journal of the Market Research Society. Londres: Winter, 1999/2000.
TEO, T. S. H.; KING, W. R. Assessing the impact of integrating business planning
and IS planning. Information & Management, v. 30, n. 6, p. 309-321, 1996.
TILLMAN, B.; FARES, A. Who´s afraid of Sarbanes-Oxley? Information Management Journal, Prairie Village, v.36, n. 6, p.16-21, dezembro de 2002.
VANNI, R. M. P. Governança de TI na Universidade de São Paulo. São Paulo:
USP, 2005.
VIVES, Z. Corporate governance: does it matter? Cambridge Universiry Press,
2000.
WALTON, R. E. Tecnologia de informação: o uso de tecnologia de informação
pelas organizações que obtêm vantagem competitiva. São Paulo: Atlas, 1994.
WARD, J. M. Integrating Information Systems into Business Strategies. Long Range Planning, 20(3) , pp.19-29, 1987.
WEILL, P.; ROSS, J. W. IT governance: how top performers manage IT decision
rights for superior results. Boston: Harvard Business School Press, 2004.
WEILL, P.; ROSS, J. W. Governança de TI, tecnologia da informação. São Paulo:
M. Books do Brasil, 2006.
124
WILLCOCKS, L. P.; LESTER, S. In search of information technology productivity:
assessment issues. Journal of the Operational Research Society, v. 48, n. 11, p.
1082-1094, 1997.
WILLIAMS, P. Information security governance. Information Security Technical Report, v. 6, n. 3, p. 60-70, 2001.
XIMENES, R. A. A. e ARAÚJO, T. V. B. Internal validity in cross-sectional studies:
comments based on an investigation on the association between socioeconomic
factors and schistosomiasis. Cad. Saúde Públ., Rio de Janeiro, 11 (1): 118-127,
Jan/Mar, 1995.
YAPP, P. Who’s bugging you? How are you protection your information?
Information Security Technical Report, v. 5, n. 2, p. 23-33, 2000.
ZISBLAT, J. O impacto das práticas Itil na flexibilidade organizacional – evidências empíricas em uma empresa multinacional de TI. Rio de Janeiro: FGV,
Dissertação de Mestrado, 2008.
125
APÊNDICE 1 - QUESTIONÁRIO DE PESQUISA
126
Livros Grátis( http://www.livrosgratis.com.br )
Milhares de Livros para Download: Baixar livros de AdministraçãoBaixar livros de AgronomiaBaixar livros de ArquiteturaBaixar livros de ArtesBaixar livros de AstronomiaBaixar livros de Biologia GeralBaixar livros de Ciência da ComputaçãoBaixar livros de Ciência da InformaçãoBaixar livros de Ciência PolíticaBaixar livros de Ciências da SaúdeBaixar livros de ComunicaçãoBaixar livros do Conselho Nacional de Educação - CNEBaixar livros de Defesa civilBaixar livros de DireitoBaixar livros de Direitos humanosBaixar livros de EconomiaBaixar livros de Economia DomésticaBaixar livros de EducaçãoBaixar livros de Educação - TrânsitoBaixar livros de Educação FísicaBaixar livros de Engenharia AeroespacialBaixar livros de FarmáciaBaixar livros de FilosofiaBaixar livros de FísicaBaixar livros de GeociênciasBaixar livros de GeografiaBaixar livros de HistóriaBaixar livros de Línguas
Baixar livros de LiteraturaBaixar livros de Literatura de CordelBaixar livros de Literatura InfantilBaixar livros de MatemáticaBaixar livros de MedicinaBaixar livros de Medicina VeterináriaBaixar livros de Meio AmbienteBaixar livros de MeteorologiaBaixar Monografias e TCCBaixar livros MultidisciplinarBaixar livros de MúsicaBaixar livros de PsicologiaBaixar livros de QuímicaBaixar livros de Saúde ColetivaBaixar livros de Serviço SocialBaixar livros de SociologiaBaixar livros de TeologiaBaixar livros de TrabalhoBaixar livros de Turismo