monografia adauto2008
DESCRIPTION
"Não acredito em auto-auditoria. Isso é coisa de Comunista." Foi o que me disse o general, novo coordenador do curso, ao conceder-me o autógrafo de aprovação. Respondi-lhe que o Apóstolo Paulo, bem antes do advento do comunismo, já havia escrito em I Corintios 11:31, o seguinte: "Porque, se nós nos julgássemos a nós mesmos, não seríamos julgados."TRANSCRIPT
Adauto da Costa Santos
A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE CONTROLE INTERNO:
O CASO CORREIOS.
Brasília
2008
SANTOS , A.C. A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ
DE CONTROLE INTERNO: O CASO CORREIOS.
i
Adauto da Costa Santos
A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE CONTROLE INTERNO: O CASO CORREIOS
Trabalho de final de curso apresentado à Coordenadoria de Pós-Graduação do Instituto de Cooperação e Assistência Técnica, da Associação de Ensino Unificado do Distrito Federal, para obtenção do grau de Especialista. Área de concentração: Auditoria Interna e Externa Orientador Prof. Alfram Rodrigues Albuquerque Coordenador Prof. Luciano Phaelante Casales Brasília
2008
ii
SANTOS, Adauto da Costa. A auto-auditoria integrada como ferramenta eficaz de controle interno: O caso Correios / Adauto da Costa Santos.
Brasília: 2008. 150 f.; 30 cm.
Orientação: Alfram Rodrigues Albuquerque. Trabalho de conclusão de curso apresentado à Coordenadoria de Pós-Graduação do Instituto de Cooperação e Assistência Técnica, da Associação de Ensino Unificado do Distrito Federal, para obtenção do grau de Especialista. ICAT / UniDF Brasília, DF. 2008.
Inclui anexos e bibliografia.
1. Auditoria Interna e Externa 2. Tecnologia da Informação 3. Governança Corporativa. 4. Auto-auditoria. 5. Processo. 6. Conformidade. 7. Correios do Brasil. I. Título.
iii
Adauto da Costa Santos
A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE CONTROLE
INTERNO: O CASO CORREIOS.
TERMO DE APROVAÇÃO
Trabalho de final de curso considerado adequado para obtenção do grau de Especialista Docente, apresentado à Coordenadoria de Pós-Graduação do Instituto de Cooperação e Assistência Técnica, da Associação de Ensino Unificado do Distrito Federal. Área de concentração: Auditoria Interna e Externa
____________________________________________
Prof. Alfram Rodrigues Albuquerque (Orientador)
____________________________________________
Prof. Luciano Phaelante Casales (Coordenador)
____________________________________________
Profª Elizabeth Danziato Rego
____________________________________________
Prof. Geraldo Magela Lopes de Freitas
Brasília
2008
iv
Agradecimentos
Ao Deus Criador, ao seu filho Jesus Cristo: o Senhor, e ao Espírito Santo:
Consolador; Trindade que, em perfeita simbiose, preserva-me com saúde,
disposição e inteligência, dons estes aplicados na aquisição de, mais que mero
conhecimento, sabedoria para conviver bem e servir cada vez melhor.
A minha família, cuja renúncia e compreensão permitiram-me a tranqüilidade
necessária a mais esta realização. Homenageio especialmente a minha mãe Ruth
da Costa Santos, conduzida ao Paraíso a dois dias de completar 73 anos de total
dedicação à família e à prática da fé e dos valores cristãos que me legou.
À Empresa Brasileira de Correios e Telégrafos (ECT), na pessoa do seu Auditor-
Chefe, Prof. Silas Roberto de Souza, cujo patrocínio tornou possível esta
capacitação.
Aos Professores Alfram Rodrigues Albuquerque, Elizabeth Danziato Rego e Geraldo
Magela Lopes de Freitas, cuja disponibilidade e competente orientação apuraram,
além deste trabalho acadêmico, a própria percepção deste estudante quanto à
relevância do objeto em estudo e suas implicações acadêmicas e profissionais.
Aos demais mestres, colegas e pessoal de apoio do ICAT/UniDF, cuja convivência
por cerca de um ano e meio proporcionou-me oportunidades preciosas de
crescimento pessoal.
v
ABSTRACT
It deals with self-assessment1 as being the primary tool to evaluate the managers’
achievement of their first commitment, which is to implement controls over
organizational processes, by using Information Technology resources in an
integrated and convergent approach, to assure the effectiveness on reaching the
strategic objectives of the Institution. Those resources, if selectively incorporated to
the organizational environment, can give automatic feedbacks with relevant risk
assessment inputs to those managers in general and, particularly, to Internal Auditors
at the Institution, due to build up the risk matrix, which is the main feature of the
auditing planning process. The problem to solve is to know if there are alternatives
available for the self-assessment process automatization to shorten the gap between
non-compliance audit findings, its consequences and the timely required actions
(preventive or corrective) to mitigate the hazards and losses suffered by the
organization. The objective is to characterize IT solutions which fulfill timely
achievement of consistent results of on-site self-assessment, giving greater
assurance to IT auditing and corporative governance at Brazilian Post Office (ECT).
The adopted methodology starts with descriptive bibliographic quotations, evolves to
field work supported by semi-structured interviews and questionnaires applied to key
managers of IT and Internal Auditing areas of ECT, as well as related data collected
on specialized bibliography like: technical magazines, folders, prospects,
presentations, courses and events concerned to the subject.
Descriptors: Internal and External Auditing. Information Technology. Corporative
Governance. Self-assessment. Process. Compliance. Brazilian Post.
1 Self-assessment noun [C or U] a judgment, sometimes for official purposes, which you make about your abilities, principles or decisions. Assess verb [T] to judge or decide the amount, value, quality or importance of something: (from Cambridge Advanced Learner's Dictionary).
vi
RESUMO
Aborda-se a auto-auditoria como um instrumento de avaliação do compromisso
prioritário dos gestores: implantar controles sobre os processos organizacionais, por
meio da utilização dos recursos tecnológicos de modo integrado e convergente, com
vistas a assegurar a consecução dos objetivos estratégicos da instituição. Tais
recursos, se seletivamente incorporados ao ambiente organizacional, podem ofertar
retornos automáticos com informações de risco aos próprios gestores em geral e,
em particular, aos auditores internos da instituição, subsidiando a elaboração da
matriz de risco, que é o principal elemento do processo de planejamento de
auditoria. O problema a resolver é saber se há alternativas de automatização do
processo de auto-auditoria2 que diminuam o fosso existente entre a ocorrência do
fato em desconformidade, a constatação de suas conseqüências e a adoção
tempestiva de providências, preventivas ou corretivas, que minimizem os danos e
prejuízos suportados pela organização. O objetivo é caracterizar soluções de
Tecnologia da Informação que viabilizem a obtenção tempestiva de resultados
consistentes das auto-auditorias setoriais, conferindo maior efetividade às auditorias
de TI e à Governança Corporativa na ECT. A metodologia adotada parte da
pesquisa bibliográfica descritiva e contempla levantamentos de campo por meio de
entrevistas semi-estruturadas, suportadas por questionários dirigidos aos gestores-
chave das áreas de TI e de Auditoria Interna da ECT, bem como informações
colhidas em bibliografia especializada tais como: revistas técnicas, apostilas, folders,
prospectos, palestras, cursos e eventos relacionados ao tema.
Palavras-chave: Auditoria Interna e Externa. Tecnologia da Informação. Governança
Corporativa. Auto-auditoria. Processo. Conformidade. Correios do Brasil.
2 Auto-auditoria é um julgamento, algumas vezes para propósitos oficiais, que você faz acerca de suas próprias habilidades, princípios ou decisões (Tradução livre do Dicionário Cambridge do Aprendiz Avançado).
vii
Na Auditoria conhecemos a empresa ‘como realmente é, não como nos dizem que é’ (informação verbal). 3
A palavra Imagem é hoje conhecida de todos nós, mas o significado se perdeu de tal forma que agora significa praticamente o oposto do significado original, ‘semelhança’. Hoje, um político contrata um consultor de imagem, um candidato a emprego se veste para ter uma boa imagem, uma empresa procura a imagem certa. Em todos esses casos, o termo ‘imagem’ significa a ilusão de algo que aparenta ser, em lugar da essência do que realmente é. (BRAND, 2003).
3 Citação do Prof. Silas Roberto de Souza, Auditor-Chefe da ECT, durante aula no ICAT/UniDF, parafraseando MARX, Karl; ENGELS, Friedrich. A Ideologia Alemã. São Paulo: Martin Claret, 2006.
viii
Sumário
1. INTRODUÇÃO................................................................................................................ 1
1.1. OBJETIVO GERAL ............................................................................................................. 7
1.2. OBJETIVOS ESPECÍFICOS .................................................................................................. 8
1.3. PROBLEMA....................................................................................................................... 8
1.4. HIPÓTESE......................................................................................................................... 8
1.5. METODOLOGIA ................................................................................................................. 9
1.5.1. RESULTADOS ESPERADOS ..................................................................................................... 9
2. FUNDAMENTAÇÃO TEÓRICA .................................................................................... 11
2.1 CONCEITOS BÁSICOS....................................................................................................... 11
2.1.1 CATEGORIAS:......................................................................................................................... 12
2.1.2 ONTOLOGIAS ......................................................................................................................... 12
2.1.3 ORIENTAÇÃO AO OBJETO – UMA APLICAÇÃO DAS CATEGORIAS ........................................... 14
2.1.4 ANÁLISE DE DADOS ............................................................................................................... 15
2.1.5 GOVERNANÇA CORPORATIVA................................................................................................ 17
2.1.6 AUDITORIA E AUTO-AUDITORIA.............................................................................................. 20
2.1.7 GOVERNANÇA DE TI .............................................................................................................. 26
2.1.8 BALANCED SCORECARD (BSC®) ......................................................................................... 28
2.1.9 A MÉTRICA E OS SISTEMAS DE MENSURAÇÃO ...................................................................... 32
2.1.10 OUTROS CONCEITOS (ITIM, ITSM, ITIL®, PRINCE, MSP, M_O_R)................................. 34
2.2 CONTEXTO HISTÓRICO E EVOLUÇÃO PROGRESSIVA DA GOVERNANÇA ............................... 49
2.2.1 EVOLUÇÃO DA FUNÇÃO DE TI DENTRO DAS ORGANIZAÇÕES................................................. 52
2.3 OS PADRÕES NACIONAIS E INTERNACIONAIS DE CONFORMIDADE EM TI ............................. 56
2.3.1 OS PADRÕES PARA DESENVOLVIMENTO DE SOFTWARE ........................................................ 57
2.3.2 LEI SARBANNES-OXLEY......................................................................................................... 58
2.3.3 O PADRÃO FINANCEIRO - BASILÉIA ..................................................................................... 59
2.3.4 O PADRÃO DE AVALIAÇÃO DOS CONTROLES INTERNOS ....................................................... 61
2.3.5 O PADRÃO PARA GOVERNANÇA DE TI .................................................................................... 64
2.3.6 OS PADRÔES DE SEGURANÇA DA INFORMAÇÃO.................................................................... 70
2.3.7 PADRÃO DE MATURIDADE ORGANIZACIONAL EM GERENCIAMENTO DE PROJETOS (OPM3) 75
ix
2.3.8 O PADRÃO PARA GERENCIAMENTO DE RISCOS (ERM).......................................................... 77
2.3.9 O PADRÃO PARA GESTÃO DO CONHECIMENTO (GED E WORKFLOW) .................................. 78
3. CONTEXTO ATUAL ..................................................................................................... 81
3.1 TENDÊNCIAS TECNOLÓGICAS ........................................................................................... 81
3.1.1 VIRTUALIZAÇÃO ..................................................................................................................... 82
3.1.2 CONVERGÊNCIA..................................................................................................................... 82
3.1.3 OFFSHORE DE TI ................................................................................................................... 82
3.1.4 INFORMAÇÃO INTELIGENTE.................................................................................................... 82
3.1.5 SERVIÇOS GERENCIADOS ..................................................................................................... 83
3.2 INTEGRAÇÃO DE FRAMEWORKS........................................................................................ 84
3.3 O CASO ECT................................................................................................................... 90
3.3.1 ESTRUTURA ORGANIZACIONAL.............................................................................................. 91
3.3.2 GOVERNANÇA DE TI NA ECT................................................................................................. 95
3.3.3 AUTO-AUDITORIA NA ECT ..................................................................................................... 99
3.3.4 GESTÃO DE PROCESSOS NA ECT .......................................................................................102
4. POSSIBILIDADES...................................................................................................... 111
4.1 AUDITORIA REMOTA ...................................................................................................... 111
4.2 APROVEITAMENTO DE SOLUÇÕES TECNOLÓGICAS........................................................... 112
4.3 IMPLANTAÇÃO DO FRAMEWORK ERM ............................................................................ 113
4.4 APROVEITAMENTO DA CAMADA DE INTEGRAÇÃO NA AUTOMATIZAÇÃO DOS PROCESSOS DE
AUDITORIA INTERNA....................................................................................................... 113
4.5 ALINHAMENTO AO PROGRAMA NACIONAL DE GESTÃO PÚBLICA E DESBUROCRATIZAÇÃO
(GESPÚBLICA)........................................................................................................... 114
5. CONCLUSÃO............................................................................................................. 116
6. REFERÊNCIAS .......................................................................................................... 119
7. ANEXOS..................................................................................................................... 126
ANEXO A - ENTREVISTA SISTEMATIZADA - AUDIT............................................................... 127
ANEXO B - ENTREVISTA SISTEMATIZADA - TI ...................................................................... 133
x
Lista de Siglas
ASL - Application Services Library.
BI - Business Intelligence.
BPMNS – Business Process Management Network System.
BSC – Balanced ScoreCard.
ECT – Empresa Brasileira de Correios e Telégrafos.
CIO – Chief Information Officer.
CITEX - Centro de Informática do Exército.
COBIT - Control Objectives for Information and related Technology.
COSO - Comitê das Organizações Patrocinadoras da Comissão Treadway.
CMM – Capability Maturity Model.
CMMI – Capability Maturity Model on Information.
CRM – Costumer Relationship Management.
DCT - Departamento de Correios e Telégrafos.
DIS – Decision Information System.
DSDM - Dynamic Systems Development Method.
DW – Data Warehouse.
ERM – Enterprise Risk Management.
ERP – Enterprise Resource Planning.
GESPÚBLICA - Programa Nacional de Gestão Pública e Desburocratização
H/H – Hora-Homem.
IIA – Institute of Internal Auditors.
xi
IDC – Instituto de Defesa do Consumidor
IP – Internet Protocol.
ISACA - Information Systems Audit and Control Association
ISPL - Information Services Procurement Library.
ITGI – Information Technology Governance Institute.
MIS – Management Information System.
ONU – Organização das Nações Unidas.
OPM3 - Organizational Project Management Maturity Model.
PAAAI - Plano de Atividades de Auditoria Interna.
PI - Propriedade Intelectual.
PMI – Project Management Institute
PMMM – Project Management Maturity Model
PMO – Project Management Office.
ROI – Return over Inversion.
SI - Segurança da Informação.
Sintegra - Sistema Integrado de Informações Fiscais sobre Operações Interestaduais
com Mercadorias e Serviços.
SPB - Sistema de Pagamentos Brasileiro.
SRF/MF – Secretaria da Receita Federal do Ministério da Fazenda.
SOA – Service Oriented Architecture.
SOX – Sarbanes-Oxley.
TI – Tecnologia da Informação.
VoIP – Voice over Internet Protocol.
xii
Lista de TABELAS
TABELA 1: PRINCIPAIS BENEFÍCIOS (TCU, 2007)
TABELA 2: AUDITORIA: ABORDAGEM TRADICIONAL VERSUS PROGRESSIVA
TABELA 3: REFERÊNCIAS INTERNACIONAIS E PRINCIPAIS CARACTERÍSTICAS ASSOCIADAS
TABELA 4: FOCO ESTRATÉGICO E ESTRUTURA ORGANIZACIONAL
TABELA 5: MATRIZ GUT
xiii
Lista de FIGURAS
FIGURA 1: CLASSE, OBJETOS E ATRIBUTOS (PIMENTEL, 2007)
FIGURA 2: FISCALIZAÇÕES CONCLUÍDAS POR INICIATIVA (TCU, 2007)
FIGURA 3: HISTÓRICO DOS MONTANTES DAS COBRANÇAS EXECUTIVAS ENCAMINHADAS AOS
ÓRGÃOS EXECUTORES (TCU, 2007).
FIGURA 4: DIAGRAMA BALANCED SCORECARD (KAPLAN, 2007)
FIGURA 5: DIAGRAMA ITIL (OGC, 2007)
FIGURA 6: RELACIONAMENTOS ENTRE ISO/IEC 12207, ISO/IEC 15504, CMMI E MPS.BR
(ALVES, 2007)
FIGURA 7: RELACIONAMENTOS ENTRE INFORMAÇÃO E ATORES INTERESSADOS
FIGURA 8: O CUBO COBIT
FIGURA 9: PROCESSO GERAL DE AUDITORIA
FIGURA 10: INTEGRAÇÃO DOS FRAMEWORKS
FIGURA 11: TI COMO HABILITADOR DO NEGÓCIO
FIGURA 12: ARQUITETURA DE EXCELÊNCIA DOS PROCESSOS DO NEGÓCIO
FIGURA 13: CONTEXTO DA GOVERNANÇA DE TI NA ECT (SOUZA N., 2007)
FIGURA 14: ESTRUTURA DE TI NA ECT
FIGURA 15: CONTEXTO DA GOVERNANÇA DE TI NA ECT
FIGURA 16: MAPEAMENTO BSC CORPORATIVO-COBIT-BSC DA TI
FIGURA 17: PROCESSO
FIGURA 18: MODELO (SISTEMOGRAFIA) DE IMPLANTAÇÃO DE PROCESSO NA ECT
FIGURA 19: PROCESSO DE IMPLANTAÇÃO DA GESTÃO DE PROCESSOS NA ECT
1
1. INTRODUÇÃO
É de domínio público que os brasileiros, historicamente, estão vulneráveis aos
desvios éticos e à impunidade de prepostos políticos em todos os níveis, sem que os
cidadãos e as instituições disponham de instrumentos que viabilizem um Controle
Social efetivo.
Embora o Estado já disponha de uma infra-estrutura tecnológica de vanguarda, cujo
potencial pode favorecer a transparência na gestão dos recursos auferidos da
sociedade, a inclusão digital ainda é um recurso disponível apenas a uma parcela
ínfima da sociedade brasileira, de acordo com estimativa do IBOPE (Instituto
Brasileiro de Opinião Pública e Estatística)/NetRatings (IBOPE, 2004).
O número de internautas brasileiros cresceu significativamente nos últimos anos – de 14,3 milhões para 20,5 milhões de usuários domiciliares potenciais (pessoas que moram em domicílios que possuem pelo menos um computador com acesso à Internet)4. Apesar disso, sua densidade ainda é baixa em comparação aos países mais avançados, mesmo sendo similar à dos países vizinhos (Apud TCU, 2006).
Neste contexto, várias iniciativas de governança eletrônica vêm sendo
implementadas desde o final da década de 1980, nas esferas Federal, Estadual e
Municipal, apresentando resultados plenamente favoráveis para o lado da
administração das origens e fontes de recursos, tais como:
� Sistema de Pagamentos Brasileiro (SPB);
� Programa de Reestruturação Fiscal da Secretaria da Receita Federal do Ministério da Fazenda;
� Sistema Integrado de Informações Fiscais sobre Operações Interestaduais com Mercadorias e Serviços (Sintegra);
Além do desenvolvimento de aplicativos afins, peculiares às prefeituras municipais e
distritais, há também o advento do Governo Eletrônico (e-Gov), cujos pontos
4 Essa estimativa é feita com base em ‘um conjunto de indicadores, incluindo levantamentos telefônicos trimestrais sobre o uso da Internet no Brasil, assim como outras pesquisas do Grupo IBOPE e dados governamentais, combinando a penetração de linhas telefônicas nos domicílios, posse de computadores, número médio de usuários por computadores e número médio de residentes em casas com linhas telefônicas fixas’ (IBOPE, 2004 Apud TCU, 2006).
2
positivos revelaram-se um importante instrumento no processo de modernização do
Estado.
De acordo com o Terceiro Fórum Global em Reinvenção do Governo [ONU/ASPA (2001)], ocorrido em 2001, há um consenso quanto ao potencial do governo eletrônico no sentido de melhorar a qualidade de vida dos cidadãos (com uma redução de custos e tempo despendidos), fortalecer a capacidade institucional (com a melhora na oferta de serviços, a redução da corrupção através de maior transparência e controle social) e desempenhar o papel de disseminador das novas tecnologias entre a sociedade civil e a empresarial (COELHO, 2001).
No entanto, a conscientização e o aparelhamento do cidadão para o controle efetivo
dos usos e abusos financeiros e orçamentários, por via de instituições públicas ou de
organizações não governamentais, ainda é um dos desafios para a promoção e a
democratização da justiça social no Brasil.
Conquanto as questões da problemática nacional já ocupem as mentes de
estudiosos e os espaços midiáticos do cotidiano, os desafios propostos por um
horizonte global de incertezas multiplicam-se no contexto prático carente de
instrumentos efetivos de controle, especialmente na esfera da Administração
Pública.
[...] No plano administrativo, que é quase sempre esquecido quando se discute a corrupção, em grande parte das instituições falta quase tudo, de carreiras estáveis a gente qualificada e a sistemas gerenciais minimamente organizados. Quando se desce do plano federal aos planos estadual e municipal, o que mais se encontra são desertos em que nada floresce e a incompetência domina, juntamente com sua aliada mais natural, a picaretagem. O que os escândalos mostram é que o Estado brasileiro carece urgentemente de reforma, tanto institucional quanto gerencial. Quais serão as chances de isto acontecer? Infelizmente, não parecem muito grandes. Não falta quem afirme que tudo se resolverá com uma reforma política. Essa é conversa fiada [...] (ABRAMO, 2007).
Em face do recrudescimento de necessidades complexas e plurais, há limitação de
recursos que permitam real incremento de produtividade e satisfação profissional, o
que requer o uso otimizado do potencial das ferramentas disponíveis.
No contexto da atividade de auditoria, salvo melhor juízo, a análise dos riscos das
organizações ainda é feita muito a posteriori, por meio de relatórios de auditoria cuja
palavra-chave, invariavelmente, é: constatou-se.
3
Decorrido um longo tempo da constatação de ocorrências de desconformidade ou
desvios de finalidade, apontam-se fatos já consumados com pouca ou nenhuma
possibilidade de reversão de seus efeitos daninhos sobre a continuidade dos
negócios.
Neste contexto é que, referindo-se aos eventos desencadeados pelas denúncias
envolvendo agentes públicos que resultaram na instalação da CPI dos Correios, o
autor do artigo “Falta ética ou auditoria?” (SILVA, 2005) afirma que a função da
auditoria não se restringe à aferição de normas contábeis.
Segundo SILVA (2005), o conceito de auditoria envolve o acompanhamento da
administração empresarial como um todo, por meio da verificação dos fatos e seu
relato posterior a quem solicita o trabalho, do proprietário ou conselheiro da
empresa, bem como do gestor público.
Instrumentos de auditoria estão disponíveis para análise e correção, tais como
revisão analítica, análise de demonstrações financeiras, de “business plan”, de
saldos e repasses, tanto em instituições públicas quanto religiosas, com vistas a
proporcionar segurança e transparência aos interessados (stakeholders, ou seja:
empresário, clientes, investidores, instituições públicas e sociedade).
No entanto, há carência de material humano qualificado no Brasil, haja vista a
desproporção, por exemplo, entre os 12.800 auditores brasileiros (1/14.720
habitantes) e os auditores holandeses (1/1.000 habitantes) (SILVA, 2005).
A falta de fiscalização eficaz acaba por estimular o agravamento do quadro
econômico e ético da sociedade brasileira, manipulado por oportunistas públicos e
privados. Qualquer instituição que movimente recursos expressivos deveria ser alvo
de uma auditoria.
A falta de uma cultura de auditoria preventiva e recorrente favorece ações pontuais
associadas ao apontamento de problemas a posteriori, ou seja, quando já não há
como evitar o prejuízo.
É hora de aproveitar a oportunidade e utilizar os mecanismos disponíveis que
garantam o conhecimento da realidade para agir sobre ela, abandonando posturas
4
laissez-faire e atuando proativamente na validação dos acertos e na correção dos
erros, bem como na incorporação das melhores práticas regulatórias, como aquelas
adotadas pela França, cuja legislação obriga a análise de balanço por duas
empresas de auditoria independentes (SILVA, 2005).
Trata-se de uma abordagem realista de quem não apenas registra, desconfiado, os
atos e os fatos ocorridos, mas assume uma postura de transformação da realidade
fática, pela incorporação do aprendizado contínuo à cultura empresarial e social.
Já para KANITZ (1999), no caso brasileiro, a corrupção é histórica e tem aval na
definição estrutural das prioridades, por exemplo, as educacionais.
Durante os anos da ditadura, quando a liberdade de imprensa e a auditoria não eram prioridade, as verbas da educação foram redirecionadas para outros cursos. Como conseqüência, aqui temos doze economistas formados para cada auditor, enquanto nos Estados Unidos existem doze auditores para cada economista formado. Para eliminar a corrupção teremos de redirecionar rapidamente as verbas de volta ao seu devido destino, para que sejamos uma nação que não precise depender de dedos-duros ou genros que ‘botam a boca no trombone’, e sim de profissionais competentes com uma ética profissional elaborada.
Países avançados colocam seus auditores num pedestal de respeitabilidade e de reconhecimento público que garante a sua honestidade. Na Inglaterra, instituíram o Chartered Accountant. Nos Estados Unidos, eles têm o Certified Public Accountant. Uma mãe inglesa ou americana sonha com um filho médico, advogado ou contador público. No Brasil, o contador público foi substituído pelo engenheiro.
Bons salários e valorização social são os requisitos básicos para todo sistema funcionar, mas no Brasil estamos pagando e falando mal de nossos fiscais e auditores e nem ao menos treinamos nossos futuros auditores. Nos últimos nove anos, os salários dos nossos auditores públicos e fiscais têm sido congelados e seus quadros reduzidos - uma das razões do crescimento da corrupção. Como o custo da auditoria é muito grande para ser pago pelo cidadão individualmente, essa é uma das poucas funções próprias do Estado moderno. Tanto a auditoria, como a fiscalização, indo dos alimentos à segurança de aviões até os direitos do consumidor e aos direitos autorais.
O capitalismo remunera quem trabalha e ganha, mas não consegue remunerar quem impede o outro de ganhar roubando. Há quem diga que não é o papel do Estado produzir petróleo, mas ninguém discute que é sua função fiscalizar e punir quem mistura água ao álcool. Não serão intervenções cirúrgicas (leia-se CPI), nem remédios potentes (leia-se códigos de ética), que irão resolver o problema da corrupção no Brasil. Precisamos da vigilância de um poderoso sistema imunológico combatendo a infecção no nascedouro, como acontece
5
nos países considerados honestos e auditados. Portanto o Brasil não é um país corrupto. É apenas um país pouco auditado (KANITZ, 1999)
Para superação deste legado fatídico, além da formação de Auditores, a tecnologia
deve ser agregada ao gerenciamento dos processos, pois tende a favorecer a
ampliação do escopo a ser avaliado, com utilização ótima dos recursos disponíveis,
potencializando ações mais abrangentes e mais tempestivas.
Para viabilizar o acesso direto, e em tempo real, às informações corporativas de
interesse da Auditoria em uma empresa do porte da Empresa Brasileira de Correios
e Telégrafos (ECT), por que não aproveitar ao máximo o advento das novas
tecnologias e a crescente tendência por integrá-las?
Considerando-se as importantes limitações à efetividade dos trabalhos realizados
em todo o território nacional, quais sejam: capilaridade e dispersão geográfica de
abrangência continental e inversamente proporcional à efetividade dos sistemas de
controle interno, bem como a precária proporção entre os cerca de 40 auditores
internos e os cerca de 100 mil colaboradores, dos quais 80% atuando em nível
operacional, este parece ser um questionamento pertinente.
Tal contexto abre a possibilidade de sondagem das alternativas de diminuição da
defasagem existente entre o fato e suas conseqüências, propiciando a adoção
tempestiva de providências, preventivas ou corretivas, que minimizem os danos e
prejuízos suportados pela organização, possibilitando maior agilidade aos processos
de Controle Interno e de Tomada de Contas Especiais.
SANTOS (2007) avalia a relevância dessa questão nos seguintes termos:
O governo tem em suas mãos informações e ativos que são de importância vital por estarem diretamente ligados à vida dos cidadãos. A necessidade de gerenciar todo esse universo começa a abrir os olhos de alguns gestores para a necessidade de sistemas integrados. Esses pioneiros começam a perceber que o investimento num sistema desse porte, que pode ser bastante alto, tem retorno garantido. Não só financeiro: traz benefícios em termos de agilidade e transparência, duas características que são muito cobradas pela população e que, sem dúvida, geram votos.
Além da carência a ser suprida, a estabilidade econômica também faz com que se pense em investir em tecnologia para aprimorar os processos no setor público. ‘Todas as propostas que recebemos são de órgãos e autarquias que nunca tiveram um sistema de gestão, é
6
só projeto novo’, diz Monteiro. ‘Com a estabilidade, esses órgãos começam a direcionar verbas para atualização tecnológica’.
A mudança é bem-vinda, e chega em boa hora. Só a Totvs5 trabalha hoje em 40 projetos de sistemas integrados para órgãos públicos, número 30% maior do que o que havia há um ano. A empresa conta hoje com uma equipe de quatro pessoas dedicada exclusivamente a projetos no governo. Marcelo Monteiro vê essas mudanças na empresa como um reflexo da mudança de mentalidade do setor público. Ao longo dos próximos três ou quatro anos, estima o executivo, a estabilidade e as pressões por controles mais eficazes e maior transparência levarão o mercado cada vez mais para esse caminho. Esperamos que assim seja. (SANTOS, 2007).
Busca-se, neste trabalho, caracterizar a viabilidade da agregação convergente dos
fatores tecnológicos disponíveis ao recém institucionalizado processo de auto-
auditoria na ECT, conforme preconizado no subitem 9 do item 1 do Plano Anual de
Atividades de Auditoria Interna (PAINT 2008).
Tais fatores são, genericamente, os seguintes:
a) os padrões e sistemas integrados de gerenciamento das informações;
b) os modelos automatizados de gestão do conhecimento (comunidades virtuais de
práticas, fóruns de discussão eletrônica, teleconferência, etc.);
c) as ferramentas automatizadas de suporte aos processos decisório e de negócios.
A questão que se apresenta é: será possível aproveitar o advento das novas
tecnologias e metodologias de governança para viabilizar a implantação de soluções
automatizadas de monitoramento contínuo das auto-auditorias?
Na busca por uma resposta positiva, serão focalizados os aspectos relacionados à
análise de métodos, práticas e ferramentas automatizadas, disponíveis na ECT, que
permitam o monitoramento contínuo dos processos gerenciais em nível corporativo.
Vislumbra-se, assim, uma oportunidade de contribuição efetiva ao processo de
controle interno da ECT, diante da veloz obsolescência do conhecimento, principal
ativo da instituição e o mais vulnerável diante da ameaça constante de evasão do
capital intelectual.
5 Fornecedor de Sistema Integrado de Informações Gerenciais (ERP), líder de mercado no Brasil, conforme pesquisa da FGV reproduzida à página 57 deste trabalho.
7
Portanto, a motivação para elaboração desta monografia, mais que o cumprimento
de um requisito curricular, apresenta-se na possibilidade da agregação de
ferramentas de qualidade ao exercício do controle interno na ECT, cujo propósito é
atuar tempestivamente na mitigação dos riscos à consecução dos objetivos
organizacionais com efetividade, eficiência e eficácia (Art. 57 da Constituição
Federal/1988).
Os auditores precisam extrapolar a síndrome do perito analista de corpus delitus que
se limita a dissecar o de cujus, identificando a causa mortis, passando a uma
postura proativa de prevenção que evite a morte do paciente, no caso: a empresa.
Tal postura decorre de uma cosmovisão progressista, não fatalista, que apreende a
realidade como um processo passível de aperfeiçoamento contínuo.
[...] A filosofia pode facilitar a disciplina espiritual do estudo. O estudo em si mesmo é uma disciplina espiritual, e o simples ato de estudar pode mudar o eu. Aquele que experimenta a disciplina do estudo vive experiências que desenvolvem algumas habilidades decorrentes desse hábito: enquadrar um tema, resolver problemas, aprender a pesar a evidência e eliminar os fatores irrelevantes, aperfeiçoar a capacidade de observar as distinções importantes em vez de confundi-las, e assim por diante. A disciplina do estudo também ajuda no desenvolvimento de certas virtudes e valores, por exemplo, o desejo pela verdade, a honestidade com os dados, a abertura à crítica, a auto-reflexão e a habilidade para se relacionar não defensivamente com aqueles que são de opinião contrária (MORELAND, 2005).
Para tanto, requer-se a atualização tecnológica continuada dos instrumentos e
métodos de trabalho dos estudiosos, bem como dos gestores e colaboradores em
todos os níveis da organização.
1.1. OBJETIVO GERAL
Caracterizar soluções de Tecnologia da Informação que viabilizem a obtenção
tempestiva de resultados consistentes das auto-auditorias setoriais, conferindo maior
efetividade às auditorias de TI e à Governança Corporativa na ECT.
8
1.2. OBJETIVOS ESPECÍFICOS
a) Caracterizar as tecnologias disponíveis no âmbito corporativo da ECT,
potencialmente convergentes com a necessidade de controle efetivo sobre as
ações gerenciais, e seu alinhamento aos objetivos estratégicos da
organização;
b) Propor a inclusão ou o aproveitamento de soluções disponíveis de TI, ou de
módulos de auto-auditoria automatizada, nos Sistemas e Modelos Integrados
de Informações Gerenciais (ERP, DW, BSC, BI);
c) Propor a incorporação de melhores práticas, padrões, modelos,
funcionalidades e trilhas de auditoria que permitam a identificação de
fragilidades, vulnerabilidades e oportunidades de melhoria dos processos de
Controle Interno da ECT.
1.3. PROBLEMA
Há alternativas de automatização do processo de auto-auditoria (self-assessment)
que diminuam o fosso (gap) existente entre a ocorrência do fato em
desconformidade, a constatação de suas conseqüências e a adoção tempestiva de
providências, preventivas ou corretivas, que minimizem os danos e prejuízos
suportados pela organização?
1.4. HIPÓTESE
Há uma contumaz e extremamente prejudicial falta de integração das informações
de suporte aos processos decisório e de negócios, comprometendo a efetividade
das ações gerenciais nas empresas.
Planos, Programas e Projetos que sofrem solução de continuidade e Estudos de
Viabilidade Técnico-Econômica que não se confirmam na prática, são algumas das
constatações decorrentes da falta de uma governança corporativa eficaz.
9
Um desses projetos especiais: o pessoal de TI pretende instalar um módulo, no sistema de gestão, para calcular o retorno do investimento (ROI) de um projeto depois de alguns meses de funcionamento. Nós, CIOs, temos o hábito de medir o retorno para justificar a compra do projeto. Depois, não mais (JANSSEN, 2007).
A constatação acima, infelizmente, não se restringe aos CIOs; é generalizada em
todos os níveis de várias organizações em ambos os setores: público e privado.
1.5. METODOLOGIA
A metodologia adotada parte da pesquisa bibliográfica descritiva e contempla
levantamentos de campo por meio de entrevistas semi-estruturadas, suportadas por
questionários dirigidos aos gestores-chave das áreas de TI e de Auditoria Interna da
ECT, bem como informações colhidas em bibliografia especializada tais como:
revistas técnicas, apostilas, folders, prospectos, palestras, cursos e eventos
relacionados ao tema.
A referência a trabalhos já desenvolvidos por outros colegas, no âmbito da ECT ou
fora dela, tem a finalidade de remeter o leitor àquelas fontes, no sentido do eventual
interesse em aprofundar-se na matéria aqui estudada e demais ferramentas
pertinentes, cuja metodologia não se pretende explorar, senão na medida da
necessidade específica desta monografia.
1.5.1. RESULTADOS ESPERADOS
a) Conscientizar quanto à possibilidade de realização remota de procedimentos de
auditoria que dispensem o deslocamento físico dos auditores, minimizando
custos com tempo (H/H), passagens, hospedagem e diárias, a partir do acesso
on-line às auto-auditorias e às bases de dados corporativos;
b) Estimular o uso otimizado dos recursos tecnológicos disponíveis, fomentando a
tempestividade nas ações gerenciais e maior efetividade na governança
corporativa, de modo a identificar os riscos mais representativos ao negócio e
assegurando a atuação tempestiva com vistas à continuidade da instituição;
10
c) Propor a incorporação de modelos orientados por processos automatizados via
Intranet para integração corporativa e monitoramento contínuo das auto-
auditorias localizadas nas diversas áreas da organização.
O desenvolvimento deste trabalho, a partir do Capítulo 2 - Fundamentação Teórica,
aborda os principais Conceitos Básicos, o Contexto Histórico e a Evolução
Progressiva da Governança, os Padrões Nacionais e Internacionais de
Conformidade, as principais Tendências Tecnológicas e propõe a Integração de
Estruturas (Frameworks), de Padrões e Melhores Práticas, culminando com um
Estudo de Caso aplicável à ECT.
No Capítulo 3 – Possibilidades há alternativas de automação do processo de auto-
auditoria na ECT, tais como: Auditoria Remota, Aproveitamento de Soluções
Tecnológicas, Implantação do Framework de Gestão de Risco (ERM),
Aproveitamento da Camada de Integração na Automatização dos Processos de
Auditoria Interna. Propõe-se o Alinhamento ao Programa Nacional de Gestão
Pública e Desburocratização (Gespública).
No Capítulo 4 – Conclusão retoma-se o Objetivo e o Problema sob a luz da
discussão elaborada no escopo, avalia-se o alcance dos objetivos específicos, as
constatações e restrições encontradas, as Conclusões obtidas e os Resultados
Esperados do presente estudo, remetendo as questões deixadas em aberto aos
desdobramentos futuros, eventualmente em nível de Mestrado ou Doutorado.
11
2. FUNDAMENTAÇÃO TEÓRICA
2.1 CONCEITOS BÁSICOS
A definição conceitual dos termos, a despeito da parcialmente pertinente crítica
materialista6 ao plano das idéias, é fundamental para a compreensão crítica que
deve anteceder as ações7 humanas.
Portanto, oferecer um espaço de discussão sobre idéias ao mesmo tempo inovadoras e instigantes não se constitui um artifício de requinte intelectual para um punhado de iluminados. Denota, mais propriamente, a sintonia com a incerteza e a perplexidade em que vivemos hoje, não só no domínio do conhecimento científico, mas também no espaço do cotidiano de nossas vidas. Para Edgar Morin, o debate sobre o conhecimento ‘não poderia constituir um domínio privilegiado para pensadores privilegiados, uma competência de experts, um luxo especulativo para filósofos, mas uma tarefa histórica para cada um e para todos. A epistemologia complexa deveria instalar-se, senão nas ruas, ao menos nas mentes, mas isso exige, sem dúvida, uma revolução mental’ (ALMEIDA, 2004).
Neste sentido, não há isenção ideológica possível, pois cada sujeito está
subordinado por suas próprias pressuposições e a dialética própria com que as
expressa, como bem explica CHAUÍ (1988):
O conhecimento da realidade exige que diferenciemos o modo como é concretamente produzida. Imediato, abstrato e aparência são momentos do trabalho histórico negados pela mediação, pelo concreto e pelo ser. Isto significa que esses termos são contraditórios e reais. Sua síntese é efetuada pelo espírito. Essa síntese é o que Hegel denomina: conceito.
Esses vários aspectos do pensamento hegeliano (aqui grosseiramente resumidos) constituem a dialética, ou seja, a história como processo temporal movido internamente pelas divisões ou negações (contradição) e cujo Sujeito é o Espírito como reflexão. Essa dialética é idealista porque seu sujeito é o Espírito, e seu objeto também é o Espírito. Em última instância, portanto, a história é o movimento de posição, negação e conservação das Idéias - unidade do sujeito e do objeto da história, que é Espírito (CHAUÍ, 1988:34-42).
6 “Os filósofos se limitaram a interpretar o mundo de diferentes maneiras (...), mas o que importa é transformá-lo” (cf. a tese XI – Ad Feuerbach) (SANT’ANNA, 2006:24).
7 “Assim também a fé, se não tiver obras, é morta em si mesma”. Tiago 2:17 (ALMEIDA, J.F. 1986).
12
A Tecnologia da Informação e a Auditoria, disciplinas-chave do tema desta
monografia, vêm tomando emprestada uma infinidade de termos e conceitos
oriundos de várias áreas do conhecimento, a começar da Filosofia, dentre os quais
se destacam, para o objetivo deste trabalho, os seguintes:
2.1.1 CATEGORIAS:
É notório como o conceito de categoria, por meio da decomposição, se aplica aos
processos básicos de percepção, apreensão e classificação, recursos de que
dispomos na busca pela compreensão da complexidade para organização do próprio
conhecimento, conferindo-lhe utilidade funcional concreta, pré-requisito necessário a
qualquer ação que se pretenda efetivar.
Na história da filosofia tem havido várias opiniões sobre a natureza das categorias, ou seja, ao que corresponde um conjunto de categorias, sendo que as duas principais escolas do pensamento sobre categorias são representadas por Aristóteles e Immanuel Kant.
De acordo com Aristóteles, há dez categorias básicas da realidade: substância, quantidade, qualidade, relação, lugar, tempo, posição, estado, ação e paixão. Para Aristóteles, as dez categorias podem, por sua vez, ser entendidas tomando-se a categoria de substância como fundamental ou básica e as outras nove categorias como modos diferentes pelos quais a substância pode ser modificada ou pode ser qualificada.
O que é mais crucial na visão de Aristóteles sobre as categorias não é, no entanto, a natureza precisa ou o número das suas classificações. Antes, o que é mais importante na sua abordagem sobre as categorias é que sua proposta nos proporciona divisões reais no próprio mundo real, como existe ‘lá fora’, i.e., como ele é em si mesmo independente do pensamento ou da linguagem humana. Para ele, as categorias são as mais amplas e reais divisões do ser (MORELAND, 2005).
2.1.2 ONTOLOGIAS
Conforme CARDOSO (2007), o termo Ontologia é vastamente conhecido e aplicado
em áreas como a Filosofia e Epistemologia significando respectivamente, um ‘sujeito
da existência’ e um ‘conhecimento e saber’.
13
Recentemente esse termo passou a ser usado também na área de Inteligência
Artificial, visando descrever conceitos e relacionamentos utilizados por um agente ou
uma co-unidade destes. Do ponto de vista de Banco de Dados (BD), uma ontologia
é uma ‘especificação parcial de um domínio ou meta-domínio, descrevendo
entidades, relações entre elas e regras de integridade’.
Assim, uma ontologia pode ser vista como um modelo conceitual de dados. Um
modelo conceitual descreve, dentre outras coisas, a estrutura dos dados do Banco
de Dados num alto nível de abstração, enquanto que uma ontologia contém um
vocabulário de conceitos ou classes, estrutura de árvore, relacionamentos entre
conceitos.
Na busca por significado, o homem tem recorrido historicamente aos artifícios e
artefatos, inclusive de linguagem, que lhe permitam reduzir a complexidade a um
nível que lhe seja possível manipular.
Para compreender um pouco o uso de Ontologias, podemos utilizar um exemplo de duas lojas de vendas de automóveis que mantêm schemas próprios que descrevem as respectivas estruturas nas quais as informações de seus produtos estão armazenadas.
Para a troca de informações entre as lojas X e Y, uma ontologia poderia ser utilizada para explicitar formalmente que a propriedade chamada ‘Automóvel’ na loja X é equivalente à propriedade ‘Carro’ na loja Y. Por este motivo é possível dizer que ontologias realizam definições comuns e compartilhadas sobre domínios de conhecimento, pois a partir dela, um agente de softwares está apto a ‘entender’ que o conceito ‘Automóvel’ tem o mesmo significado que o conceito ‘carro’ na outra loja [CHANDRASEKARAN, 1999, apud CARDOSO].
Por ocasião do Fórum TIC Governo, realizado em abril de 2008 em Brasília, um
representante8 da Controladoria Geral da União (CGU) apresentou um estudo de
caso sobre o uso da Tecnologia da Informação na prevenção e combate às fraudes.
Naquele contexto foi mencionado o uso do conceito de ontologia na produção de
provas judiciais a partir da identificação e análise de padrões em milhares de
transações financeiras e complexas redes de relacionamento.
8 Informação verbal de Marcelo Stopanovski Ribeiro. Disponível em: www.itec.al.gov.br/sala-de-imprensa/noticias-nacionais/forum-apresenta-solucoes-em-t-i-para-governo Acesso em: 07/05/2008.
14
2.1.3 ORIENTAÇÃO AO OBJETO – UMA APLICAÇÃO DAS CATEGORIAS
Na cronologia do desenvolvimento de sistemas, a evolução das linguagens de
programação se deu a partir das linguagens de baixo nível (Ex.: Assembler),
passando pelas estruturadas, compiladas ou interpretadas (Ex.: Pascal, COBOL e
APL), atingindo o status atual das linguagens chamadas de alto nível, cujo alto
desempenho e maior flexibilidade permitiram a implantação da metodologia de
Orientação ao Objeto.
No paradigma procedural, o software é decomposto em uma hierarquia de procedimentos ou tarefas. No paradigma orientado a objetos, o software é decomposto em uma hierarquia de componentes que interagem entre si (normalmente objetos). (PAGLIARES, 2007)
Conceitos úteis originados para além do escopo telemático, tais como os elencados
a seguir, são hoje lugar comum no cotidiano dos Analistas de Sistemas,
freqüentemente, sem que se tenha a noção de sua origem filosófica.
Sistema:
O termo sistema vem sendo utilizado desde longa data nos vários ramos do conhecimento humano, mas passou a ser tratado de forma mais consistente a partir da ‘Teoria Geral dos Sistemas’ (1947), elaborada por Ludwig Von Bertalanffy, e a partir da obra de Norberto Wiener, ‘Cibernética e sociedade’ (1950). ‘Sistema é um pacote de energia constituinte – com uma pele limitando a faixa interna e a faixa externa – por onde se dá o intercâmbio de energia reconstituinte (...) regulado por auto, hetero e inter-feedback (...)’ (GREGORI, 1988:32 Apud SANT’ANNA, 2006:19).
No contexto específico de TI, segundo PAGLIARES (2007), os sistemas complexos
possuem as seguintes características:
• Possuem uma estrutura hierárquica;
• A escolha de quais componentes são primitivos no sistema é arbitrária;
• Um sistema pode ser dividido em relacionamentos intra e intercomponentes.
Esta separação de interesses permite o estudo de cada parte isoladamente.
• Sistemas complexos são normalmente compostos de poucos tipos de componentes em diversas combinações.
15
• Um sistema complexo de sucesso, de uma forma ou de outra, evolui de um sistema simples.
O paradigma de Orientação ao Objeto (OO) é uma aplicação evoluída a partir do
conceito de categorias, resultando em uma metodologia bem sucedida de
desenvolvimento de sistemas.
FIGURA 1: CLASSE, OBJETOS E ATRIBUTOS (PIMENTEL, 2007).
2.1.4 ANÁLISE DE DADOS
Conforme o teor da Apostila do Curso Básico em ACL – Audit Command Language,
ministrado nas dependências da Tech Supply, em São Paulo, no ano de 2005, todo
projeto de análise de dados deve seguir um ciclo regular de atividades. Isto ajuda a
assegurar que seu trabalho será minucioso, preciso e realizado com eficiência. O
ciclo de análise de dados possui cinco estágios:
• Planejamento (defina objetivos claros, desenvolva estratégias e estime
tempo e recursos necessários);
• Acesso aos dados (localizar, solicitar, transferir... );
• Verificação da integridade dos dados (correção e completude);
• Análise dos dados (testes objetivos, combinar comandos, filtros e campos
calculados);
• Apresentação de Resultados (criar relatórios multi-linhas, detalhados e
sumarizados).
16
Na opinião de ALLES9 (2006), uma coisa é, para um auditor, escolher basear os
procedimentos de auditoria em dados limitados quando estes são muito
dispendiosos de serem obtidos, e outra coisa bem distinta é continuar agindo assim
quando dados ilimitados estão prontamente disponíveis.
Esta última situação é aquela em que a profissão de auditor irá crescentemente
encontrar-se envolvida, até que procedimentos e sistemas de auditoria sejam
desenvolvidos para poder explorar a disponibilidade de dados tempestivos e
altamente desagregados.
Em outras palavras, a profissão de auditor tem que responder à questão de o que
planeja fazer com todos os dados que logo estará apta a obter facilmente, dados
que provém um nível de detalhe da ordem de magnitude três, para além dos dados
amostrais e altamente agregados que são a base da metodologia de auditoria atual;
ou, então, explicar por que os dados são jogados fora sem uso.
Certamente existem desafios em lidar com tal quantidade de dados, cuja qualidade é
variável, mas os custos que o auditor enfrenta ao processá-los deve ser pesado
contra os benefícios potenciais associados com a oportunidade generalizada do
multibilionário investimento feito em dólar pelas empresas na implantação dos
sistemas ERP, o que torna a provisão daqueles dados possível, a princípio.
É incumbência dos auditores o desenvolvimento de metodologias que explorem
aquela oportunidade de modo que possam prover seus clientes com auditorias mais
efetivas, mais eficientes e de maior qualidade.
9 Tradução Livre.
17
2.1.5 GOVERNANÇA CORPORATIVA
A WIKIPEDIA (2007) traz, para o verbete Governança Corporativa, que o conceito
consiste no “Sistema pelo qual as sociedades empresariais são dirigidas e monitoradas
pelo mercado de capitais, envolvendo os relacionamentos entre acionistas, conselho,
diretoria e auditoria.”
Descreve ainda o processo de tomada de decisão e de implantação ou não
implantação das decisões tomadas, em que as instituições públicas conduzem os
negócios públicos, administram recursos públicos e buscam assegurar a realização
dos direitos humanos.
Além disso, no caso de Tecnologia da Informação, condiz também com o
relacionamento entre a área de TI e o restante da organização, definindo as oito
principais características da ‘boa governança’ como:
• Participação;
• Estado de direito;
• Transparência;
• Responsividade;
• Orientação por consenso;
• Igualdade e inclusividade;
• Efetividade e eficiência;
• Prestação de contas (Accountability)”.
Tem-se, na mesma fonte, o seguinte detalhamento para uma melhor definição
destes termos:
Participação: que homens e mulheres devem participar igualmente das atividades
de governo. A participação deve contemplar a possibilidade de participação direta ou
participação indireta através de instituições ou representantes legítimos.
A participação implica a existência de liberdade de expressão e liberdade de
associação por um lado e uma sociedade civil organizada, de outro lado.
18
Estado de Direito: que a boa governança requer uma estrutura legal justa que se
aplica a todos os cidadãos do Estado independentemente de sua riqueza financeira,
poder político, classe social, profissão, raça e sexo.
A boa governança deve assegurar total proteção dos direitos humanos, pertençam
as pessoas a maiorias ou a minorias sociais, sexuais, religiosas ou étnicas.
A boa governança deve assegurar que o poder judiciário seja independente do
poder executivo e do poder legislativo. A boa governança deve assegurar que as
forças policiais sejam imparciais e incorruptíveis.
Transparência: que as decisões tomadas e sua fiscalização são feitas através de
regras e regulamentos conhecidos. Toda a informação governamental é livremente
disponível e diretamente acessível para aqueles que serão afetados por tais
decisões e pelos trabalhos de fiscalização.
Responsividade: que as instituições governamentais e a forma com que elas
procedem são desenhadas para servir aos membros da sociedade como um todo e
não apenas a pessoas privilegiadas. Os processos das instituições governamentais
são desenhados para responder às demandas dos cidadãos dentro de um período
de tempo razoável.
Decisões orientadas para um Consenso: que as decisões são tomadas levando-
se em conta que os diferentes grupos da sociedade necessitam mediar seus
diferentes interesses.
O objetivo da boa governança na busca de consenso nas relações sociais deve ser
a obtenção de uma concordância sobre qual é o melhor caminho para a sociedade
como um todo. Além disso, as decisões também devem ser tomadas levando em
conta a forma como tal caminho pode ser trilhado.
Essa forma de obter decisões requer uma perspectiva de longo prazo para que
ocorra um desenvolvimento humano sustentável. Essa perspectiva também é
necessária para conseguir atingir os objetivos desse desenvolvimento.
Igualdade e inclusividade: que a boa governança deve assegurar igualdade de
todos os grupos perante os objetivos da sociedade. O caminho proposto pelo
governante deve buscar promover o desenvolvimento econômico de todos os grupos
sociais.
19
As decisões devem assegurar que todos os membros da sociedade sintam que
façam parte dela e não se sintam excluídos em seu caminho para o futuro.
Esta abordagem requer que todos os grupos, especialmente os mais vulneráveis,
tenham oportunidade de manter e melhorar seu bem–estar.
Efetividade e eficiência: a boa governança deve assegurar que os processos e
instituições governamentais devem produzir resultados, os quais vão ao encontro
das necessidades da sociedade ao mesmo tempo em que fazem o melhor uso
possível dos recursos à sua disposição. Veja Lei do Ótimo de Pareto (80/20). Isso
também implica que os recursos naturais sejam usados sustentavelmente e que o
ambiente seja protegido.
Suporte à auditoria fiscalizadora: que as instituições governamentais, as
instituições do setor privado e as organizações da sociedade civil devem poder ser
fiscalizáveis pelas pessoas da sociedade e por seus apoiadores institucionais. De
forma geral, elas devem ser fiscalizáveis por todas aquelas pessoas que serão
afetadas por suas decisões, atos e atividades.
LOPES, C. (2007), em seu artigo sobre o que é governança corporativa, publicado
no site da revista iMasters10, afirma que:
Uma boa governança corporativa é importante para os investidores profissionais. Grandes instituições atribuem à governança corporativa o mesmo peso que aos indicadores financeiros quando avaliam decisões de investimento. Estudos comprovam que investidores profissionais se dispõem até mesmo a pagar um grande ágio para investir em empresas com altos padrões de governança. Em sua essência a governança corporativa tem como principal objetivo recuperar e assegurar a confiabilidade em uma determinada empresa para os seus acionistas. Tarefa esta difícil, pois como na vida real, a confiança uma vez abalada, demora-se para se recuperar a confiabilidade em uma determinada pessoa. Assim também é com as empresas (LOPES, 2007).
Destaca ainda, o mesmo autor, para que haja aderência ao negócio e sua
estratégia, a existência de seis ativos principais, cujos elementos essenciais de cada
ativo incluem:
10 http://www.imasters.com.br/artigo/3941/governanca/o_que_e_governanca_corporativa/
20
� Ativos humanos: pessoas, habilidades, planos de carreira, treinamento,
relatório, mentoring, competências etc.
� Ativos financeiros: dinheiro, investimentos, passivo, fluxo de caixa, contas a
receber etc.
� Ativos físicos: prédios, fábricas, equipamentos, manutenção, segurança,
utilização etc.
� Ativos de Propriedade Intelectual (PI), incluindo o know-how de produtos,
serviços e processos devidamente patenteados, registrados ou embutidos nas
pessoas e nos sistemas da empresa.
� Ativos de informação e TI: contemplando dados digitalizados, informações e
conhecimentos sobre clientes, desempenho de processos, finanças, sistemas
de informação e assim por diante.
� Ativos de relacionamento: relacionamentos dentro da empresa, bem como
relacionamentos, marca e reputação junto a clientes, fornecedores, unidades
de negócio, órgãos reguladores, concorrentes, revendas autorizadas etc.
A governança destes ativos ocorre por meio de um grande número de mecanismos
organizacionais (por exemplo: estruturas, processos, comitês, procedimentos e
auditorias), pelo que a maturidade na governança desses ativos varia
significativamente na maioria das empresas, com os ativos financeiros e físicos
sendo tipicamente os mais bem governados, enquanto os ativos de informação
figuram entre os piores.
2.1.6 AUDITORIA E AUTO-AUDITORIA
Conforme KIMURA et. al. (1999), grande parte das teorias de administração advoga
um processo administrativo composto pelo menos das seguintes atividades:
planejamento, execução, controle e ajustes ou feedback.
21
Neste contexto, a administração deve estabelecer planos de longo, médio e curto
prazos, onde objetivos e metas devem refletir a visão e as exigências dos acionistas.
Numa perspectiva mais moderna, devem também ser levados em consideração, a
motivação dos funcionários, a satisfação dos clientes, o relacionamento com
fornecedores e com todos os demais elementos que estão envolvidos com a
empresa, como por exemplo, os credores, a comunidade, o meio ambiente, etc.
Ainda em função das atividades da administração, deve-se colocar os planos em
prática visando a busca e a efetivação das ambições e desejos estabelecidos no
processo de planejamento.
Surge naturalmente, portanto, a necessidade de monitoramento da implantação das
operações da empresa, no sentido de verificar a conformidade e consistência dos
resultados e eventualmente identificar problemas e falhas visando impulsionar ações
de ajuste e adequação de todo o processo, desde a compra de matéria-prima e
operacionalização da produção até serviços de pós-venda.
Para a atividade de monitoramento e conseqüente avaliação de desempenho, são
necessários a coleta de informação e o cálculo de indicadores que permitam a
comparação entre valores efetivos e valores planejados, a avaliação dos desvios e o
diagnóstico de pontos de melhoria.
Ainda segundo KIMURA, a mensuração do desempenho empresarial representa
tema gerador de controvérsias. Se por um lado as medidas usuais, baseadas em
modelos financeiros, propiciam a fundamentação de comparações e o fácil
entendimento, uma vez que retorno monetário e fluxo de caixa são conceitos
extremamente intuitivos, por outro lado, pode-se argumentar que aspectos distintos
devem ser considerados quando se julga o desempenho.
A ênfase excessiva na consideração de medidas inerentemente financeiras pode
distorcer a avaliação de desempenho, haja vista que muitas variáveis presentes no
contexto da empresa dificilmente podem ser apropriadamente traduzidas em termos
financeiros, principalmente quando envolvem itens intangíveis e interpretações
subjetivas.
22
Tradicionalmente, os modelos de monitoramento da eficiência produtiva baseiam-se
em indicadores quantitativos, facilmente mensuráveis e de caracterização imediata,
como quantidade de falhas, desvios em relação a especificações determinadas,
tempo de inicialização de máquinas e equipamentos, taxa de utilização da
capacidade produtiva, número de itens produzidos, etc.
Assim, tendo em vista a preocupação em mensuração de aspectos tangíveis, que
representavam papel fundamental na era industrial, dado à relevância das economias
de escala e de escopo, tornaram-se padrão para a avaliação de desempenho da
corporação, medidas financeiras, como por exemplo, rentabilidade sobre capital,
margem de contribuição, custos unitários, grau de alavancagem financeira e
operacional, etc.
Se a maximização de lucro ou de valor consiste em objetivo empresarial plausível,
então a mensuração do desempenho (performance) financeiro é plenamente
justificada.
Ainda mais, os indicadores financeiros podem facilmente ser extraídos ou derivados
da base de dados já disponível para a elaboração de relatórios para atendimento de
requisitos legais (balanços patrimoniais, demonstrativos de resultados, etc.),
motivando sua utilização para o processo de avaliação e tomada de decisão.
Porém, com o desenvolvimento de tecnologias e a aceleração do processo de
mudança de paradigmas pode-se observar um atraso na evolução dos sistemas de
mensuração de desempenho organizacional.
Enquanto ocorriam alterações drásticas no processo produtivo através do uso de
técnicas modernas de gestão, com desdobramentos de qualidade total, minimização
de estoques, melhorias contínuas, reengenharia, avaliação de carteiras,
automatização, informatização e integração de atividades, os indicadores de
desempenho continuaram focando-se, basicamente, na perspectiva financeira.
KIMURA e outros inferem que, se o processo produtivo vem sofrendo grandes
modificações, torna-se lógico que os modelos de monitoramento e avaliação de
desempenho (performance) devem também se ajustar para incorporar novos
aspectos presentes na era da informação: exploração dos ativos intangíveis,
23
acompanhamento da inovação tecnológica, aproveitamento de alternativas implícitas
nos negócios, cadeia de valor virtual, integração corporativa, etc.
Para a execução dessa tarefa de avaliação do desempenho organizacional é que
existem os tipos gerais de Auditoria, que são:
• Externa (contratada para emissão de pareceres anuais independentes);
• Interna (responsável pela verificação continuada dos controles internos); e
• Governamental, que no Brasil é incumbência do:
o Tribunal de Contas da União (TCU, atuando em última instância como
um Tribunal Superior);
o pelos Tribunais de Contas Estaduais (TCs); e
o pela Secretaria Federal de Controle (SFC) da Controladoria Geral da
União (CGU, atuando no âmbito do Poder Executivo).
A percepção popular é que, historicamente, a atuação dos Tribunais Superiores no
Brasil, embora assessorada tecnicamente, está sujeita a um forte viés político que,
no caso do TCU o tornaria uma espécie de apêndice ao Congresso Nacional e
poderia explicar o baixo índice de recuperação efetiva de perdas e prejuízos sofridos
pela Administração Pública (cerca de um por cento), especialmente em delitos que
costumam envolver Agentes Políticos.
No entanto, o Relatório Anual de Atividades do TCU, relativo ao exercício de 2007,
aponta um elevado índice de iniciativa própria resultando num montante de cerca de
R$ 600,2 milhões encaminhados aos órgãos responsáveis pela execução judicial,
sendo que desse total cerca de R$ 566,3 milhões correspondem a débitos e R$ 33,9
milhões a multas.
24
FIGURA 2: FISCALIZAÇÕES CONCLUÍDAS POR INICIATIVA
FIGURA 3: HISTÓRICO DOS MONTANTES DAS COBRANÇAS EXECUTIVAS ENCAMINHADAS AOS
ÓRGÃOS EXECUTORES (TCU, 2007)
Além disso, o referido Relatório cita como principais benefícios da atuação do TCU
os constantes da tabela abaixo:
25
TABELA 1: PRINCIPAIS BENEFÍCIOS (TCU, 2007)
Com a CGU, a despeito da feliz iniciativa do Portal da Transparência publicado via
WEB para viabilizar o Controle Social, além das demais ações de rotina, a percepção
não é muito diferente, já que aquela agência estatal compõe a própria estrutura do
Poder Executivo que lhe compete auditar, dando-se o mesmo com os órgãos de
Auditoria Interna nas diversas instituições públicas.
Já o Ministério Público Federal vem alcançando maior visibilidade e manifesta mais
independência em suas ações, o que sugere a necessidade de revisão do modelo
atual adotado para o funcionamento do Sistema de Controle no Brasil.
Daí que se entende aqui, a despeito do chavão tradicional de “quem audita não faz”,
ser indispensável focar a iniciativa nos próprios gestores, de forma tanto quanto
possível proativa, para a instituição e avaliação dos controles, pois daquela postura
exclusivista não deriva a prerrogativa de isenção de responsabilidade solidária em
relação à qualidade dos processos e atividades de sua competência.
A auto-auditoria é, portanto, a implantação em primeira mão de controles internos
efetivos e a verificação continuada de sua qualidade por parte dos próprios gestores,
posto que estes são os maiores interessados na conformidade de seus processos e
atividades aos requisitos definidos nos planos, programas, manuais e demais
normativos aplicáveis, bem como na avaliação de desempenho e resultados, bem
26
como do seu indispensável alinhamento com os objetivos estratégicos da
organização.
A cultura ativista dos executivos brasileiros, no entanto, não tem favorecido esta
concepção, pois se verifica a prática contumaz de delegar a terceiros, especialmente
aos auditores internos, as tarefas de proposição e até mesmo implantação de
controles, sob a desculpa de que não há tempo para que os gestores delas se
ocupem.
É freqüente o acionamento dos auditores internos, por parte dos gestores, com o fim
de validarem ou proporem alternativas de controles, comportamento este que deve
ser prontamente rechaçado pelos auditores internos, pois tal prática conflita com a
indispensável independência na realização isenta da função de auditoria.
Ademais, na faculdade que tem os gestores de exercitarem o poder discricionário já
está disponível a competência para agregar contribuições de consultorias e
assessorias técnicas especializadas para, no melhor interesse da organização,
identificar os riscos, os fatores críticos de sucesso, as tecnologias e os recursos
necessários à consecução dos objetivos organizacionais, observando sempre, entre
outros, os princípios da legalidade, moralidade, impessoalidade da administração
pública, eficiência, eficácia e economicidade (Artigo 37 da Constituição Federal de
1988).
2.1.7 GOVERNANÇA DE TI
Controlar e monitorar continuamente estes ativos não é tarefa fácil e necessita-se
uma forte receptividade e patrocínio por parte da direção da empresa. Dentre todos
estes ativos se destacam os Ativos de informação, uma vez que as informações
disponibilizadas pela área de TI sustentarão a empresa e todos os controles,
processos, procedimentos e métricas partirão da TI.
Tradicionalmente, as organizações dedicam grande atenção para com seus ativos tangíveis físicos e financeiros, mas relativamente pouca atenção aos ativos de informação que possuem. Em anos recentes, contudo, a informação assumiu importância vital para manutenção dos negócios, marcados pela dinamicidade da
27
economia globalizada e permanentemente on-line, de tal forma que, atualmente, não há organização humana que não seja dependente da tecnologia de informações, em maior ou menor grau, de forma que o comprometimento do sistema de informações por problemas de segurança pode causar grandes prejuízos ou mesmo levar a organização à falência (CARUSO, 1999 apud CASANAS et. al. 2001).
Segundo WEILL (2005), a Governança de TI se dá por meio da especificação dos
direitos decisórios e da estrutura de responsabilidades para estimular
comportamentos desejáveis na utilização da TI. Com base em um estudo feito junto
a 250 empresas de todo o mundo, Weill e Ross afirmam que o valor de negócios de
TI resulta diretamente de uma governança de TI eficaz (da alocação, pela empresa,
da responsabilidade e dos direitos decisórios).
Suas pesquisas revelam que as empresas com superioridade em governança de TI
têm lucros no mínimo 20% maiores do que as com má governança, considerados os
mesmos objetivos estratégicos. Mas somente 38% da alta gerência conseguem
descrever com precisão sua governança de TI (como, então, os demais gerentes
poderão tomar boas decisões pela empresa a esse respeito?).
Em Governança de TI, os autores mostram como conceber e Implantar um sistema
de direitos decisórios que enderecem três questões fundamentais:
� Quais decisões devem ser tomadas para assegurar o uso e a gestão
apropriados da TI?
� Quem deve tomar estas decisões?
� Como tomá-las e monitorá-las?
Com suas ilustrações vívidas de sistemas de governança usados pelas empresas de
melhor desempenho nos setores público e com fins lucrativos (incluindo a Du Pont, a
UPS, a UNICEF, a State Street Corporation, a Motorola e a Panalpina), o livro
GOVERNANÇA DE TI: Tecnologia da Informação oferece um modelo e as
ferramentas para customizar um sistema de governança de TI:
• As cinco decisões principais que determinam o uso eficiente da TI;
• Um conjunto de modelos aprovados para alocar os direitos decisórios;
• Vários mecanismos comprovados para Implantar a governança de TI;
28
• Uma Matriz de Arranjos de Governança para alinhar a TI aos objetivos gerais
de negócio.
A máxima é: pare de pensar em TI como função isolada e comece a desenvolvê-la
como uma competência organizacional.
2.1.8 BALANCED SCORECARD (BSC®)
A constatação da importância dos mapas estratégicos motivou os autores Robert
Kaplan e David Norton a escrever um terceiro livro da série Balanced Scorecard
(KAPLAN et. al., 2007), em que apresentam várias novas contribuições importantes.
Entre essas contribuições estão:
• um padrão que descreve os componentes básicos de como se cria valor nas
perspectivas de processos internos e de aprendizado e crescimento;
• ]temas, baseados nos processos que criam valor, capazes de esclarecer a
dinâmica da estratégia; e
• um novo arcabouço para descrever, medir e alinhar os três ativos intangíveis
da perspectiva de aprendizado e crescimento com os processos e objetivos
estratégicos da perspectiva dos processos internos:
o capital humano;
o capital informacional; e
o capital organizacional.
29
FIGURA 4: DIAGRAMA BALANCED SCORECARD (KAPLAN, 2007)
Um Painel de Indicadores estratégicos definidos para cada uma das perspectivas
acima (Financeira, Cliente, Processos Internos e Aprendizado e Crescimento), a
princípio tratados por exceção a partir de alertas pictográficos (vermelho, amarelo e
verde), possibilita aos gestores a atuação imediata no estado atualizado on-line e
real time dos pontos de controle.
Tal metodologia permite, inclusive, detalhar desdobramentos até o nível
operacional, pela via de ferramentas de Business Inteligence (BI) e de Extração,
Transformação e Carga (ETL), tais como os chamados softwares generalistas de
auditoria de tecnologia da informação, que envolvem o uso de aplicativo em
ambiente batch, podendo processar, além de simulação paralela, uma variedade de
funções de auditoria e nos formatos que o auditor desejar.
Exemplos:
� ACL (Audit Command Language): é um software de extração e análise de
dados, desenvolvido no Canadá;
� IDEA (Interactive Data Extraction & Analysis): software para extração e
análise de dados, também desenvolvido no Canadá;
30
� Audimation: é a versão norte-americana do IDEA, da Caseware-IDEA, que
desenvolve consultoria e dá suporte para o produto;
� Galileo: software integrado de gestão de auditoria. Inclui gestão de riscos de
auditoria, documentação e emissão de relatórios para auditoria interna;
� Pentana: software de planejamento estratégico da auditoria, sistema de
planejamento e monitoramento de recursos, controle de horas, registro de
checklists e programas de auditoria, inclusive de desenho e gerenciamento
de plano de ação.
O que é ACL
� É uma ferramenta que permite a leitura e a análise de dados, independente
de tamanho, formato ou diversidade de arquivos dispersos em bancos de
dados de diferentes plataformas (Windows, Unix, Oracle, etc.).
� É utilizado por analistas de dados, auditores, contadores e outros
profissionais de negócios que necessitem de acesso aos dados em tempo
hábil e de forma a analisá-los eficaz e eficientemente.
� Objetiva dar suporte aos processos de tomada de decisões e planejamento
administrativo de forma confiável.
� O limite de uso depende de sua imaginação. Veja o que vem sendo feito
mundialmente no site: http://www.acl.com
Vantagens:
� Pode processar vários arquivos ao mesmo tempo;
� Pode processar vários tipos de arquivos com formatos diferentes, por
exemplo: EBCDIC ou ASCII;
� Poderia também fazer uma integração sistêmica com vários tipos de
softwares e hardwares;
� Reduz a dependência do auditor do especialista de informática para
desenvolver aplicativos específicos para todos os auditores de sistemas de
informação
31
Desvantagens:
� Como o processamento das aplicações envolve gravação de dados
(arquivos) em separado para serem analisados, poucas aplicações podem
ser feitas em ambiente on-line;
� O software não consegue processar cálculos complexos, pois como se trata
de um sistema generalista, não aprofunda na lógica e na matemática muito
complexas.
Já os Softwares Especialistas de auditoria consistem em programas desenvolvidos
especificamente para certas tarefas em certas circunstâncias.
Vantagens:
� Pode atender sistemas ou transações não contempladas por softwares
generalistas;
� O auditor, quando consegue desenvolver softwares específicos numa área
muito complexa, pode utilizar isso como vantagem competitiva.
Desvantagens:
� Pode ser muito caro, pois terá uso limitado e normalmente restrito a
determinado cliente;
� Atualização pode ser complicada devido à falta de recursos que
acompanhem as novas tecnologias.
Há ainda programas utilitários em que o auditor usa softwares utilitários para
executar funções muito comuns de processamento, como sortear arquivo,
sumarizar, concatenar, gerar relatórios. Pode ser um EXCEL, ou recursos de
bancos de dados como o SQL, Dbase2, etc.
Vantagem:
� Pode ser utilizado como alternativa na ausência de outros recursos.
Desvantagem:
32
� Sempre necessitará do auxílio do funcionário da empresa auditada para
operar a ferramenta (no caso de ferramentas complexas, como bancos de
dados).
2.1.9 A MÉTRICA E OS SISTEMAS DE MENSURAÇÃO
Willian Thompson, ou Lorde Kelvin (1824-1907), conceituado físico que deu
fundamental contribuição à termodinâmica, costumava dizer: “Se algo não pode ser
medido, ele realmente não existe”. Medir objetos e eventos não é apenas uma
necessidade científica, mas é dar significado à complexidade dos fenômenos
naturais.
Medir é uma atividade rotineira do ser humano e de sua interação com a natureza.
Para que se possa realizar medições é condição fundamental a existência de
métricas e instrumentos de trabalho adequados.
Conforme ROZADOS (2005) são apresentados documentos que lidam com
indicadores de desempenho concernentes a bibliotecas tradicionais e digitais, entre
os quais estão os padrões internacionais ISO 11620, ISO 20983, o Projeto
EQUINOX, mais um manual publicado pela UNESCO, como fontes básicas e
qualificadas para a formação e seleção de indicadores e metodologias. (...)
Segundo Geisler (2000), fenômenos físicos como temperatura, peso, massa, são
adequadamente medidos, em geral, com o uso de um simples aparelho. O mesmo
autor também afirma que as Ciências Sociais, Administrativas e Comportamentais
são fenômenos considerados muito menos precisos, dos quais, muitas vezes,
possuímos pouco conhecimento, o que os torna muito mais difíceis de medir. O que
medir é, portanto, o primeiro princípio da mensuração.
Uma vez decidido o que medir, passa-se a definir que instrumento de medida pode
dar conta do que se deseja medir. Instrumentos de mensuração têm uma variedade
de características que impactam sua eficiência.
GEISLER (2000) identifica, ainda, que o processo de seleção de uma métrica é
influenciado por três fatores: a cultura da organização; um conjunto disponível de
33
métricas e o tipo de atividade a ser medida; e outras influências, como os atores
envolvidos (comunidade científica e de negócios ou interesses governamentais).
A definição de métrica inclui três aspectos: o item medido (o que medir), a unidade
de medida (como medir) e o inerente valor associado com a métrica (por que medir
ou o que se pretende encontrar com esta mensuração).
Afirma, também, que para avaliar ciência e tecnologia existe um único método viável:
mensuração por indicadores. Torna a enfatizar que múltiplos indicadores são
necessários para proporcionar uma adequada cobertura de dimensões e aspectos
de processos complexos, atividade e resultados.
Conforme ROZADOS (2005), um indicador é uma medida reservada para a
descrição ou representação de um dado evento ou fenômeno11. Uma métrica pode
conter um ou mais indicadores
Os objetivos são:
• Estudar ocorrências de fraudes em relatórios financeiro-contábeis;
• Desenvolver recomendações (companhias, auditores, outros reguladores e
instituições educacionais);
• O aperfeiçoamento dos relatórios financeiros (Ética, Controle Interno e
Governança Corporativa);
• Definição comum de Controle Interno atendendo à necessidade de diferentes
interessados;
• Padrão para avaliar sistemas de controles (empresas pequenas ou grandes, do
setor público ou privado, visando lucro ou não).
Em contextos de crescente complexidade convém considerar também a Lógica
Fuzzy12 como mais uma possibilidade de análise das diversas variáveis envolvidas, o
que já vem sendo adotado em sistemas especialistas de inteligência artificial.
11 Categoria definida por Immanuel Kant. 12 Disponível em http://users.femanet.com.br/~fabri/fuzzy.htm Acesso em 06/05/2008.
34
Os Conjuntos Fuzzy e a Lógica Fuzzy provêm a base para geração de técnicas poderosas para a solução de problemas, com uma vasta aplicabilidade, especialmente, nas áreas de controle e tomada de decisão.
A força da Lógica Fuzzy deriva da sua habilidade em inferir conclusões e gerar respostas baseadas em informações vagas, ambíguas e qualitativamente incompletas e imprecisas. Neste aspecto, os sistemas de base Fuzzy têm habilidade de raciocinar de forma semelhante à dos humanos. Seu comportamento é representado de maneira muito simples e natural, levando à construção de sistemas compreensíveis e de fácil manutenção.
A Lógica Fuzzy é baseada na teoria dos Conjuntos Fuzzy. Esta é uma generalização da teoria dos Conjuntos Tradicionais para resolver os paradoxos gerados a partir da classificação “verdadeiro ou falso” da Lógica Clássica. Tradicionalmente, uma proposição lógica tem dois extremos: ou “completamente verdadeiro” ou “completamente falso”. Entretanto, na Lógica Fuzzy, uma premissa varia em grau de verdade de 0 a 1, o que leva a ser parcialmente verdadeira ou parcialmente falsa.
Com a incorporação do conceito de “grau de verdade”, a teoria dos Conjuntos Fuzzy estende a teoria dos Conjuntos Tradicionais. Os grupos são rotulados qualitativamente (usando termos lingüísticos, tais como: alto, morno, ativo, pequeno, perto, etc.) e os elementos destes conjuntos são caracterizados variando o grau de pertinência (valor que indica o grau em que um elemento pertence a um conjunto). Por exemplo, um homem de 1,80 metro e um homem de 1,75 metro são membros do conjunto “alto”, embora o homem de 1,80 metro tenha um grau de pertinência maior neste conjunto.
2.1.10 OUTROS CONCEITOS (ITIM, ITSM, ITIL®13, PRINCE, MSP, M_O_R14)
A evolução da Gestão de TI passou por várias fases em que a abordagem variava
de acordo com as ênfases do momento. Por exemplo:
a) IT Infrastructure Management (ITIM) – Visão de TI como despesa provendo infra-estrutura de TI
fuzzy logic noun [C usually singular] a theoretical system used in mathematics, computing and philosophy to deal with statements which are neither true nor false (from Cambridge Advanced Learner's Dictionary).
13 ITIL® is a Registered Trade Mark, and a Registered Community Trade Mark of the Office of Government Commerce, and is Registered in the U.S. Patent and Trademark Office. IT Infrastructure Library® is a Registered Trade Mark of the Office of Government Commerce.
14 Disponível em: http://www.ogc.gov.uk/index.asp Acesso em 13/05/2008 © Crown Copyright 2008
35
A abordagem inicial dada à Tecnologia da Informação caracterizava-se por uma
visão mecanicista, focada nos equipamentos, privilegiando os investimentos em
infra-estrutura.
b) IT Service Management (ITSM) – Visão de TI como investimento provendo serviços de TI:
Conforme MAGALHÃES et. al. (2007), o Gerenciamento de Serviços de Tecnologia
da Informação é o instrumento pelo qual a área pode iniciar a adoção de uma
postura proativa em relação ao atendimento das necessidades da organização,
contribuindo para evidenciar a sua participação na geração de valor.
O Gerenciamento de Serviços de TI visa alocar adequadamente os recursos
disponíveis e gerenciá-los de forma integrada, fazendo com que a qualidade do
conjunto seja percebida pelos seus clientes e usuários, evitando-se a ocorrência de
problemas na entrega e na operação dos serviços de Tecnologia da Informação.
Para alcançar este objetivo, a tática que vem sendo adotada é o desenho, a
implantação e o gerenciamento de processos internos da área de TI de acordo com
as práticas reunidas na InformationTechnology Infrastructure Library (ITIL).
c) IT Infrastructure Library (ITIL) – Visão sistêmica do papel das áreas de TI.
Conforme o ITSMF seção Brasil, o Reino Unido identificou que, apesar de muitos
esforços estarem sendo direcionados para a redução de custos e riscos, inclusive o
desenvolvimento de projetos com esse intuito, havia pouca informação disponível a
respeito de como controlar os sistemas de informação IS (Information Systems) a
partir do momento em que eles eram implantados.
Pesquisas mostravam, porém, que mais de 80% do custo dos Serviços de
Informática estava relacionado ao dia-a-dia de sua operação e apenas 20% ao
estágio de desenvolvimento. Por esse fato, foi criada a Biblioteca de Infra-estrutura
de TI pelo CCTA, um centro governamental para sistemas de informações.
Esta Biblioteca de Infra-estrutura é o mais acessível e estruturado modelo para
gerenciamento de serviço de TI atualmente disponível. A Biblioteca de Infra-estrutura
36
de TI considera todos os hardwares, softwares e telecomunicações sobre os quais a
aplicação dos sistemas e serviços é desenvolvida e entregue.
A Biblioteca é formada por módulos que trazem as melhores práticas retiradas de
empresas públicas e privadas. Para formá-la, foram dedicados vários anos de
consultoria em empresas do setor público, grandes empresas do setor privado e
indústria de informática, fazendo dela o mais completo e acessível guia para
gerentes de serviços de TI.
A Biblioteca se tornou de fato um padrão para gerenciamento de serviços de TI. Sem
a TI muitas empresas não funcionam e sem qualidade em TI estas empresas não
funcionam bem.
A orientação da Biblioteca de Infra-estrutura permite que as organizações tenham,
no mínimo, um bom padrão de qualidade de gestão de serviços de TI. Os maiores
resultados obtidos na utilização da ITIL estão nas melhorias dos serviços oferecidos
aos clientes e a redução dos custos e riscos.
A Biblioteca não é uma propriedade privada, está disponível para todos (mediante
compra) e é publicada pela HSMO, sendo produzida utilizando-se os procedimentos
certificados para o padrão ISO-9001/BS5750.
A ITIL® é a abordagem ao gerenciamento de serviços de TI mais largamente aceita
no mundo e é uma estrutura de melhores práticas coesa, projetada para os setores:
público e privado, internacionalmente.
Descreve a organização dos recursos de TI para entregar valor ao negócio,
documenta processos, funções e papéis em IT Service Management (ITSM). A ITIL
é suportada por um esquema compreensivo de qualificações, organizações de
treinamento acreditadas e ferramentas de implantação e controle.
A versão original da ITIL foi desenvolvida ao mesmo tempo e em alinhamento com
BS 15000, o antigo padrão do Reino Unido (UK) para o Gerenciamento de Serviços
de TI. BS15000 foi lançada em 2005 para tornar-se ISO/IEC 20000, o primeiro
padrão internacional em ITSM.
37
O Governo Britânico, por meio do Office of Government Commerce (OGC) está
comprometido com a manutenção do alinhamento entre as futuras versões da ITIL e
da ISO/IEC 20000, que é o primeiro padrão mundial especificamente projetado para
o Gerenciamento de Serviços de TI (IT Service Management). Descreve um conjunto
integrado de processos de gerenciamento e seus clientes.
FIGURA 5: DIAGRAMA ITIL (OGC, 2007)
O cerne da ITIL é a estratégia de serviço, que tem entrada em todos os estágios do
ciclo de vida. O ciclo é: Projeto, Transição, Operação e Melhoramento Contínuo, que
está envolvido no todo.
A organização do material ITIL reflete o ciclo PDCA do Deming (Planejar-Fazer-
Checar-Agir), mas note-se que nem sempre há um relacionamento linear entre os
estágios, pois existem muitas ligações entre um estágio e outro.
Pessoas familiarizadas com a versão dois da ITIL freqüentemente expressam
preocupação acerca de processos, que são o cerne da versão dois. A versão três
ainda tem os processos, muitos dos quais atingem mais de um estágio de ciclo de
vida.
Onde isto acontece, cada processo tem uma casa onde é mais ativo no livro dos
estágios do ciclo de vida. Pode-se pensar em processos como sendo ortogonais aos
38
estágios. A abordagem de ciclos de vida dá uma estrutura melhorada e holística,
dentro da qual são descritas todas as funções, processos, papéis e
responsabilidades que constituem a Melhor Prática de Gerenciamento de Serviços
de TI.
O foco da ITIL hoje é a integração da TI ao negócio, assegurando a entrega de valor
ao negócio e o tratamento dos serviços como ativos de negócio. A ITIL descreve a
vida de um serviço “da concepção à aposentadoria”, dentro de um Portafólio de
Serviços.
A parte anterior do portafólio é o Service Pipeline, que é o conjunto dos serviços em
planejamento e desenvolvimento, e a última parte o familiar Catálogo de Serviços,
que contém os serviços em uso ou ofertados para uso.
A ITIL entrega processos tentativos e já testados que assegurem resultados
previsíveis, repetíveis e confiáveis em TI, assegurando a entrega de valor ao
negócio. Os benefícios incluem:
� Uso otimizado dos investimentos em TI;
� Integração do valor do negócio e da TI;
� Portafólio orientado aos ativos de serviço;
� Clara demonstração do Retorno sobre os Investimentos (ROI);
� Adaptação ágil e flexível aos modelos de serviços;
� Desempenho e medições que são baseados em valor do negócio;
� Ativos de Serviços de TI ligados aos serviços do negócio.
Treinamento, exames & qualificações. Existem atualmente três níveis de certificação
no esquema de qualificação ITIL:
Certificação nos Fundamentos ITIL (Foundation Certificate):
Projetada para prover um nível fundamental de conhecimento em gerenciamento de
serviços de TI, é voltada para todo o pessoal que queira tornar-se familiar com as
melhores práticas em Gerenciamento de Serviços de TI, como definido na Biblioteca
de Infra-estrutura de TI (ITIL). A Certificação nos Fundamentos capacita as pessoas
a compreender, em particular, a terminologia usada dentro da ITIL.
39
Certificação Prática (Practitioner's Certificate):
Destinada àqueles que são responsáveis, no contexto de suas organizações, pelo
projeto de processos específicos dentro da disciplina de Gerenciamento de Serviços
de TI e pela execução das atividades que pertençam àqueles processos. A
Certificação Prática focaliza em profundidade o entendimento e a aplicação
daqueles assuntos, tratando cada assunto como uma especialidade.
Certificação Gerencial (Manager's Certificate):
A Certificação Gerencial é destinada àqueles que precisam demonstrar capacidade
para gerenciar soluções baseadas em ITIL e soluções que tangenciem o âmbito dos
assuntos relativos ao Gerenciamento de Serviços.
As Certificações ITIL demonstram que um indivíduo alcançou certo padrão em
Gerenciamento de Serviços, conforme definido pelo Certificador Oficial da OGC, o
Grupo APM, suportado por um Painel Global de Examinadores especialistas em
ITIL. O esquema oficial é suportado por institutos de exame, incluindo a APMG, a
EXIN e o ISEB.
Com a emissão da nova versão ITIL em junho de 2007, o esquema de qualificação
vem sendo revisado e melhorado. Um novo curso de Certificação nos Fundamentos
ITIL e novos exames estão disponíveis, bem como haverá cursos-ponte para
atualização dos detentores da Certificação anterior (versão 2).
Quanto à ISO/IEC 2000015, esta norma é alinhada e complementa a abordagem de
processos definida na ITIL, consistindo de duas partes:
1 – ISO/IEC 20000-1:2005 é a especificação formal que define os requisitos para
uma organização entregar serviços gerenciados em qualidade aceitável para seus
clientes, cujo escopo inclui:
� Requisitos para o sistema de gerenciamento;
15 Tradução Livre. Original Disponível em: http://www.isoiec20000certification.com/about/whatis.asp Acesso em 16/05/2008.
40
� Planejamento e implantação do gerenciamento de serviço;
� Planejamento e implantação de novos serviços ou mudanças;
� Processos de entrega de serviço;
� Processos de relacionamento;
� Processos de resolução;
� Processos de controle; e
� Processos de publicação.
2 - ISO/IEC 20000-2:2005 é o Código de Práticas e descreve as melhores práticas
para os processos de Gerenciamento de Serviços dentro do escopo da ISO/IEC
20000-1. O código de práticas será de uso particularmente recomendado para
aquelas organizações que se preparam para serem auditadas em conformidade com
a ISO/IEC 20000 ou com as melhores práticas de planejamento de serviços.
d) PRINCE (Projects in Controlled Environments), o que significa Projetos em
Ambientes Controlados, foi inicialmente desenvolvido em 1989, pelo governo do
Reino Unido, como uma abordagem padrão ao gerenciamento de projetos para o
governo central.
Desde então, o método tem sido aperfeiçoado para tornar-se uma abordagem
genérica de melhores práticas aplicáveis a todos os tipos de projetos, e tem um
registro validado nos setores governamentais e de TI.
O PRINCE2 tem sido largamente adotado e adaptado por ambos os setores público
e privado, e é agora o padrão de fato para o Gerenciamento de Projetos no Reino
Unido. Tem havido também um rápido crescimento do interesse internacional no
padrão PRINCE2, que é projetado para incorporar os requisitos e experiências dos
usuários existentes ao redor do mundo.
O PRINCE é um método genérico, simples e adaptável para seguir no
Gerenciamento de Projetos. Ele cobre como organizar, gerenciar e controlar seus
projetos. É destinado a capacitá-lo a entregar com sucesso os produtos certos, em
tempo e dentro do orçamento.
41
Como Gerente de Projeto, pode-se aplicar os princípios do PRINCE2 e o
treinamento associado a qualquer tipo de projeto. Isto o ajudará a gerenciar risco,
controlar a qualidade e a mudança com efetividade, tanto quanto tirar o melhor
proveito de situações desafiadoras e de oportunidades que surjam dentro de um
projeto.
Um projeto PRINCE2 tem as seguintes características:
� Um ciclo de vida finito e definido;
� Produtos de negócio definidos e mensuráveis;
� Um conjunto de atividades correspondentes para alcançar os produtos de
negócio;
� Um montante definido de recursos;
� Uma estrutura organizacional com responsabilidades definidas para gerenciar
o projeto.
O PRINCE2 não cobre todos os aspectos do Gerenciamento de Projetos. Certos
aspectos (como liderança e perfis de gerenciamento de pessoas, cobertura
detalhada das técnicas e ferramentas de gerenciamento de projetos) são bem
cobertos por outros métodos existentes e provados, portanto foram excluídos deste
método.
O método PRINCE2 é documentado na publicação da OGC intitulada "Managing
Successful Projects with PRINCE2", prontamente disponível através do seu agente
oficial de publicações: TSO. Este livro principal é suportado por um número de
publicações complementares que adicionam orientação sobre como adaptar o
método, como gerenciar seu pessoal em projeto PRINCE.
Exteriorizando os benefícios para o seu negócio ao adotar essa abordagem de
gerenciamento de projetos, ajusta cada processo em uma estrutura de componentes
essenciais que precisam ser aplicados ao longo do projeto e ajuda a exercitar quais
papéis devem ser envolvidos em seus projetos, o que eles serão responsáveis e
quando serão necessários.
42
O conjunto de processos e controles providos estruturam suporte à vida do projeto,
explicando que informação deverá ser agregada ao longo do caminho. O método
PRINCE2 demonstra como o projeto pode ser dividido em etapas ou estágios
gerenciáveis, permitindo planejar à frente mais realisticamente, além de chamar
seus recursos no tempo necessário.
O PRINCE2 age como uma linguagem comum entre todos os clientes, usuários e
fornecedores, trazendo essas partes juntamente à direção do projeto, embora não
inclua o gerenciamento de contratos como tal, provê os controles e as fronteiras
necessários para todos trabalharem em conjunto dentro dos limites de qualquer
contrato relevante. Adicionalmente, a direção do projeto provê suporte ao gerente de
projeto na tomada de decisões-chave.
O mais importante de tudo é que PRINCE2 permite ao seu negócio focar a execução
dos projetos certos, na hora certa, pelas razões corretas, por meio de fazer o início
de um projeto e sua existência continuada dependente de um estudo de caso válido
e contínuo. Usar PRINCE proverá maior controle de recursos, além da habilidade de
gerenciar o risco do negócio e do projeto mais efetivamente, com benefícios para:
� Gerentes de projeto;
� Diretores/executivos (proprietários) dos projetos, e
� Organizações.
O uso do PRINCE2 em seus projetos dará à organização sistemas, procedimentos e
linguagem comuns. Isto capacitará a cometer menos erros, aprender com aqueles
cometidos anteriormente e, finalmente, poupar dinheiro e esforço.
O método não é proprietário e é fácil de aprender, além de incorporar melhores
práticas estabelecidas e testadas por todas as organizações que contribuíram para a
sua evolução desde 1980. Pela adoção do PRINCE2 como o seu método de
gerenciamento de projetos, a instituição beneficia-se pelas lições aprendidas por
todas aquelas organizações.
43
Em síntese, o reconhecimento formal das responsabilidades PRINCE2 dentro de um
projeto, juntamente com o seu foco sobre o que o projeto deve entregar (o porquê,
quando e para quem) proverá sua organização com:
� Uma abordagem comum e consistente;
� Um início, meio e fim controlado e organizado;
� Revisões regulares do progresso confrontado com o planejado;
� Segurança de que o projeto continua a ter uma justificativa de negócio;
� Pontos de decisão flexíveis;
� Gerenciamento e controle de qualquer desvio do planejado;
� O envolvimento da gerência e dos interessados (stakeholders) no tempo e lugar certos durante o projeto;
� Bons canais de comunicação entre o projeto, a gerência de projeto e o restante da organização;
� Meios de captura e compartilhamento das lições aprendidas;
� Uma rota para aperfeiçoar os perfis e competências das gerências de projetos e do pessoal da organização em todos os níveis.
e) Managing Successful Programmes (MSP) é uma estrutura flexível que permite
gerenciar e controlar todas as atividades envolvidas no gerenciamento de um
programa, por meio de consultoria organizacional, de processos, de comunicação de
inovação. Existe uma ligação estreita entre MSP e PRINCE2™.
Gerenciamento de Programa está se tornando um aspecto crescente das mudanças
em gerenciamento de negócios, quer em partes de uma organização ou em toda a
organização, ou ainda, em um grupo de organizações. As diretivas para mudança
podem ser internas, tais como melhoria da qualidade dos produtos, ou externas,
como uma nova política governamental.
A segunda edição dessa publicação descreve a abordagem da OGC para gerenciar
efetivamente a mudança, baseada em experiências de melhores práticas dentro do
governo e no setor privado.
Isto provê uma visão geral da estrutura de gerenciamento de programa e considera
princípios-chave como liderança, gerenciamento de benefícios, de partes
interessadas e comunicação, bem como gerenciamento de riscos, planejamento e
44
controle de programas, de casos de negócios e de assuntos relacionados à
qualidade.
Então, parte-se para a discussão do ciclo de vida do gerenciamento de programa,
incluindo a identificação e definição detalhada do programa, gerenciando o portafólio
do projeto, entrega e quantificação dos benefícios de negócio mensuráveis, além do
fechamento do programa e de sua infra-estrutura.
Um programa é composto por um número de projetos que, se coordenados ou
integrados no programa, são provavelmente mais factíveis de atingir os objetivos
estratégicos e entregar benefícios mensuráveis para a organização.
Produtos de Gerenciamento de Projetos, MSP e Programa da OGC
O Programa da OGC e os produtos de Gerenciamento de Projetos do PRINCE2™; o
Gerenciamento bem sucedido de Programas (MSP) e Gerenciamento de Riscos
(M_o_R® - Management of Risk) oferecem abordagens padrões para “o que e o
como” do bom gerenciamento de programa, projetos e riscos.
Eles suportam e aperfeiçoam os cadernos de programas, projetos e riscos da OGC,
e complementam o OGC Gateway™, obtenção (procurement) e o Guia de
Atingimento da Excelência.
Eles são projetados por gerentes seniores, gerentes de negócios e praticantes em
todos os níveis de times, através do nível diretivo. A OGC tem os produtos e
gerencia seu desenvolvimento continuo por meio de seus parceiros, que asseguram
que os produtos são suportados internacionalmente por serviços de qualidade
garantida em certificação e publicação.
Existe uma vasta faixa de provedores acreditados, incluindo treinamentos e serviços
de consultoria. Existem também publicações que aperfeiçoam o conjunto principal.
As qualificações associadas oferecem aos indivíduos uma rota para aperfeiçoarem
seu desenvolvimento profissional.
45
Como exemplos das melhores práticas, todo o conteúdo é periodicamente revisado
e atualizado para incorporar pesquisas relevantes e benefícios de experiências
práticas em sua aplicação.
A metodologia MSP ajuda a atingir benefícios reais de negócios por meio de um
processo formal de:
� Identificação de benefícios;
� Medições;
� Gerenciamento e
� Constatações.
MSP não é:
� Uma forma de gerenciamento de grandes projetos;
� Um guia detalhado de gerência de mudança de negócios;
� Um guia para gerenciamento contínuo de serviços ou gerenciamento do
cotidiano normal do negócio.
Managing Successful Programmes (MSP) é uma orientação definitiva em gerência
de projetos inter-relacionados como um programa coordenado de mudanças de
negócios, de forma a gerenciar os riscos e os benefícios mais efetivamente.
Managing Successful Programmes (MSP) é largamente adotada nos setores: público
e privado, sendo desenvolvida por um consórcio de cerca de 100 organizações,
incluindo muitas dentre as indústrias de serviços.
Conjuntamente com outras referências de Gerenciamento de Projetos e Programas
disponíveis na OGC e seus parceiros, a MSP objetiva:
� Prover padrões de referência;
� Prover uma estrutura de princípios e conceitos de melhores práticas
explicitados a partir de experiências recentes e prática comprovada;
� Habilitar praticantes na adaptação das orientações às situações da vida real;
� Estar acessível às equipes e organizações, tanto quanto aos indivíduos
praticantes;
46
� Ajudar os praticantes a melhorar sua tomada de decisões e torná-las
melhores ao Implantar mudanças benéficas;
� Capacitar indivíduos a demonstrarem seu nível de conhecimento e
compreensão de cada produto pela obtenção de qualificação globalmente
reconhecida.
f) Management of Risk (M_o_R) é o padrão sugerido na sequência das
recomendações constantes do relatório Turnbull, no sentido de que as organizações
devem Implantar estruturas de gerenciamento de riscos e declarações de controle
interno, para fixar firmemente o gerenciamento de riscos aos processos de gestão.
A OGC decidiu juntar alguma orientação para prover as organizações com um
valoroso estímulo para inovação e uma abordagem de sonoro encorajamento à
cultura de gerenciamento de risco.
Esta abordagem M_o_R foi projetada para complementar as orientações da OGC
sobre gerenciamento de programas, projetos e serviços (MSP, PRINCE2 e ITIL),
mas cobre elementos de gerenciamento de riscos em maior nível de detalhe. Esta
publicação deriva da experiência de uma variedade de especialistas de ambos os
setores: público e privado.
Ela entrega uma estrutura para tomada de decisões informada acerca dos riscos de
projetos, programas e nível estratégico para assegurar que os riscos-chave são
identificados, controlados e que a ação adequada é tomada para cada um deles.
Toda organização gerencia seus riscos, mas nem sempre o faz de forma visível,
repetível e consistentemente aplicada para suporte ao processo decisório.
A tarefa do modelo de Gerenciamento de Risco da OGC (M_o_R) é habilitar
qualquer organização a fazer um uso de custo efetivo de um processo de risco que
tem uma série de passos bem definidos.
O alvo é suportar melhor a tomada de decisões por meio de um bom entendimento
dos riscos e de seus impactos prováveis.
47
M_o_R provê uma estrutura genérica para o gerenciamento de risco através de
todas as partes de uma organização: estratégia, programa, projeto e operacional.
Incorpora todas as atividades requeridas para identificar e controlar a exposição,
positiva ou negativa, a qualquer tipo de risco que possa ter impacto no atingimento
dos objetivos de negócio da organização.
M_o_R objetiva ajudar as organizações a alocar estruturas efetivas para a tomada
de decisões bem informadas sobre riscos.
A orientação provê um mapa de rotas para o gerenciamento de riscos, trazendo
junto abordagens recomendadas, checklists e ponteiros para fontes mais detalhadas
de aconselhamento em ferramentas e técnicas. Expande-se isto nas Guidelines for
Managing Risk da OGC.
M_o_R cobre uma vasta faixa de tópicos, inclusive de gerenciamento de
continuidade de negócios, segurança, de risco de projetos ou programas, e de
serviços operacionais. Estes tópicos são colocados no contexto de uma estrutura
organizacional para gerenciamento de riscos.
Alguns tópicos relacionados ao risco, tal como segurança, são altamente
especializados e esta orientação provê somente uma visão geral de tais aspectos.
O processo de avaliação de investimentos que são auditados em termos de custos,
benefícios e riscos, está fora do escopo deste guia. No entanto, muitos dos
princípios e técnicas aí descritos podem ser usados quando do desenvolvimento do
caso de negócio.
As organizações que estão implementando a estrutura M_o_R devem esperar para
ver alguns ou todos os seguintes benefícios:
� O processo de tomada de decisão corporativa é melhorado por meio da alta
visibilidade da exposição ao risco, tanto para as atividades individuais quanto
para os principais projetos através da organização inteira.
� Um estilo gerencial progressista e uma cultura de melhoramento contínuo que
estimule a qualidade pelo encorajamento da abertura em relação ao risco.
48
� Os objetivos da organização e seus interessados são provavelmente mais
constatáveis por meio da identificação precoce e gerenciamento proativo das
ameaças ao custo, tempo e desempenho.
� As necessidades de governança corporativa são atendidas pela fixação dos
processos M_o_R que provém diretivas e uma mensagem clara.
� Há clara propriedade e prestação de contas para riscos e seu gerenciamento,
de modo que eles sejam monitorados efetivamente e gerenciados
proativamente.
� Benefícios financeiros para a organização por meio de melhores ‘valores
monetários’ e melhor gerenciamento de projetos e programa financeiro.
� O gerenciamento de risco do projeto é explicitado dentro de um contexto mais
abrangente de programas, de modo que minimize o risco individualizado de
falha de projeto por meio de maior visibilidade do impacto potencial de outros
projetos.
� Consistencia da abordagem por meio de direção e monitoramento em alto
nível.
� Criação de um ambiente para aceitação consciente dos riscos do negócio em
uma base bem informada.
� Planos de contingência melhorados e planos de continuidade dos negócios
da organização.
� Melhor atenção em todo o pessoal, relativamente às implicações de custo e
benefício para suas ações.
49
2.2 CONTEXTO HISTÓRICO E EVOLUÇÃO PROGRESSIVA DA GOVERNANÇA
Cícero Lopes (2002) descreve bem a necessidade de uma governança corporativa
que assegure razoável credibilidade às instituições:
A governança corporativa tornou-se um tema dominante nos negócios devido à safra de escândalos corporativos em meados de 2002 – Enron, Worldcom e Tyco, para citar apenas algumas. O interesse na governança corporativa não é novo, mas a gravidade dos impactos financeiros das fraudes executadas pelas empresas já citadas abalou a confiança dos investidores. A crise de confiança do setor corporativo contribuiu para a pressão descendente nos preços das ações, estimulando assim as empresas a tomarem uma atitude para contornar esta situação. (LOPES, 2002).
Segundo LINDOW (2002), tal mudança de atitude dos gestores frente aos fatos
resultou na mudança de abordagem da Auditoria, de mera relatora de
desconformidades a posteriori para promotora da eficácia da gestão.
Isto se dá por meio de mecanismos de monitoramento que assegurem um relativo
grau de certeza quanto ao estado dos controles internos, conforme detalha o quadro
abaixo, transcrito do Artigo Beyond Traditional Audit Techniques.
Papel e Envolvimento da Auditoria Interna
Tradicional Progressiva (melhores práticas)
Foco na Auditoria Foco no Negócio
Baseada em Transações Baseada em Processos
Focada em Contas Financeiras Focada no Cliente
Objetiva Conformidade Objetiva identificação de risco e melhoria
de processos
Foco em Políticas e procedimentos Foco em Gerenciamento de Riscos
Cobertura plurianual de auditoria Cobertura de monitoramento contínuo do
risco
Aderente às Políticas Facilitadora de mudanças
50
Papel e Envolvimento da Auditoria Interna
Tradicional Progressiva (melhores práticas)
Orçamento por centro de custos Prestação de Contas por resultados e
melhoria de desempenho
Auditores de carreira Oportunidades para outras posições
gerenciais
Metodologia: Foco sobre Políticas,
transações e conformidade
Metodologia: Foco sobre metas,
estratégias e processos de gerenciamento
de riscos
TABELA 2: AUDITORIA: ABORDAGEM TRADICIONAL VERSUS PROGRESSIVA
Conquanto já se tenha no Brasil a perspectiva das mudanças necessárias para a
migração da concepção tradicional do papel da Auditoria Interna para a tendência
progressista, conforme demonstrado na tabela acima, na prática ainda se esbarra
em dificuldades estruturais, culturais e tecnológicas de toda ordem, tornando
penoso, senão utópico, o requerido processo de mudança.
Sem prioridades claramente definidas e o patrocínio de fato da administração
superior, é praticamente impossível, no curto prazo, auferir os benefícios
decorrentes da almejada transição.
Em suas análises, Rasmussen16 constatou que as corporações gastam muito
dinheiro com a implantação de processos de Governança, Risco e Compliance
(GRC) sem uma visão holística da empresa.
As equipes não se comunicam. Por isso, criam projetos diferentes e desperdiçam
recursos. Como resultado disso, faz-se os mesmos questionamentos para projetos
de SOX, Basiléia II, planos de continuidade de negócios, avaliações de riscos de TI
e outros.
16 RISK MANAGEMENT REVIEW pág. 11 Apud Modulo News Nº. 489.
51
A proposta do modelo de GRC é criar uma única plataforma com sistemas
automatizados para que todos possam trocar informações, sem que precisem
levantar as mesmas questões semanalmente.
A integração fará com que todos adotem políticas comuns, além de eliminar dúzias
de sites para documentar procedimentos diferentes.
Rasmussen reforça que GRC forma uma rede de comunicação entre os vários
setores da companhia, avaliando os riscos a que a organização está sujeita. Assim,
por meio dessa infra-estrutura única todos trabalham afinados e em sintonia. Há
cooperação entre as áreas como auditoria, finanças, departamento jurídico, TI e
negócios.
Ganhos do Modelo
Num primeiro momento, são as corporações pressionadas pelas regulamentações
que estão adotando GRC com o objetivo de simplificar os processos de Governança,
Riscos e Conformidade (Compliance).
Entre as que estão nesse movimento, Rasmussen menciona bancos e as que atuam
no segmento de ciência da vida, que engloba laboratórios farmacêuticos, indústrias
químicas, fabricantes de cosméticos e de produtos alimentícios entre outras. Porém,
ele frisa que essa não é uma filosofia que lida apenas com questões de adequação.
“Muitas organizações estão adotando GRC porque perceberam que é um modelo que traz
benefícios para o negócio”, afirma o consultor, salientando o fato das corporações
terem muito a ganhar com GRC, pois a visão integrada sinaliza que procedimentos
precisam ser mudados para aumentar a competitividade delas.
Outra vantagem é que a padronização de processos e de plataformas
automatizadas reduz custos com auditorias e correção de falhas, além de acelerar
adequações às regulamentações.
O guru de GRC ressalta que essa prática exige mudanças da gestão de processos e
investimento em tecnologia. Por isso, ele sugere que os projetos sejam bem
definidos e que adotem software para automação de funções que sejam flexíveis.
52
“É importante entender o que é melhor para sua organização, estabelecer bem os papéis
das áreas envolvidas e ter certeza de que a tecnologia atende às questões de GRC”, afirma
o consultor. O segredo para o sucesso dessa nova prática, segundo ele, é a
colaboração dos envolvidos com a iniciativa.
Papel do Responsável pela Segurança de Informações (CSO17)
A nova cultura vai exigir alteração na forma dos CSOs trabalharem, já que o lema é
a integração. “A segurança não pode operar sozinha e terá um assento na mesa de
colaboração de GRC”, afirma o consultor Rasmussen.
Para Alberto Bastos18, a mudança que o novo movimento traz é positiva para os
profissionais de Segurança da Informação. Sua recomendação é que eles procurem
compreender a empresa não como partes isoladas e incomunicáveis, mas como um
único conjunto que apresenta interatividade entre os setores.
Esse entendimento pode ser mais complexo para alguns por causa da formação
acadêmica do CSO, geralmente focada na parte técnica, mas não impossível.
2.2.1 EVOLUÇÃO DA FUNÇÃO DE TI DENTRO DAS ORGANIZAÇÕES
Em treinamento para obtenção da certificação COBIT Foundations19, foi informado
que as áreas de Tecnologia da Informação (TI) atuam desde o seu surgimento como
provedores de tecnologia, ajudando o negócio a realizar suas atividades de forma
mais eficiente.
Estas áreas se tornaram suportes estratégicos para o negócio, realizando funções
que, sem o seu concurso, seriam impossíveis e constituíram-se em elemento
essencial para as organizações.
17 Chief Security Officer 18 Sócio-fundador da Módulo Security
19 Treinamento preparatório para certificação CobIT Foundations – ISACA/QualiLog/ECT, agosto/2007.
53
A atuação das áreas de TI nas organizações evoluiu da condição de provedoras de
tecnologia para a de verdadeiros parceiros estratégicos envolvendo toda a
sofisticação requerida neste novo perfil, objetivando a geração de valor para o
negócio e implementando modelos de governança.
As áreas de suporte tecnológico começaram a se transformar em parcerias
estratégicas, alavancando novas oportunidades de negócios, a partir da integração
dos processos de TI com os processos do ciclo de vida do negócio, melhorando a
qualidade dos serviços e conferindo maior agilidade aos negócios.
A continuidade dos negócios tradicionais ocorria em um ambiente ainda com pouco
apoio da TI. Nesta fase de transição, várias metodologias têm sido desenvolvidas e
hoje a Tecnologia da Informação é um fator crítico de sucesso para a organização.
Com o maior peso da TI dentro da organização, estas áreas passaram a ter os
seguintes desafios:
1. Manutenção da disponibilidade dos serviços de TI;
2. Geração de valor nos projetos de TI;
3. Otimização de custos;
4. Mitigação dos riscos;
5. A administração dos ambientes de TI de maior complexidade;
6. Aumento da pressão para a agregação de tecnologia nas estratégias de negócio;
7. Requerimento de conformidade com normas regulatórias;
8. Manutenção da segurança sobre as informações.
A disponibilidade dos serviços é extremamente crítica, pois contribui para a
produtividade dos usuários, afetando diretamente a continuidade dos negócios.
Sua descontinuidade pode acarretar os seguintes problemas:
1. Processos críticos do negócio são interrompidos. Ex.: processamento de pedidos;
2. Comprometimento da execução de atividades de rotina. Ex.: envio de e-mails ou
acesso a documentos;
54
3. Quebra da comunicação com os clientes e conseqüente perda de negócios,
redução de lucros e prejuízos à imagem institucional. Ex.: falta de acesso aos call
centers.
Ainda conforme o ISACA, a maioria dos projetos de TI ultrapassa o orçamento inicial
ou o prazo de entrega por dificuldades gerenciais decorrentes de:
a) Requisitos mal definidos;
b) Complexidade dos sistemas a serem desenvolvidos;
c) Falta de pessoas capacitadas;
d) Avaliação subestimada do esforço necessário;
e) Falta de gerenciamento sistematizado do projeto.
A título de contextualização e como evidência da relevância do tema em face do
volume de investimentos em TI, reproduz-se abaixo o artigo: “Empresas investem
5,7% do faturamento em TI”, publicado na newsletter Módulo News.
Empresas investem 5,7% do faturamento em TI O investimento médio das empresas brasileiras em TI foi de 5,7% do faturamento líquido em 2007. 08 Mai 2008| FONTE - Info Corporate O número é resultado da 19ª Pesquisa Administração de Recursos de Informática, realizada pela FGV (Fundação Getúlio Vargas) com 1700 grandes e médias empresas brasileiras. O estudo mostra que o gasto das companhias do Brasil com tecnologia tem aumentado. Em 1988, o primeiro ano da pesquisa, o percentual de investimento era de 1,3%. Em 2002 chegou a 4,7% e hoje está na casa de 5,7%. A maior parte desse investimento é direcionada para serviços. "As empresas têm terceirizado a maior parte da gestão de TI, inclusive hardware e software, por isso o maior gasto fica com os serviços", diz Fernando Meirelles, professor responsável pelo levantamento. Os bancos são os maiores investidores, gastando 12,3% do faturamento em TI. O setor de Serviços aparece com um gasto de 8,2% das receitas em TI. A Indústria investe um percentual de 3,8% e o comércio tem um investimento médio de 2,6% em tecnologia. Considerando a venda de 10,5 milhões de PCs no ano passado, o estudo conclui que a base instalada de computadores nas empresas do país é de 45 milhões de máquinas, o que equivale a 1,1 micro por
55
usuário. O número era de 18 milhões em 2002 e de 1 milhão em 1988. A maior parte das máquinas, 81%, são Pentium 4. Mas computadores com configurações mais obsoletas não saíram de uso. Ainda estão na ativa 12% de Pentium III, 4% de Pentium II, 1% de Pentium e x86 e 2% de outros processadores. No mundo de sistemas operacionais para servidores a Microsoft lidera com 65% do market share. A seguir vem o Unix e seus derivados, com 31%. A Novell tem 2% e outros programas 2% do mercado. O Netware da Novell foi o que mais perdeu espaço nos últimos 20 anos: diminuiu de 30% para 2% sua presença. Já entre os micros dos usuários, o Windows tem uma maior hegemonia, com 97% de presença, contra 3% de outros sistemas operacionais. Entre os bancos de dados a Microsoft não tem a liderança. A Oracle é a número 1, com 35% do mercado. O SQL Server tem 28%. A seguir vêm Access (7%), Progress (7%), xbase (5%), DB2 (5%) e outros (13%). É nos pacotes de ERP que a presença nas empresas está mais disputada. Os quatro primeiros colocados têm 81% do mercado, com participações muito parecidas. O Grupo Totvs tem 24% de penetração nas companhias brasileiras. A SAP fechou 2007 com 23%, a Oracle soma 17% e a Datasul, 16%. Outros pacotes têm uma fatia de 20%.
56
2.3 OS PADRÕES NACIONAIS E INTERNACIONAIS DE CONFORMIDADE EM TI
A tabela abaixo contempla as principais referências em normas, padrões e melhores
práticas testadas e validadas internacionalmente.
Referência Objectivo Audiência Alvo Entidade Emitente
CobiT Objectivos de Controlo de Governação de TIC (uso diário)
Gestores de Topo, Gestores de TIC, Utilizadores e Auditores
IT Governance Institute
ITIL Abordagem para Fornecedores de Serviços de Gestão de TIC
Pessoas Responsáveis por Serviços de Gestão de TIC
British Office of Government Commerce (OCG) UK.
ISO/IEC 17799:2000
Orientações para Implantação da Segurança da Informação
Pessoas Responsáveis pela Segurança da Informação
International Organizational for Standardization and International Electrotechnical Comission Joint Technical Committee (ISO/IEC JTC 1), Switzerland
ISO/IEC TR 13335
Orientações sobre aspectos da Gestão da Segurança de TIC
Gestores Seniores e Pessoas Responsáveis pela Medição da Segurança de TIC
International Organizational for Standardization and International Electrotechnical Comission Joint Technical Committee (ISO/IEC JTC 1), Switzerland
ISO/IEC 15408
Definição de Critérios para Avaliação da Segurança da Informação
Consumidores, Programadores e Avaliadores
International Organizational for Standardization and International Electrotechnical Comission Joint Technical Committee (ISO/IEC JTC 1), Switzerland
TickIT
Sistemas de Gestão da Qualidade para Desenvolvimento de Software e Critérios de Certificação
Clientes, Fornecedores e Auditores
TickIT Office, British Standards Institute (BSI), UK
NIST 800-14
"Baseline" para o Estabelecimento e Revisão de Planos de Segurança de TIC
Terceiras Partes Responsáveis pela Segurança de TIC para Organizações Governamentais
Computer Security Resource Centre (CSRC), National Institute of Standards and Technology (NIST), US Department of Commerce, USA
COSO Gestão e Controlo do Risco das Organizações
CIO, CEO, CFO, CxOs, Utilizadores e Auditores Internos
Committee of Sponsoring Organizations of the Tradeway Comission (COSO), USA
TABELA 3: REFERÊNCIAS INTERNACIONAIS E PRINCIPAIS CARACTERÍSTICAS ASSOCIADAS20
A seguir serão detalhadas algumas dessas referências.
20 Disponível em: http://www.sinfic.pt/SinficNewsletter/sinfic/Newsletter15/Dossier3.COBIT.html Acesso em 15/05/2008.
57
2.3.1 OS PADRÕES PARA DESENVOLVIMENTO DE SOFTWARE
FIGURA 6: RELACIONAMENTOS ENTRE ISO/IEC 12207, ISO/IEC 15504, CMMI E
MPS.BR21
O Manual de Auditoria do TCU (1998) traz, a partir da página 29, um ROTEIRO
PARA AVALIAÇÃO DOS CONTROLES DE SISTEMA, aparentemente aderente aos
padrões ilustrados na figura acima, pois está subdividido em controles:
� gerais,
� organizacionais,
� de projeto, desenvolvimento e modificação de sistemas,
� de segurança,
� aplicativos,
� da entrada de dados,
� de processamento de dados,
� da saída de dados,
e nas avaliações abaixo:
� extensiva dos controles de sistema,
21 Alves (2007)
58
� moderada dos controles de sistema e
� reduzida dos controles de sistema.
Segundo Machado [MACHADO01], a globalização da economia vem influenciando as empresas produtoras e prestadoras de serviços de software a alcançar o patamar de qualidade e produtividade internacional para enfrentarem a competitividade cada vez maior. A norma internacional NBR ISO/IEC 12207 – Tecnologia da Informação – Processos de Ciclo de Vida de Software [ISO12207: 97] é usada como referência em muitos países, inclusive no Brasil, para alcançar esse diferencial competitivo. (NOGUEIRA, 2003).
A Empresa Brasileira de Correios e Telégrafos (ECT), por meio do Programa de
Software Padrão da Organização (PSPO), também incorporou os requisitos
propostos nestes padrões e normas e os vem implantando nos novos
desenvolvimentos internos, bem como nos testes de homologação das novas
aquisições de software.
2.3.2 LEI SARBANNES-OXLEY
A Lei Sarbanes-Oxley, elaborada pelos senadores norte-americanos que lhe deram
o nome, se propõe a permitir ao investidor a possibilidade de confiar nas
companhias em que investe. Isso exige que as empresas pratiquem (e demonstrem)
boas práticas corporativas, que envolvem três componentes principais:
a) Procedimentos efetivos de Governança Corporativa;
b) Penalidades por mau comportamento por parte da companhia e por parte do
mercado, imposição de leis civis e criminais;
c) Cultura de ética profissional.
Principais Seções
a) Seção 404 – Avaliação dos Controles Internos;
b) Seção 302 – Comunicação de Irregularidades e Atos Ilegais;
c) Seção 208 – Restrição a Serviços Prestados pela Auditoria.
Também no Brasil, o problema da fraude afetou, entre outros inclusive, o patrimônio
dos fundos de pensão que, atraídos pela oferta de elevada rentabilidade das
59
aplicações, investiram com risco excessivo e viram suas expectativas de ganhos
virarem fumaça, no caso do Banco Santos, que pagava juros acima da média do
mercado (marcação ao mercado) para assegurar um bom retorno para as
aplicações.
2.3.3 O PADRÃO FINANCEIRO - BASILÉIA
Especificamente no contexto bancário (BCB, 1997), há o padrão consensado pelos
representantes das principais instituições financeiras mundiais, na cidade de
Basiléia, na Suíça, cujo escopo consiste basicamente em 25 Princípios básicos
indispensáveis para um sistema de supervisão realmente eficaz.
Os Princípios referem-se a:
� Precondições para uma supervisão bancária eficaz - Princípio 1;
� Autorizações e estrutura - Princípios 2 a 5;
� Regulamentos e requisitos prudenciais - Princípios 6 a 15;
� Métodos de supervisão bancária contínua - Princípios 16 a 20;
� Requisitos de informação - Princípio 21;
� Poderes formais dos supervisores - Princípio 22, e
� Atividades bancárias internacionais - Princípios 23 a 25.
O Comitê de Supervisão Bancária da Basiléia (Basle Committee on Banking
Supervision) congrega autoridades de supervisão bancária e foi estabelecido pelos
Presidentes dos bancos centrais dos países do Grupo dos Dez (G-10), em 1975.
É constituído por representantes de autoridades de supervisão bancária e bancos
centrais da Bélgica, Canadá, França, Alemanha, Itália, Japão, Luxemburgo,
Holanda, Suécia, Suíça, Reino Unido e Estados Unidos. Normalmente se reúne no
Banco de Compensações Internacionais, na Basiléia, Suíça, onde se localiza sua
Secretaria permanente.
60
Adicionalmente, o documento contém explanações sobre os vários métodos que os
supervisores podem adotar para implantação dos Princípios. As agências nacionais
devem aplicar os Princípios na supervisão de todas as organizações bancárias
dentro de suas jurisdições.
Os Princípios são requisitos mínimos e, em muitos casos, poderão requerer
suplementação mediante outras medidas definidas para atender a condições e
riscos particulares nos sistemas financeiros de cada país, individualmente.
Os Princípios Essenciais da Basiléia se apresentam como referência básica para
órgãos supervisores e outras autoridades públicas em todos os países e
internacionalmente.
As autoridades supervisoras, muitas das quais buscam ativamente fortalecer seus
atuais sistemas de supervisão, devem usar o documento anexo para revisar seus
atuais procedimentos e para iniciar um programa voltado para reduzir quaisquer
deficiências, com a agilidade que a competência formal de cada um permitir.
Os Princípios foram concebidos para serem amplamente seguidos por supervisores
locais, por grupos regionais de supervisão e pelo mercado. O papel do Comitê da
Basiléia, juntamente com outras organizações interessadas, será o de monitorar o
progresso dos países na implantação dos Princípios.
Sugere-se que o FMI, o Banco Mundial e outras organizações interessadas usem os
Princípios na assistência individual aos países, para o fortalecimento de seus
procedimentos de supervisão, combinando com ações que visem promover,
sobretudo, a estabilidade macroeconômica e financeira.
A implantação dos Princípios será revista e avaliada na Conferência Internacional de
Supervisores Bancários, em Outubro de 1998, e, a partir daí, a cada dois anos.
61
2.3.4 O PADRÃO DE AVALIAÇÃO DOS CONTROLES INTERNOS
Em 1992, o Comitê das Organizações Patrocinadoras da Comissão Treadway
(COSO®)22 emitiu o documento Controle Interno: uma metodologia integrada
(Internal Control - Integrated Framework), cujos objetivos eram estabelecer uma
definição comum de controle interno e prover um padrão para ajudar os profissionais
de auditoria a acessar sistemas de controle e determinar como melhorá-los.
O COSO definiu controle interno como sendo:
Um processo, efetuado pelo corpo diretivo de uma entidade, seus gestores e demais colaboradores, designados para prover razoável segurança relativamente ao atingimento dos objetivos nas seguintes categorias: Efetividade e Eficiência das operações, Confiabilidade dos relatórios financeiros e Conformidade com leis e regulamentos aplicáveis. (LINDOW, 2002).
O COSO afirma que o controle interno consiste de cinco componentes inter-
relacionados que derivam da maneira como os gestores tocam o negócio e estão
integrados no processo gerencial:
1. Ambiente de Controle
O tom da organização influencia a consciência de controle de seu pessoal.
Exemplos incluem a integridade, os valores éticos e a competência dos empregados;
a filosofia gerencial e estímulos do corpo diretivo.
2. Gerenciamento de Risco
Identificação e análise de riscos relevantes para o atingimento dos objetivos
corporativos, determinação de como tais riscos devem ser gerenciados e
implantação de um processo de endereçamento de riscos associado à mudança.
3. Atividades de Controle
Políticas, procedimentos e processos que ajudem a assegurar que uma companhia
concretize diretrizes gerenciais. Exemplos incluem aprovações, verificações,
22 Copyright © 2006 by ISACA
62
reconciliações, revisões do desempenho operacional, segurança dos ativos e
segregação de funções.
4. Informação e Comunicação
A comunicação se dá dentro da companhia e com partes externas relacionadas, tais
como: clientes, órgãos reguladores e acionistas.
Por exemplo: relatórios que contenham dados operacionais, de conformidade ou
financeiros, ou que compartilhem idéias ou eventos por meio de linhas de negócios
são gerados a partir de sistemas de informação.
FIGURA 7: RELACIONAMENTOS ENTRE INFORMAÇÃO E ATORES INTERESSADOS23
5. Monitoramento
Acessando a qualidade dos sistemas de controle interno da companhia por meio de
monitoramento contínuo das atividades dentro das unidades de negócio e de uma
avaliação independente pelos auditores dos controles existentes.
Este aspecto do acesso continuado ao estado dos controles é especialmente
relevante ao tema desta monografia.
23 Ferreira, L. E. A et. al. Entendendo o COSO. GRA Campinas - SP
63
É neste contexto que se inserem as possibilidades reais de automatização do
processo de auto-auditoria, a partir das ferramentas (algumas já citadas) de:
• Business Intelligence (BI),
• Balance ScoreCard (BSC) ; e
• Extração, Transformação e Carga (ETL) de dados.
Tal acesso deverá ser provido, preferencialmente, a partir do repositório Data
Warehouse (DW) disponível no escopo da arquitetura dos sistemas integrados de
informações gerenciais (ERP).
Business Intelligence é uma solução em que todos os dados importantes armazenados na empresa são filtrados e distribuídos de uma forma mais adequada e de fácil acesso, para diversos componentes da organização. Em outras palavras, através do Business Intelligence, os dados transacionais da empresa, geralmente espalhados por vários sistemas, são transformados em informação útil para tomada de decisões.
A solução em BI trabalha em conjunto com todas as ferramentas de Gestão de Negócio, como ERP, CRM, SUPPLY CHAIN, E-COMMERCE, E-BUSINESS e outras, além de envolver conceitos de tratamento de base de dados como data WAREHOUSE, DATA MART, e também conceitos voltados à gestão empresarial, como BALANCED SCORECARD e custo baseado em atividades24.
O DW é um repositório dos dados da organização e tem um enorme potencial,
quando colocado à disposição dos gestores, em geral, e dos auditores, em
particular.
Devidamente explorado, com o auxílio de tecnologias e métodos adequados, este
instrumento propiciará o tratamento seletivo e qualitativo das informações críticas da
organização.
Paralelamente, metodologias consagradas de gerenciamento de projetos, tais como
PMBoK©25, estabelecem a necessidade de definição de pontos de controle
(milestones) que devem ser continuamente monitorados, com vistas a assegurar o
cumprimento de prazos e a correta precedência entre as atividades, por meio da
definição de prioridades via caminho crítico (PERT/CPM), além de várias
24 http://www.prosperi.com.br/paginas/bus.htm Acesso em 07/02/2008 às 10h40min. 25 Marca registrada do Project Management Institute (PMI)
64
informações adicionais indispensáveis à tempestiva intervenção gerencial rumo à
eficácia empresarial.
2.3.5 O PADRÃO PARA GOVERNANÇA DE TI
FIGURA 8: O CUBO COBIT®26
O padrão Control Objectives for Information Technology (CobIT) define 34 áreas de
PROCESSOS de TI, agrupados em quatro DOMÍNIOS:
• PO - Planejamento e Organização;
o A estratégia dos negócios e a TI estão alinhadas?
o A empresa alcança o uso ótimo dos seus recursos?
o Todos na organização compreendem os objetivos de TI?
o Os riscos são compreendidos e gerenciados?
o A qualidade dos sistemas é apropriada às necessidades dos negócios?
• AI - Aquisição e Implantação;
o Os novos projetos são adequados para entregar soluções que atendam às necessidades dos negócios?
26 Copyright © by ISACA.
65
o Os novos projetos são adequados em termos de prazos e orçamento?
o Os novos sistemas funcionarão adequadamente quando forem implantados?
o As mudanças serão feitas sem atrapalhar a operação dos negócios atuais?
• DS - Entrega e Suporte
o Os serviços de TI são entregues alinhados aos requisitos e prioridades dos negócios?
o Os custos de TI são otimizados?
o A força de trabalho está apta a utilizar os sistemas de TI de forma produtiva e segura?
o Os requisitos de qualidade estão adequados: confidencialidade, integridade e disponibilidade?
• M – Monitoramento
o O desempenho da TI pode ser mensurado e os problemas podem ser detectados antes que seja demasiado tarde?
o A vigilância independente é necessária para assegurar que áreas críticas estejam operando como se espera?
O framework CobIT 4.0 busca orientar a implantação de um sistema padrão de 214
OBJETIVOS DE CONTROLE, adequados para o ambiente de TI, ou seja, o
ferramental para a implantação, a execução e o acompanhamento da
GOVERNANÇA DE TI nas organizações.
Adota os seguintes PRINCÍPIOS:
• Direção e Controle
• Responsabilidades (Matriz RACI27)
• Prestação de Contas
• Atividades
Qual é a diferença entre o COBIT e o COSO?
Ambos os frameworks são instrumentos complementares na consecução da
governança corporativa, cuja diferença básica consiste principalmente na finalidade:
• COBIT: tem por finalidade o controle das atividades pelo gestor de TI.
27 R=Report to A=Accountable to C=Check I=Inform to.
66
• COSO: tem por finalidade sistematizar os processos de Auditoria, inclusive
remetendo ao COBIT os processos de Auditoria de TI.
FIGURA 9: PROCESSO GERAL DE AUDITORIA
Na figura acima, em termos gerais, tem-se um diagrama esquemático do processo
de auditoria, partindo-se da definição dos requisitos de auditoria, da estrutura dos
controles e da observação de como estes controles são implantados, para uma
diretriz genérica de auditoria.
Tal diretriz genérica contempla etapas tais como a identificação, avaliação e testes
dos processos, de seus controles internos e a definição de responsabilidades.
São reportadas as respectivas oportunidades de auditoria utilizando, em
combinação, diretrizes detalhadas e testes substantivos tanto mais quanto os
controles forem considerados insuficientes, precários ou mesmo inexistentes.
Conforme FERNANDES (2004), o framework COBIT tem, ainda, como ESCOPO
sistematizar o instrumental que viabilize respostas às seguintes questões:
a) Quão longe se deve ir ao controle da TI?
67
b) O custo do controle justifica os benefícios?
c) Quais os fatores críticos de sucesso da organização?
d) Quais os riscos de não alcance dos objetivos?
e) Quais as melhores práticas?
f) Como nos comparamos com outras organizações?
g) Qual estratégia de melhoria adotar?
Para tanto, busca-se priorizar:
a) alinhamento estratégico;
b) entrega de valor;
c) gerenciamento de riscos;
d) gerenciamento de recursos;
e) monitoração de desempenho (performance);
f) estrutura (framework) de controle – características;
g) foco no negócio;
h) orientado aos processos;
i) padrão aceito (realidades práticas);
j) linguagem (terminologia) comum;
k) requisitos regulatórios;
l) benefícios da governança;
m) confiança da alta administração;
n) TI + comprometimento com o negócio;
o) retorno sobre os investimentos (ROI) maior;
p) serviços confiáveis;
q) mais transparência.
Os Critérios de Informação ou Requisitos de Negócio são:
a) Processos: conjunto de atividades correlatas aos insumos ofertados com vistas à
consecução dos resultados demandados;
b) Recursos: insumos necessários como pessoal, matéria prima, dinheiro, etc.;
c) Aplicações: sistemas específicos para automatização de uma determinada
função ou atividade;
d) Informação: significado relevante obtido a partir de um ou mais dados
relacionados;
68
e) Infra-estrutura: conjunto de elementos físicos (hardware) necessário a
determinadas operações;
f) Pessoas: indivíduos com perfis habilitados ao desempenho profissional
adequado às atribuições pertinentes.
Os Critérios de Informação são:
a) Requisitos de qualidade;
b) Qualidade;
c) Custo;
d) Entrega.
Os Requisitos Fiduciários são:
a) Eficácia e eficiência: Eficácia tem a ver com os fins e é o atingimento assertivo do
resultado almejado no prazo. Eficiência tem a ver com os meios e é a utilização
ótima dos recursos, ou seja, fazer mais com menos;
b) Confiabilidade: grau de segurança de que o dado ofertado corresponde ao dado
demandado;
c) Conformidade: grau de adesão às Leis, normas, orientações, etc.
Os Requisitos de Segurança são:
a) Confidencialidade: controle do acesso, conferindo-o apenas àqueles usuários
formalmente autorizados;
b) Integridade: grau de completude e de unicidade da informação;
c) Disponibilidade: grau de estabilidade do acesso à informação.
Os Requisitos de Negócio são:
a) Eficiência;
b) Eficácia;
c) Confidencialidade;
d) Conformidade;
e) Confiabilidade;
f) Integridade;
g) Disponibilidade.
69
Conforme GHERMAN, O Modelo de Governança é constituído por componentes
associados, que tornam TI um habilitador do negócio.
Componentes do modelo:
� Fatores Críticos de Sucesso (CSFs - Critical Success Factors) - O que há de
mais importante a ser feito para permitir que uma tarefa ou processo sejam
concluídos;
� Indicadores de Meta (KGIs - Key Goal Indicators) - São os parâmetros utilizados
para reconhecer se o Processo alcançou as metas definidas (associadas aos
objetivos);
� Indicadores de Desempenho (KPIs - Key Performance Indicators) - Definem quão
bem é o desempenho do Processo, em direção ao que foi definido como objetivo.
A figura abaixo correlaciona esses elementos.
FIGURA 10: TI COMO HABILITADOR DO NEGÓCIO
70
2.3.6 OS PADRÔES DE SEGURANÇA DA INFORMAÇÃO
Ao longo da história, desde a mais remota antigüidade, o ser humano vem buscando
controlar as informações que julga importantes.
Conforme relaciona SCHNEIER (2001), na antiga China a própria linguagem escrita
era usada como uma forma de criptografia na medida em que somente as classes
superiores podiam aprender a ler e a escrever.
Outros povos, como os egípcios e os romanos deixaram registrado na história sua
preocupação com o trato de certas informações, especialmente as de valor
estratégico e comercial.
Com a Segunda Guerra Mundial, a questão da segurança ganhou uma nova
dimensão, na medida em que sistemas automáticos, eletromecânicos foram criados
tanto para criptografar como para efetuar a cripto-análise e quebrar a codificação.
Já SOLMS, (1998) apud CASANAS (2001), explicita o esforço do qual resultaram a
ISO17799 e a Norma ABNT, que remontam a 1987 quando o departamento de
comércio e indústria do Reino Unido (DTI) criou um centro de segurança de
informações, o CCSC (Commercial Computer Security Centre).
O CCSC tinha entre suas atribuições a tarefa de criar uma norma de segurança das
informações para companhias britânicas que comercializavam produtos para
segurança de TI (Tecnologia da Informação) através da criação de critérios para
avaliação da segurança Outro objetivo do CCSC era a criação de um código de
segurança para os usuários das informações.
Com base nesse segundo objetivo, em 1989 foi publicada a primeira versão do
código se segurança, denominado PD0003 - Código para Gerenciamento da
Segurança da Informação. Em 1995, esse código foi revisado e publicado como uma
norma britânica (BS), a BS7799:1995. Em 1996, essa norma foi proposta ao ISO
para homologação mas foi rejeitada (...)
71
HEFFERAN, 2000 apud CASANAS et al, 2001, afirma que uma segunda parte desse
documento foi criada posteriormente e publicada em novembro de 1997 para
consulta pública e avaliação. Em 1998, esse documento foi publicado como BS7799-
2:1998 e, após revisado, foi publicado junto com a primeira parte em abril de 1999
como BS7799:1999.
Novamente CASANAS cita SOLMS relatando que, em 1998, a lei britânica,
denominada “Ato de Proteção de Dados”, recomendou a aplicação da norma na
Inglaterra, o que viria a ser efetivado em 1o de março de 2000.
Ao longo de seu desenvolvimento, a norma foi sendo adotada não só pela Inglaterra
como também por outros países da Comunidade Britânica, tal como Austrália, África
do Sul e Nova Zelândia.
A ABNT (Associação Brasileira de Normas Técnicas), operando em sintonia com a
ISO e atenta às necessidades nacionais quanto à segurança da informação,
disponibilizou o projeto na versão brasileira da norma ISO para consulta pública e
posterior votação e publicação.
A parte “1” desse documento foi levada à ISO e proposta para homologação pelo
mecanismo de "Fast Track" para um trâmite rápido, pois normalmente, uma norma
leva até cinco anos para ser avaliada e homologada pela ISO.
Em outubro de 2000, na reunião do comitê da ISO em Tóquio, a norma foi votada e
aprovada pela maioria dos representantes.
Os representantes dos países do primeiro mundo, excetuando a Inglaterra, foram
contrários à homologação, mas, sob votação, venceu a maioria, e a norma foi
homologada como ISO/IEC 17799:2000 em 01 de dezembro de 2000.
Objetivos e Abrangência
O objetivo fundamental da norma ISO e da norma brasileira, nela baseada, é assegurar a continuidade e minimizar o dano empresarial, prevenindo e minimizando o impacto de incidentes de segurança. (ISO/IEC 17799:2000).
Percebe-se que, antes mesmo da publicação do documento oficial, as empresas
brasileiras se anteciparam no sentido de preparar suas estruturas para implantação
dos itens que compõem a norma.
72
Tal procedimento justificava-se na medida em que as empresas mudavam seu
comportamento quanto à questão da segurança da informação, premidas pelo risco
crescente de roubos e ataques a seus sistemas.
Por outro lado, compreenderam que as normas ISO e ABNT eram o resultado de um
esforço internacional que consumiu anos de pesquisa e desenvolvimento para se
obter um modelo de segurança eficiente e universal.
Os Capítulos que compunham a Norma original eram os seguintes:
1 – Objetivo;
2 - Termos e definições;
3 - Política de segurança;
4 - Segurança organizacional;
5 - Classificação e controle dos ativos de informação;
6 - Segurança em pessoas;
7 - Segurança ambiental e física;
8 - Gerenciamento das operações e comunicações;
9 - Controle de acesso;
10 - Desenvolvimento de sistemas e manutenção;
11 - Gestão de continuidade do negócio;
12 – Conformidade.
A ISO17799 cobria os mais diversos tópicos da área de segurança, possuindo mais
de 100 controles que deveriam ser atendidos para assegurar a segurança das
informações de uma empresa, de forma que a obtenção da certificação pode ser um
processo demorado e muito trabalhoso, consistindo num desafio para as empresas.
Em contrapartida, a certificação é uma forma bastante clara de mostrar à sociedade que a empresa dá à segurança de suas informações e de seus clientes a importância que merecem, de tal forma que se espera que em poucos anos todas as grandes empresas terão aderido à norma e obtido suas certificações como forma de não só assegurar sua sobrevivência, mas também como parte do marketing de suas imagens junto ao público e como mais um fator diferencial de competitividade no mercado. (...)
73
Segurança da Informação conforme definido pela ISO/IEC 17799:2000, é a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades. A segurança da informação é caracterizada pela preservação dos seguintes atributos básicos:
• Confidencialidade: segurança de que a informação pode ser acessada apenas por quem tem autorização.
• Integridade: certeza da precisão da informação. • Disponibilidade: garantia de que os usuários autorizados
tenham acesso a informação e aos recursos associados, quando necessário.
A preservação desses atributos constitui no paradigma básico da Norma Internacional para Gerenciamento da Segurança da Informação, a ISO17799 e de toda a ciência da Segurança da Informação. (CASANAS et al, 2001).
Na seqüência, a nova Norma28 ABNT NBR ISO/IEC 27002:2005 (antiga ABNT NBR
ISO/IEC 17799:2005) apresenta um Código de Prática para a Gestão da Segurança
da Informação e a Norma ABNT NBR ISO/IEC 27001:2006 Sistemas de Gestão de
Segurança da Informação: Requisitos é bem abrangente, pretendendo contemplar
todos os aspectos da segurança da informação.
� ISO 27002 (BS17799): Code of Practice for Information Security Management;
� ISO 27001: Information Security Management Systems – Requirements.
Como sugerem os títulos originais29, a ISO 27002 é um "código de práticas" e a ISO
27001 é um conjunto de "requisitos para sistemas de gestão de segurança da
informação". Na primeira, não há obrigatoriedade de serem seguidas as
recomendações. Para a outra (ISO 27001), no entanto, todos os itens do item 4.2 são
obrigatórios.
Outra questão é a certificação, pois não é possível certificar ISO 17799, apenas ISO
27001. Há a certificação BS 7799 (part1) que é a versão inglesa (British Standard) e
fonte da ISO 17799. No entanto, não há certificação BS 7799 (part2), mas há a
certificação ISO 27001.
28 Disponível em: http://www.abnt.org.br/m3.asp?cod_pagina=1132 Acesso em 10/02/2008. 29 Disponível em: http://www.istf.com.br/vb/archive/index.php?t-10162.html Acesso em 12/05/2008.
74
A ISO 27001 é uma norma para gerenciar segurança na corporação, ou seja, criar
um sistema de segurança (SGSI) dentro da empresa, o que em nenhum momento
garante segurança.
Com um sistema desses implantado consegue-se visualizar o problema de
segurança muito mais facilmente. Nesta norma estão contidos controles de
segurança.
Por exemplo, o controle: a.9.1.1 é perímetro de segurança física, o que quer dizer
que as áreas de segurança que o Security Officer, o gestor, e/ou o diretor definirem
como sendo de segurança devem ser protegidas por meio de barreiras lógicas ou
físicas.
Para restringir as possibilidades de interpretações díspares, a ISO 17799 contem
todos os controles que tem na ISO 27001, enriquecidas com explicações e exemplos
de implantação.
Interessante acrescentar também que os controles não são correlacionados, ou seja,
um controle que na ISO 27001 é o número 10, não tem correspondência direta na
ISO 17799, até porque as duas normas tem revisão em times diferentes.
Pode-se dizer que a ISO 17799 está contida na ISO 27001 que, porém, a sobrepuja
por abranger outras normas ISO.
Por exemplo: a ISO 15408 (segurança no desenvolvimento). O que não quer dizer
que ao ser atendida a norma ISO 27001, em 100%, será atendida a ISO 15408 ou o
ITIL, que também é contemplado nessa ISO, onde essas metodologias "emprestam"
seus controles.
Por exemplo, na ISO 27001, o controle a.10.3.2 (aceitação de sistemas), ou seja,
homologação, não tem todas as informações que se encontram na ISO 15408. Isso
indica uma nova tendência das normas ISO, que é a convergência em um ponto,
resultado de várias interseções (com outras ISO).
Portanto, audita-se Segurança com base na ISO 27001, o que não quer dizer que um
serviço de auditoria não utilize a ISO 17799 como referência ou "tira-dúvidas" do
controle.
75
O selo 27001, contem um descritivo do escopo, ou seja, quando uma empresa fala
que é certificada ISO 27001. Portanto leia-se o selo, pois a Empresa pode ser
certificada apenas no CPD, ou na sala de XEROX. Quanto aos custos, a obtenção do
selo 27001 varia de acordo com o órgão certificador.
Não há nada tabelado e tudo é acordado. Por exemplo, a empresa certificadora (que
emite o selo) pode não arcar com os custos de viajem ou hospedagem do Auditor,
porém se acordado, tudo é negociável.
2.3.7 PADRÃO DE MATURIDADE ORGANIZACIONAL EM GERENCIAMENTO DE PROJETOS
(OPM3) 30
OPM3® é um padrão distinto de outros modelos de maturidade contemporâneos. O
sítio WEB combinado com o livro oferecem uma abordagem abrangente, ajudando
as organizações a avaliar e desenvolver sua habilidade para entregar projetos com
êxito, de forma coerente e previsível.
OPM3 oferece a chave para a maturidade no gerenciamento de projetos
organizacionais com três elementos inter-relacionados:
a) conhecimento;
b) avaliação;
c) aprimoramento.
O elemento CONHECIMENTO, encontrado no sítio WEB e no livro que acompanha
os Fundamentos de Conhecimento do OPM3, permitirá às organizações a
descoberta de centenas de melhores práticas e lhes mostrará como usar a
informação disponível em OPM3.
O elemento AVALIAÇÃO é uma ferramenta de base de dados interativa acessível no
sítio WEB que permitirá às organizações avaliarem sua situação atual e identificar
áreas que precisem ser melhoradas.
30 Tradução livre a partir da URL http://opm3online.pmi.org/Overview.aspx acessada às 17h: 40min em 17/10/2007.
76
Se uma organização decidir embarcar no caminho para uma maturidade superior, o
elemento APERFEIÇOAMENTO, também acessível no sítio WEB como uma base
de dados, ajudará a mapear os passos necessários para o alcance de seus
objetivos.
Além da metodologia PRINCE referida anteriormente, o Guia para o Corpo de
Conhecimento de Gerenciamento de Projetos (PMBOK® Guide) também oferece
valiosos recursos, dos quais nenhuma organização deve prescindir.
OPM3 ajudará as organizações a alinhar a conclusão de projetos bem sucedidos
aos seus objetivos estratégicos e compreenderá seu nível de maturidade
organizacional em gerenciamento de projetos.
O mais importante para as organizações que desejam aperfeiçoar seu nível de
maturidade organizacional em gerenciamento de projetos, é que OPM3 provê
orientação para ajudar as organizações a planejar seus projetos, no sentido de
aprimorar sua maturidade, enquanto preserva recursos.
Benefícios do Padrão OPM3
1. Avançar objetivos estratégicos
OPM3 provê um caminho para o avanço dos objetivos estratégicos de uma
organização por meio da aplicação dos princípios e práticas de gerenciamento de
projetos, ligando o abismo entre a estratégia e os projetos individuais.
2. Compreensão das Melhores Práticas
OPM3 provê um corpo abrangente de conhecimento recomendando o que constitui
as Melhores Práticas dentro do gerenciamento dos projetos organizacionais.
3. Identificar a maturidade:
OPM3 assiste uma organização com a identificação de qual é a situação atual da
maturidade organizacional em gerenciamento de projetos e, ainda, forma uma base
de decisão quanto a perseguir ou não o aprimoramento por Estágio e Domínio.
77
4. Planejar atividades de aprimoramento:
OPM3 assiste às organizações com a priorização e planejamento das atividades que
devem suportar o processo decisório.
Possibilidades OPM3
1. Gerenciamento de Desempenho
OPM3 facilitará o desenvolvimento de capacidades que ajudarão os usuários e suas
organizações a navegar o processo de gerenciamento de desempenho ao longo do
tempo.
2. Expansão da Linguagem
O conceito de maturidade organizacional em gerenciamento de projetos expandirá o
léxico da ciência de gerenciamento.
3. Oportunidades para o diálogo
OPM3 criará novas oportunidades para diálogo entre os profissionais de
gerenciamento.
2.3.8 O PADRÃO PARA GERENCIAMENTO DE RISCOS (ERM)
Além do M_o_R referido anteriormente, o modelo Evaluation Risk Management
(ERM) do ISACA/ITGI também documenta a abordagem de gerenciamento de riscos
da organização. Há cinco principais componentes do Modelo:
1. Fundamentação dos Riscos (Risk Foundation):
a) articular e abordar a política ERM da organização;
b) determinar e atualizar as orientações de risco;
c) estabelecer papéis e responsabilidades de alto nível;
d) prover relatórios e diretrizes de comunicação dos riscos.
78
2. Identificação dos Riscos (Risk Identification):
a) identificar e monitorar riscos emergentes e existentes que tenham algum
impacto na estratégia da organização;
b) executar entrevistas, supervisão, etc. para identificar riscos;
c) atualizar o modelo de riscos e suas definições;
d) identificar e comunicar oportunidades disponíveis.
3. Controle de Riscos (Risk Assessment):
a) priorizar riscos baseado em impacto e semelhança;
b) identificar riscos de elevada prioridade confrontados pela organização;
c) reportar os riscos de elevada prioridade ao CEO e ao Conselho.
4. Resposta aos Riscos (Risk Response):
a) identificar o proprietário do risco;
b) determinar a abordagem de resposta aos riscos;
c) executar análise da resposta aos riscos;
d) identificar as recomendações de resposta aos riscos;
e) obter aprovação para os planos de ação de resposta aos riscos.
5. Avaliação e Monitoramento (Evaluation & Monitoring):
a) monitorar o estado de implantação dos itens de ações de resposta aos riscos;
b) atualizar as respostas aos riscos, quando necessário;
c) avaliar periodicamente a efetividade do modelo ERM;
d) atualizar o modelo ERM, quando necessário.
2.3.9 O PADRÃO PARA GESTÃO DO CONHECIMENTO (GED E WORKFLOW)
A gestão do conhecimento é uma abordagem fundamental para a retenção do
capital intelectual das organizações, especialmente aquelas dependentes da
tecnologia da informação, cujos profissionais são sujeitos a um alto índice de
79
rotatividade (turnover), o que torna tais instituições altamente vulneráveis à perda de
conhecimento técnico específico e relevante à continuidade de seus processos.
Segundo BALDAM (2007), os principais benefícios da adoção das ferramentas de
Gestão Eletrônica de Documentos (GED) e Workflow são:
� Agrega valor de fato aos objetivos da organização.
� Possui maior aceitação, apoio e fluidez para expandir a solução.
� Possui aderência imediata para que todos os colaboradores ajudem na
gestão e ainda sejam beneficiados com isso.
� Estar alinhado ao propósito das organizações.
� Estar informado de como proceder para garantir recursos.
� Poder auditar processos para saber se o Gerenciamento de Documentos
atende à demanda ou se há falhas a serem corrigidas ou ainda melhorias a
propor.
Neste sentido, além dos citados até aqui como essenciais, convém considerar
padrões internacionais de referência em termos de documentação. Portanto, não
menos importantes são os padrões relativos à documentação das bibliotecas
eletrônicas, cuja referência internacional segue abaixo:
A combinação destes dois fatores torna o ambiente propício à elaboração e à publicação da Norma Internacional ISO 11620 - Indicadores de Desempenho para bibliotecas tradicionais (ISO, 1998, 2003a) e, posteriormente, da Norma Internacional ISO 20983 – Indicadores de Desempenho para bibliotecas eletrônicas (ISO, 2003b). Salienta-se aqui o fato de que, após o surgimento da Norma Internacional ISO 11620, ficou muito claro o fato de que a referida norma não atendia as exigências impostas por uma nova ordem de bibliotecas: as bibliotecas eletrônicas. Para amenizar este problema, a União Européia auspiciou o denominado Projeto EQUINOX (EQUINOX, 1999; BROPHY et al, 2000; BROPHY et al, 2001 Apud ROZADOS, 2005).
Ainda conforme BALDAM, os fatos atestam que:
� Parece ser consenso, tanto dentro como fora do Brasil, que há escassez de
recursos para arquivos permanentes.
80
� A maioria do pessoal que trabalha somente com arquivos não trabalha em
nível de visão de negócio.
� Os investimentos para este serviço não tem retorno financeiro, salvo
exceções.
� Os investidores preferem outro tipo de abordagem.
� A maioria dos documentos de que precisamos são recentes.
Conseqüências desta abordagem no gerenciamento de arquivos intermediários e
permanentes:
� Haverá folga de equipamentos, pois os equipamentos têm de ser projetados
para períodos de pico.
� As tecnologias envolvidas “engolem”, com muita sobra de características
técnicas, as soluções de arquivos intermediários e permanentes.
� A maior preocupação do passado que era custos com mídias digitais e a
perenidade das mesmas não tem mais fundamentos hoje.
� Os trabalhos já possuirão aceitabilidade e mesmo documentos ainda não
digitalizados dos arquivos permanentes podem ser feitos sob demanda. Ou
seja, o usuário sempre terá seu documento de forma eletrônica.
81
3. CONTEXTO ATUAL
3.1 TENDÊNCIAS TECNOLÓGICAS
Segundo Artigo assinado por SOARES, E. (2007), os investimentos em segurança
da informação apresentam-se crescentes, assegurando maior confiabilidade aos
usuários da Internet:
O aumento da confiança dos brasileiros nas transações pela internet contribui para o avanço das vendas on-line. Em 2006, mais de 6,5 milhões de pessoas compraram pela internet. Atualmente, são altos os investimentos realizados em segurança. A utilização de eficazes sistemas contra fraudes aumentou o índice de confiabilidade na rede de tal maneira que, até mesmo, o governo estimula a transferência de dados sigilosos pela internet. (SOARES, E., 2007).
Por fim, o trabalho dos Correios também pode ser considerado um dos propulsores
do comércio on-line nacional. Em entrevista à revista Época, de 16/6/2007, o
presidente da Câmara Brasileira de Comércio Eletrônico, Sr. Manuel Mattos,
afirmou:
Os Correios deixaram de ser uma empresa que só entrega correspondências para virar uma das mais importantes empresas de logística do mundo. (ECT, 2007).
Em tal contexto, ainda segundo nos relata SOARES, E. (2007), as tendências
tecnológicas do cenário para o futuro próximo são identificadas a partir do aumento
das ameaças cibernéticas e as necessidades de adequação às novas
regulamentações que pedem adoção das melhores práticas de gestão em TI,
obrigando as organizações a investir mais em sistemas de Segurança da Informação
(SI).
Entre as novidades estão os sistemas integrados dotados de maior inteligência para
controlar a rede de ponta a ponta e barrar visitantes estranhos logo na porta de
entrada, evitando que eles se espalhem pelos computadores da empresa.
A nova safra traz ainda aplicações para colocar lacre nas portas USB e autenticar
dispositivos sem fio (Wireless) que acessam a companhia remotamente.
82
As seis tendências apontadas por uma pesquisa da IDC, que revelou que a América
Latina gastaria US$ 42 bilhões em TI só em 2007, representando um aumento de
12,8% sobre o montante de 2006, ou seja, quase o dobro da média mundial de
investimento projetada (6,7%), são:
3.1.1 VIRTUALIZAÇÃO
A América Latina caminha para o modelo Dynamic IT para aprender a usar melhor
sua infra-estrutura de hardware, software e serviços. Por isso a virtualização, que
permite processar vários sistemas operacionais em uma mesma máquina, é uma
das prioridades das companhias para 2007.
3.1.2 CONVERGÊNCIA
A tecnologia Voz sobre Internet Protocol (VoIP) ganhará espaço nas empresas de
médio porte. Outro serviço que terá destaque é o triple play, pacote que une banda
larga e telefonia fixa e móvel;
Arquitetura Orientada a Serviços (SOA) – Projetos saem da gaveta para suportar
aplicações de missão crítica dentro das grandes empresas.
3.1.3 OFFSHORE DE TI
A América Latina é considerada uma das opções das empresas internacionais para
prover serviços de tecnologia por causa do custo de mão-de-obra competitivo. O
Brasil é um dos candidatos a exportar serviços, principalmente para o segmento
financeiro, que é uma de suas habilidades.
3.1.4 INFORMAÇÃO INTELIGENTE
As empresas vão recorrer mais aos programas de Business Intelligence (BI) e
Business Process Management (BPM) para integrar informações que ajudam na
tomada de decisão.
83
3.1.5 SERVIÇOS GERENCIADOS
Estão em alta e estimou-se que iriam movimentar US$ 1 bilhão na América Latina
em 2007. O segmento será disputado pelas operadoras de telefonia, os
fornecedores de tecnologia e os provedores de rede.
Mais especificamente relacionadas a TI, afloram as seguintes tendências
preferenciais:
Quando perguntados para quais aspectos da gestão global de riscos de negócios as redes IP terão o papel mais crítico, 45,9% dos executivos brasileiros escolheram a alternativa ‘Assegurar o fluxo contínuo de informações operacionais para gerentes seniores em importantes áreas de risco’. Para 32,4% deles a opção mais relevante é ‘Viabilizar a monitoração contínua das atividades globais de logística, precavendo-se contra interrupções na cadeia de suprimento’. Em terceiro lugar, com 27% das respostas, vem ‘Dar suporte a planos de continuidade de negócios no caso de emergências.’ (AT&T, 2007).
Relativamente ao BI, o diretor de manufatura do SAS Institute, Ivan Pezzolli, diz que
a demanda por projetos de pesquisa operacional começa a ressurgir com a
consolidação do ciclo dos sistemas de gestão empresarial (ERPs).
Isso porque as empresas possuem todas as informações necessárias para
determinar as variáveis a serem estudadas.
O Business Intelligence (BI) também já é realidade em muitas empresas, então nós já temos relatórios prontos e datawarehouses com informações ricas a serem utilizadas. (...) A pesquisa operacional, mais o conceito que chamamos de Business Analytics é a evolução do BI (Pezzolli Apud LOPES, F., 2007).
Ainda, segundo PEZZOLLI, um grande problema é que, em muitas empresas,
alguns processos ainda estão somente na cabeça do programador, o que pode
impedir, inclusive, a continuidade do negócio.
Com a implantação de uma solução de pesquisa operacional, essa questão acaba se resolvendo, porque se cria uma formalização dos processos de decisão para que tudo fique devidamente exposto dentro da modelagem dos dados que precisa ser utilizada nas previsões e simulações. Isso acaba deixando a gestão da empresa muito mais transparente (Pezzolli Apud LOPES, F., 2007).
84
3.2 INTEGRAÇÃO DE FRAMEWORKS
Os Modelos Integrados de Gestão tem por objetivo possibilitar as diversas visões da
empresa nos níveis estratégico, tático e operacional, a saber: Organização, Dados,
Processos e Funções.
Consideradas as tendências e os padrões internacionais elencados anteriormente, o
Estado da Arte em Governança Corporativa será alcançado quando for possível, de
fato, a integração entre os diversos frameworks (COSO, COBIT, SOX, etc.) e sua
correspondência com os normativos internos e com os requisitos da legislação local
aplicável.
O IT Governance Institute (ITGI) já está atuando nessa direção, conforme se
depreende do cubo a seguir, cujo escopo busca justamente integrar os frameworks
COSO, COBIT e SOX:
INTEGRATING FRAMEWORKS (ITGI, 2007)
FIGURA 11: INTEGRAÇÃO DOS FRAMEWORKS
85
Conforme o ITGI (2007) a intenção é explicar, aos usuários de negócios e aos
gerentes de alto nível, o valor das melhores práticas de TI e como sua
harmonização, implantação e integração podem ser feitas de modo mais fácil.
Os direcionadores de Negócio e o uso das melhores práticas
As melhores práticas de TI tornaram-se significativas devido a um número de
fatores:
a) Os gestores de negócios e os Corpos Diretivos demandam melhores retornos
dos investimentos em TI, i.e., que a TI entregue o que os negócios precisam para
agregar valor para os acionistas;
b) Concernentes ao nível geralmente crescente das despesas com TI;
c) A necessidade de atender aos requisitos regulatórios para os controles de TI em
áreas como privacidade e relatórios financeiros (por exemplo: a Lei Sarbannes-
Oxley) e em setores específicos como finanças, farmacêuticos e de cuidados
com a saúde;
d) A seleção de provedores de serviço e do gerenciamento dos serviços
terceirizados e de aquisição;
e) Riscos crescentes e complexos relacionados a TI, como a segurança de redes;
f) Iniciativas de governança de TI que incluem a adoção dos frameworks de
controle e as melhores práticas para monitorar as atividades críticas de TI, com
vistas a aumentar o valor e reduzir riscos para os negócios;
g) A necessidade de otimizar custos pela adoção, onde seja possível, de padrões,
mais do que de abordagens especialmente desenvolvidas;
h) A maturidade crescente e a conseqüente aceitação dos frameworks melhor recomendados como ITIL®, CobIT®, ISO® 17799, ISO 9002, CMM®, Project in Controlled Environments (PRINCE), Managing Succesful Programs (MSP), Management of Risk (M_o_R®) and Project Management Body of Knowledge (PMBOK®);31
31 COPYRIGHT NOTICE. Copyright © 1997 CPA Journal's and/or its suppliers, 530 Fifth Avenue, New York,
NY 10036 U.S.A. All rights reserved. Vide também Aligning COBIT®, ITIL® and ISO 17799 for Business Benefit A Management Briefing from ITGI and OGC
TRADEMARKS. Microsoft, Windows, Windows NT, MSN, The Microsoft Network and/or other Microsoft products referenced herein are either trademarks or registered trademarks of Microsoft.
86
i) A necessidade das organizações acessarem o status do seu desempenho em
relação aos padrões geralmente aceitos em referência aos seus pares
(benchmarking);
j) Declarações de analistas recomendando a adoção das melhores práticas, por
exemplo: ferramentas frameworks fortes são essenciais para assegurar que os
recursos de TI estão alinhados com os objetivos de negócio da empresa, e que
os serviços e as informações atendem às necessidades de qualidade, fiduciárias
e de segurança.
CobIT e ITIL não são mutuamente exclusivos e podem ser combinados para prover
poderosas governança, controles e estruturas de melhores práticas no
gerenciamento dos serviços de TI.
As empresas que queiram colocar seu programa ITIL dentro do contexto de uma
estrutura de governança e de controle mais abrangentes devem usar CobIT.
Desafios Atuais
O crescimento no uso dos padrões e melhores práticas cria novos desafios e
demandas para guiar a sua implantação:
a) Criação da vigilância dos propósitos do negócio e dos benefícios dessas práticas;
b) Suporte ao processo decisório em que práticas usar e como integrá-las com as
políticas e procedimentos internos;
c) Formatação para atender a requisitos específicos da organização (GARTNER,
2002).
Melhores Práticas provêm muitos benefícios
Conforme o ITGI (2003), a adoção efetiva das melhores práticas pode prover muitos
benefícios, especialmente na área da tecnologia avançada e isto inclui:
� Evitar reinvenção da roda;
� Reduzir dependência dos especialistas em tecnologia;
Outros nomes de produtos e de empresas mencionados podem ser marcas registradas de seus respectivos proprietários, pelo que todos os direitos são reservados.
Quaisquer direitos não expressamente liberados no contexto são reservados.
87
� Incrementar o potencial para utilizar pessoal menos experiente, se
propriamente treinado;
� Tornar mais fácil a elevação da assistência externa;
� Superar feudos verticais e comportamentos de inconformismo;
� Reduzir riscos e erros;
� Aumentar a qualidade;
� Aumentar a habilidade para gerir e monitorar;
� Aumentar padronização levando a redução de custos;
� Aumentar a confiabilidade e a confiança dos gestores e parceiros;
� Criar respeito dos reguladores e outros revisores externos;
� Salvaguardar e prover valor.
A Aderência às melhores práticas também ajuda a fortalecer as relações entre
fornecedores e clientes, torna as obrigações contratuais mais fáceis de monitorar e
exigir e aumenta a posição de Mercado daqueles provedores de serviço vistos como
conformes com os padrões aceitos, tais como a BS 15000.
Estruturas Hierárquico-Funcionais
As empresas Estatais brasileiras, herdeiras de um legado autocrático militar,
mantêm-se ainda atreladas ao modelo funcional hierárquico e, embora pressionadas
pela realidade das mudanças conjunturais que exigem agilidade e flexibilidade nas
decisões, ainda são fortemente acopladas a uma cultura de defensividade funcional.
Esta postura tradicional tem se prestado como um recurso de manutenção de
pessoas representativas de interesses corporativos em estruturas organizacionais
hierarquizadas e burocratizadas, conseqüentemente, lentas e ineficientes, inclusive
na conclusão de importantes processos de apuração de responsabilidades.
88
A cultura organizacional é, também, fator determinante no resultado das ações e
projetos empresariais, pois pode comprometer ou viabilizar a estratégia empresarial
adotada.
Há, portanto, necessidade de se aferir o grau de maturidade em gerenciamento de
projetos, bem como o estilo estrutural da organização, previamente à implantação de
um Escritório de Projetos e à introdução de Soluções Integradas de Gestão
Empresarial.
Uma estrutura organizacional pode ser: funcional, matricial (que possui variações) e por projeto. De acordo com o tipo de estrutura funcional, a disponibilidade de recursos será limitada, bem como a autoridade do gerente de projetos. (PMA®32, 2005).
Pode-se fazer um paralelo metafórico da evolução tecnológica (especialmente a
telemática) com as diferentes estruturas organizacionais, posto que ambas refletem
a adoção da Teoria Geral de Sistemas, concebida inicialmente por Ludwig Von
Berthalanfy como um modelo pedagógico do funcionamento biológico.
Para tanto e a título ilustrativo, abordaremos a seguir alguns conceitos básicos sobre
a arquitetura das redes e dos sistemas computacionais.
A evolução tecnológica e a conseqüente diminuição dos custos dos computadores tornou cada vez mais atraente a distribuição do poder computacional em módulos processadores localizados em diversos pontos de uma organização. A necessidade de interconexão desses módulos processadores, de forma a permitir o compartilhamento de recursos de hardware e software e a troca de informações entre seus usuários, criou o ambiente propício para o desenvolvimento das Redes de Computadores. (SOARES, 1995).
Como no processo de evolução tecnológica, também nos modelos organizacionais
as ferramentas estão disponíveis. O que falta, no mais das vezes, é vontade política
dos gestores para “virar a própria mesa” (SEMLER,1988) e fazer as coisas
acontecerem, ou seja, atuar proativamente ao invés de reativamente.
32 Professional Management.
89
Ferramentas de Suporte Automatizado
Sistemas de Gerenciamento dos Processos de Negócio em Rede (BPMNS ARIS®33,
INTALIO®34)
Uma visão integrada: O nível estratégico da organização visualiza, “fica de olho” no
negócio, o nível tático pensa o negócio e o nível operacional “põe a mão na massa”
e operacionaliza o negócio.
© IDS Scheer AG www.ids-scheer.com
Business Process Excellence - Arquitetura
FIGURA 12: ARQUITETURA DE EXCELÊNCIA DOS PROCESSOS DO NEGÓCIO
Outro aspecto extremamente importante na relação do PMO com a gestão do conhecimento, além da própria sedimentação de boas práticas e processos na condução dos projetos em si, diz respeito a uma avaliação da maturidade da empresa no gerenciamento de projetos. Da mesma forma que o envolvimento da alta gerência é condição mandatária para que se desenvolva a gestão do conhecimento, vale o mesmo raciocínio para o desenvolvimento da maturidade no gerenciamento de projetos. Uma das formas explícitas de manifestação desse apoio é através do estabelecimento (ou até do empoderamento) de um Escritório de Projetos, que será competente para avaliar o estágio atual da empresa e conduzir o seu processo de amadurecimento, por exemplo, promovendo e
33 IDS Scheer AG, "ARIS", "IDS" and the "Y" Symbol are registered trademarks of IDS Scheer AG, Saarbrücken: 2006.
34 Intalio, Intalio|BPMS, Intalio|Designer, Intalio|Server, Intalio|Workflow, are trademarks or registered
trademarks of Intalio, Inc. BPML is a trademark of the Business Process Management Initiative. Java is a trademark of Sun Microsystems, Inc. XML is a registered trademark of the World Wide Web Consortium. All other names are trademarks or registered trademarks of their respective owners.
90
coordenando a aplicação de um modelo de maturidade (CMMI, PMMM, OPM3, etc). (NEGREIROS, 2007).
3.3 O CASO ECT
No site institucional dos correios, tem-se um interessante relato histórico da ECT, do
qual se reproduz abaixo um extrato, com vistas a situar o leitor no contexto da
organização postal brasileira.
Com o desenvolvimento dos setores produtivos do Brasil tornou-se necessária a reorganização do serviço postal em torno de um modelo mais moderno que o do antigo Departamento de Correios e Telégrafos (DCT), que não apresentava infra-estrutura compatível com as necessidades dos usuários.
Nesse sentido foi criada, em 20 de março de 1969, pela Lei nº. 509, a Empresa Brasileira de Correios e Telégrafos (ECT), como empresa pública vinculada ao Ministério das Comunicações.
O surgimento da ECT correspondeu a uma nova postura por parte dos poderes públicos com relação à importância das comunicações e, particularmente, dos serviços postais e telegráficos, para o desenvolvimento do País.
O ciclo de desenvolvimento ocorrido na década de 70 correspondeu a novas necessidades de uma clientela que, pouco a pouco, viu as distâncias serem encurtadas e percorridas graças ao serviço postal, que se estruturou e passou a desenvolver e oferecer produtos e serviços de acordo com a realidade do mercado e as necessidades de sua clientela.
Ao mesmo tempo, nesse período a ECT consolidava seu papel como importante agente da ação social do Governo, atuando no pagamento de pensões e aposentadorias, na distribuição de livros escolares, no transporte de doações em casos de calamidade, em campanhas de aleitamento materno, no treinamento de jovens carentes e em inúmeras outras situações em que se demonstra sua preocupação com o bem-estar da sociedade.
Paralelamente, a partir de 1980 se intensificava a preocupação com a ação cultural e o desenvolvimento de ações voltadas à preservação do patrimônio cultural do Brasil, sobretudo no que se refere à memória postal. (ECT, 2007).
Diante de tantos desafios, a instituição Correios no Brasil necessita ajustar
continuamente seus processos empresariais às demandas sociais e de mercado, de
modo a balancear rentabilidade e responsabilidade social, sem o que seu
desempenho estará comprometido.
91
Em palestra proferida no Centro de Informática do Exército (CITEX), por ocasião da
MOSTRA DE SOLUÇÕES EM INFRA-ESTRUTURA DE TI (agosto de 2007), o
representante da Empresa Brasileira de Correios e Telégrafos (ECT) descreveu o
processo de implantação da Governança de TI nos Correios Brasileiros.
Na ocasião, mencionou-se o ponto de partida a partir do CobIT como tendo derivado
de iniciativa de vanguarda da área de auditoria, embora levado a efeito pela área de
tecnologia, cujo principal viés tem sido a conscientização e o treinamento, incluindo
as demais áreas da organização.
3.3.1 ESTRUTURA ORGANIZACIONAL
A questão da renovação mostra como é arriscado para uma empresa ficar presa aos
seus modelos mentais, a sua atual base de conhecimentos, e depender de um único
conjunto de competências essenciais.
Para a inclusão da renovação estratégica nos projetos de Balanced Scorecard, a
formulação de algumas questões pode ser de grande utilidade, como é mostrado na
Tabela constante na página a seguir:
92
Estabilidade: A Estratégia Atual
Foco no Curto Prazo
Renovação: A Estratégia Emergente
Horizonte de 5 a 10 anos
• Que segmentos de clientes a
empresa está servindo
atualmente?
• Que novos segmentos de clientes
a empresa estará servindo no
futuro?
• Qual é a atual proposição de
valor para os clientes?
• Que inovações serão introduzidas
na futura proposição de valor?
• Qual é a base da vantagem
competitiva da empresa hoje?
• Qual será a nova base da
vantagem competitiva da empresa
no futuro?
• Quem são os concorrentes de
sua empresa hoje?
• Quem serão os concorrentes de
sua empresa e os prováveis
novos entrantes no mercado, no
futuro?
• Que competências essenciais
tornam a empresa diferenciada
no mercado?
• Que competências essenciais
precisarão ser desenvolvidas para
tornar a empresa única no
mercado, no futuro?
• Através de que canais a empresa
atinge os clientes hoje?
• Através de que canais a empresa
atingirá os novos clientes no
futuro?
• De que rede de valor a empresa
participa hoje?
• De que novas redes de valor a
empresa irá participar no futuro?
Fonte: Adaptado de Gary Hamel e C.K. Prahalad (APUD HERRERO, 2005).
TABELA 5: FOCO ESTRATÉGICO E ESTRUTURA ORGANIZACIONAL
93
Até agosto de 2007, a empresa pública detentora do monopólio postal no Brasil, a
ECT, esteve estruturada em três níveis decisórios (estratégico, tático e operacional),
respectivamente representados pelas seguintes unidades organizacionais: Diretoria,
Departamento e Divisão.
Subsidiariamente, havia ainda um nível consultivo, representado pelas Assessorias e
Consultorias, e um nível de apoio técnico-administrativo, representado pelas
Coordenações técnico-administrativas. A conseqüência mais emblemática era que
cerca de 30 pessoas se reportavam diretamente ao Presidente da Empresa.
Em setembro de 2007, a Diretoria e o Conselho de Administração da ECT
aprovaram um ajuste organizacional focado estrategicamente na Administração
Central, que redirecionou seus recursos na busca de expansão auto-sustentável,
fazendo frente às pressões pela valorização dos seus profissionais, inovação de
seus produtos e processos.
No raciocínio Lean35, o cerne é saber quem é o cliente e como se pode atendê-lo. Organizações como o Handelsbanken e a American Express estão diminuindo as camadas na empresa. Isso é importante para o trabalho fluir. Quanto menos camadas, mais produtividade. Todas as organizações podem ser divididas em cinco ou seis grandes processos, como produção, serviço de pós-venda, processamento de dados e outros, segundo ele.
Para isso, de acordo com HOPE, temos de pensar quais os produtos, clientes e processos são lucrativos. As atividades que não agregam valor devem ser terceirizadas. E para saber quais são essas atividades, é necessário saber se elas não vão prejudicar a produção de seus produtos se eliminadas. (HOPE, 2007).
A posteriori, a Empresa comunicou o conjunto de medidas preliminarmente
adotadas, quais foram:
1. Fortalecimento dos princípios de governança corporativa
a) Diretoria focada em atividades estratégicas:
o liderando a busca da sustentabilidade da Empresa;
35 “O Lean Seis Sigma (Six Sigma) é uma poderosa metodologia para melhorar o desempenho através da eliminação do
desperdício e das causas de defeitos nos processos administrativos, processos de produção ou processos de
manufatura.” Disponível em: http://www.can.com.br/p_lss.asp Acesso em 06/05/2008.
94
o concentrando grande parte dos seus esforços no futuro;
o identificando oportunidades de alianças estratégicas, trabalhando no
sentido de os profissionais representarem uma vantagem competitiva.
b) Delegação de responsabilidades para demais níveis hierárquicos, de tal
forma que cada um possa atuar diante das competências que a eles forem
estabelecidas em todos os níveis: estratégico, tático e operacional.
2. Redirecionamento das atividades da Administração Central da ECT para
ações predominantemente estratégicas e táticas.
a) Implantação do conceito de Centros de Serviço.
b) Separação das atividades transacionais e operacionais das táticas e
estratégicas, preparando-as para realocação futura.
Neste contexto, a imprensa (SINOPSE, 2007) tem divulgado medidas, ainda em
estudo, no sentido da abertura de capital com lançamento de ações no mercado,
criação de uma empresa de logística de transporte aéreo e terrestre e uma parceria
público-privada para absorção do Banco Postal.
3. Inserção da inovação como elemento-chave de gestão, iniciando este
processo com a criação de um órgão corporativo de inovação empresarial.
a) Foco no horizonte de longo prazo.
b) Busca de novas oportunidades e novas soluções em gestão e em
negócios.
4. Adequação do modelo remuneratório, com a implantação de um modelo de
carreira técnica.
a) Organização da carreira técnica paralelamente à carreira gerencial.
b) Criação de horizontes de desenvolvimento profissional dentro da
organização, com inserção de mecanismos no novo Plano de Carreiras,
Cargos e Salários (PCCS) e nas demais normas internas.
5. Modelo organizacional mais leve e ágil nas decisões.
a) Redução de níveis hierárquicos;
95
b) Redução do número de órgãos;
c) Redução de custos decorrentes da gestão de conflitos e demora nas
decisões.
6. Estrutura organizacional mais flexível, permitindo maior liberdade para
adaptação às mudanças e às estratégias da Empresa.
a) Cada área definirá sua estrutura para responder à sua função diante da
missão da ECT;
b) A estrutura proposta deverá limitar ao orçamento de funções de cada área
e aos parâmetros estabelecidos.
3.3.2 GOVERNANÇA DE TI NA ECT
FIGURA 13: CONTEXTO DA GOVERNANÇA DE TI NA ECT (SOUZA N., 2007)
A estrutura da Diretoria de Tecnologia e de Infra-estrutura (DITEC), criada em 2004,
foi desenvolvida, tendo a Governança de TI (CobIT) como um dos seus pilares. O
trabalho iniciou-se com palestras de sensibilização e conscientização, a partir do
apoio da alta administração, cuja percepção era de que a solução de certos
problemas só viria com uma abordagem sistêmica e integrada.
Consoante o depoimento colhido (ANEXO B) do gestor da então Coordenação de
Integração de Projetos com suporte de TI na ECT, a DITEC tem como missão
GOVERNANÇA DA EMPRESA
GOVERNANÇADA TI
INTEGRAÇÃO E
ATENDIMENTO
INFRA-ESTRUTURA
ESISTEMAS
GESTÃO DE RISCOSERM
CONFORMIDADE
MERCADO / GOVERNO
CLIENTES
ÓRGÃOSREGULA-DORES
FORNECE-DORES
CIDADÃO
ALINHAMENTO
OBJETIVOS ESTRATÉGICOS
NEGÓCIOS
SEGURANÇA
96
coordenar as ações de tecnologia da informação e as ações de engenharia,
objetivando dar o devido suporte tecnológico ao modelo de negócios e ao modelo
operacional da Empresa, bem como propor a inserção de novas tecnologias, como
fruto de um trabalho de prospecção, identificação e adaptação dessas tecnologias
para o ambiente da ECT.
FIGURA 14: ESTRUTURA DE TI NA ECT
Dos 50 colaboradores certificados em CobIT e ITIL na DITEC, 25 eram CobIT e 30
ITIL em 2007, porém ainda era difícil dizer o percentual de “implantação” dos
frameworks, visto que eles não são estruturas que ditam regras, mas apenas
sugestões de melhores práticas que devem ser adaptadas à realidade da empresa.
Embora os sistemas mais antigos e os legados não estejam ainda conformes, a
DITEC segue a metodologia interna do Programa de Software Padrão da
Organização (PSPO) para o desenvolvimento de sistemas, aderente à Norma
internacional NBR ISO/IEC 12207: Tecnologia da Informação, Processos de Ciclo de
Vida de Software.
97
O estágio atual de implantação das melhores práticas ITIL na ECT contempla:
Projeto de Serviços e Gerenciamento de Processos:
• Service Level Agreement (SLA),
• Gerência de segurança,
• Gerência de disponibilidade e contingência,
• Relatórios de serviço,
• Gerência de capacidade e gerência financeira,
Processos de Controle:
• Gerência de ativos; e
• Gerência de configuração,
Processos de Liberação (Gerência de Mudanças)
Processos de Suprimento:
• Gerência de relacionamento com clientes; e
• Gerência de suprimentos,
Processos de Resolução:
• Gerência de incidentes; e
• Gerência de problemas.
Atualmente, a Empresa está em fase de implantação das Gerências de Incidentes,
Problemas, Configuração e Mudanças, além da função Service Desk.
Quanto ao COBIT, todos os 34 processos e respectivos objetivos de controle, que
têm observância nas atividades da ECT, estão implantados na DITEC.
Alguns processos tem maior maturidade, outros menor, porém esses controles ainda
não são monitorados de forma automatizada e o grau de integração dos sistemas
com o ERP é incipiente, embora haja uma iniciativa em disponibilizar os processos
operacionais das áreas em Data Warehouse (DW).
98
FIGURA 15: CONTEXTO DA GOVERNANÇA DE TI NA ECT
Os principais benefícios da implantação da Governança de TI nos Correios são a melhoria dos controles internos e o efetivo alinhamento das ações da Área de Tecnologia com a gestão empresarial e os negócios da ECT. As metodologias e os modelos só têm aplicabilidade quando interpretados à luz da cultura da organização (Souza Neto, 2007).
O alinhamento de todos os processos e atividades relevantes aos objetivos
estratégicos da organização deverá ser monitorado mediante a utilização de um
painel de indicadores para cada dimensão do Balanced ScoreCard, integrando os
domínios do CobIT como o padrão da Governança de TI.
99
FIGURA 16: MAPEAMENTO BSC CORPORATIVO-COBIT-BSC DA TI
3.3.3 AUTO-AUDITORIA NA ECT
Consiste na verificação dos controles por parte dos próprios gestores das atividades
e contempla as Interseções entre o processo de Macroavaliação de Riscos e o
Planejamento Estratégico, assegurando o alinhamento entre processos e atividades
com os objetivos estratégicos da instituição.
Para uma abordagem que induza ao sucesso, como decorrência da natureza
precípua do empreendedorismo, faz-se necessário avaliar cenários, prospectar
mercados, identificar oportunidades e ameaças, e mensurar fatores críticos de
sucesso, bem como os riscos inerentes às atividades do ramo de negócio em que se
pretende atuar.
Neste sentido, técnicas, metodologias e práticas são componentes indispensáveis
ao curso de ação dos administradores, tendo em vista o grau de incerteza em que se
desenvolve o processo decisório, em ambiente crescentemente competitivo e, não
raro, hostil à livre iniciativa dos que ousam amealhar fatias ou nichos de mercado
onde há pluralidade de interesses, nem sempre conciliáveis.
O Cronograma de Atividades de Auditoria é a peça do Plano Estratégico de Auditoria Interna que relaciona, em ordem temporal,
100
as auditorias a serem realizadas dentro do período compreendido pelo Ciclo de Auditoria. (SOUZA, 2006).
Como peça importante deste ferramental, no contexto da Auditoria Interna, a técnica
de macroavaliação de riscos tem como ponto de partida o planejamento estratégico
da organização, pois deriva dos objetivos organizacionais e busca um constante
alinhamento com estes ao longo de todo o processo de identificação, classificação e
priorização dos riscos a serem mitigados por meio de mecanismos de controle
específicos.
O processo de Macroavaliação de Risco visa subsidiar o Plano Estratégico de Auditoria, dando ao auditor meios para alocação sistemática dos seus recursos em segmentos da organização que mais se beneficiariam com a realização de auditorias. Importante lembrar que uma das características fundamentais do planejamento como função administrativa é a flexibilidade. Portanto, o Plano Estratégico de Auditoria não deve ser tomado como uma peça imutável. Pelo contrário, deve ser constantemente ajustado ao longo do Ciclo de Auditoria quando da elaboração dos planos tático e operacional. (SOUZA, 2006).
A dinamicidade do ambiente empresarial, do mercado e da própria sociedade é a
razão pela qual a flexibilidade dos instrumentos utilizados no planejamento das
atividades deve conferir rápida adaptabilidade e a conseqüente exeqüibilidade ao
planejamento traçado, tangenciando todos os seus desdobramentos: estratégico,
tático e operacional.
Isto posto, percebe-se que há íntima correlação entre a Macroavaliação de Risco e o
Planejamento Estratégico, no sentido de viabilizar o alinhamento de todas as
atividades, especialmente as táticas e operacionais, à consecução dos objetivos
empresariais, mitigando riscos e potencializando oportunidades.
Há, no entanto, um equívoco muito comum quando se atribui essa tarefa a um órgão
de auditoria interna ou de compliance, desonerando os gestores da responsabilidade
imediata na verificação e instituição de controles sobre os processos e atividades de
sua competência.
A auto-auditoria consiste na iniciativa primária do próprio gestor em verificar e
instituir controles que lhe assegurem o alinhamento de seus processos e atividades
aos objetivos da organização.
101
Conforme o depoimento do Auditor responsável pela coordenação das auditorias de
TI (ANEXO A), detentor de Certificação DNV de Auditor Lider em BS-7799, estão em
processo de certificação CobIT Foundation três dos cinco colaboradores da área de
Auditoria Interna na ECT.
Foi contratada uma consultoria pela área de TI que trabalhou na identificação dos
processos e no tratamento da maturidade de cada um dos processos em TI, porém
ainda não existem processos nem mecanismos de avaliação de controles internos
na área de auditoria com relação ao framework COSO.
No entanto, a partir do ano 2000 foram envidados esforços no sentido de estruturar
a auditoria de Tecnologia da informação na Empresa. Foram treinados auditores
para viabilizar a empreitada. Os treinamentos foram baseados no framework CobIT.
No ano de 2001, foi feito um planejamento de auditoria que previu a realização de
auditorias utilizando-se dos domínios do CobIT. As auditorias foram realizadas com
sucesso no ano de 2002.
Posteriormente, coube à auditoria alavancar, junto à área técnica, a necessidade da
utilização do framework CobIT como a estrutura que prevê as melhores práticas em
nível mundial para o tratamento dos processos de TI.
Ratificando informação anterior, a área técnica “comprou” a idéia e, a partir do ano
de 2004, aproximadamente, contratou-se uma consultoria para o levantamento e
identificação de todos os processos de TI e a classificação do nível de maturidade
de cada um dos processos identificados.
Para avaliação dos processos a serem auditados não é utilizado um framework
ERM, as análises são feitas a partir das orientações da Chefia da Auditoria, quando
da elaboração do Plano Anual de Atividades de Auditoria (PAAAI, atual PAINT).
Na fase de planejamento das auditorias, é elaborada uma macro-avaliação dos
riscos. Objetiva-se a realização da micro-avaliação de riscos após a fase de trabalho
de campo.
Na Auditoria Interna da empresa, os processos são divididos em Planejamento,
Trabalho de Campo, Relatório e Acompanhamento (follow-up).
102
Todos os relatórios são elaborados a partir do editor de textos MS Word, podendo
migrar futuramente para a suíte BROFFICE em Software Livre, não sendo possível
precisar em termos percentuais o atual grau de automatização dos processos da
área.
Está em fase de levantamento para desenvolvimento interno com suporte da DITEC,
uma aplicação que poderá automatizar em torno de 95% dos processos e atividades
na Auditoria Interna. Porém tal iniciativa sofreu solução de continuidade com o ajuste
organizacional que fundiu as áreas de auditoria e inspeção em um só Departamento.
Constatou-se a existência de funcionalidades comuns aos sistemas em uso na nova
área, os quais não estão integrados, requerendo esforços (Projeto de integração) da
área de Tecnologia e de Auditoria nesse sentido.
A empresa dispõe da ferramenta de análise de dados ACL, porém as versões do
software estão defasadas e o contrato de manutenção está vencido,
comprometendo o uso eficaz deste recurso para a execução de testes substantivos
de auditoria, principalmente por não haver suporte técnico disponível.
3.3.4 GESTÃO DE PROCESSOS NA ECT
No contexto da ECT, a Governança Corporativa traduz-se na efetiva viabilização de
“procedimentos utilizados pelos representantes dos proprietários (por exemplo, acionistas
etc.) para atribuir responsabilidades sobre riscos e processos de controle administrados
pelas gerências” (DITEC, 2006).
‘Os processos de negócio são definidos como um conjunto de tarefas logicamente relacionadas e executadas para alcançar um determinado resultado. ’ (Davenport and Short, 1990).
Como os vultosos investimentos em sistemas ERP indicam, os processos de negócio são considerados hoje como elementos atômicos fundamentais para a formatação de uma companhia, tanto quanto o inventário de seus ativos físicos ou os empregados o foram anteriormente.
A criação de processos de negócios baseada em benchmarks requer dados irrestritos em um nível altamente desagregado, bem abaixo do nível dos balanços contábeis que são usados na maioria dos procedimentos analíticos de hoje, tais como a análise de taxas ou comparações com os exercícios financeiros anteriores. O teste do conteúdo do fluxo de dados de uma determinada firma contra
103
benchmarks focaliza-se no exame tanto de transações excepcionais quanto de resultados de transações excepcionais. Idealisticamente, os softwares de Auditoria Contínua monitorarão contínua e automaticamente as transações da companhia, comparando suas características genéricas com benchmarks observados e esperados, identificando situações anômalas. Quando discrepâncias significativas ocorrerem, alarmes serão registrados e remetidos aos interessados apropriados.
O objetivo deste projeto é então explorar os benefícios de se usar procedimentos analíticos baseados em processos de negócios para criar um sistema de auditoria contínua ao nível dos dados. (ALLES, 2006).
A Diretoria de Tecnologia e Infra-Estrutura (DITEC) da ECT, na vanguarda das
atuais tendências de governança corporativa e em sintonia com as atuais políticas
de integração dos sistemas de informação do Programa Governo Eletrônico,
adquiriu, em 1997, a ferramenta de gerenciamento de processos de negócios ARIS
Tool Manager, com o objetivo de mapear os processos de TI.
A Assessoria de Planejamento (APLAN, atual DPLAN) da Presidência da empresa
assumiu posteriormente essa atividade com o objetivo de padronizar o uso em todas
as áreas da empresa, sendo que a metodologia, a ferramenta BPM ARIS e o
pessoal a ela alocado foram transferidos da DITEC para aquela APLAN.
A representação dos objetos, então definidos como padrão para serem utilizados na
elaboração dos Modelos, foi elaborada em consonância com a estrutura
organizacional anterior, refletindo uma perspectiva funcional e não a atual orientação
aos processos, recentemente implementada com a adoção do COBIT.
Uma das poucas constantes, no mundo atual, é a transformação tecnológica e organizacional. Hoje mais do que nunca, a rentabilidade e capacidade competitiva de uma organização são determinadas por seus processos. Processos são a fonte de uma gestão transparente, eficiente e inovadora. (IDS SCHEER, 2006)
To decrease unplanned downtime, service-oriented architecture applications need strong life cycle management. There are three aspects of this: organization, process and technology. (GOVEKAR, 2007)
A DITEC emitiu a Portaria PRT/DITEC-13/2006, de 01/06/2006, com vistas à
implantação do Gerenciamento de Serviços de TI por processos, para o que
designou um Grupo de Trabalho composto por um Gerente de Projeto e cinco
gestores de nível tático (Chefes de Departamento), suportados por quatro Equipes
Técnicas, sendo três compostas de sete técnicos cada, e uma por oito
104
colaboradores. Foi, ainda, definido o padrão ITIL como a metodologia a ser seguida
no mapeamento dos processos de gerenciamento de serviços de TI.
Post-project evaluations provide essential feedback for process improvement, yet few organizations successfully complete them on a regular basis. Many organizations struggle to establish the criteria for the review. The solution can be found in the business case and the project plan (SMITH, 2007).
FIGURA 17: PROCESSO
105
Uma das ferramentas de análise de risco do processo, que podem ser utilizadas
para identificar oportunidades de melhoria, é a Matriz de Pontuação – GUT.
PONTOS GRAVIDADE
G
URGÊNCIA
U
TENDÊNCIA
T
5
Os prejuízos
ou dificuldades
são
extremamente
graves
É necessária
uma ação
imediata.
Se nada for feito,
haverá um grande
e imediato
agravamento do
problema.
3
Os prejuízos
ou dificuldades
são graves
É necessária
uma ação o
mais cedo
possível.
Se nada for feito,
haverá um
agravamento do
problema em
médio prazo.
1
Os prejuízos
ou dificuldades
não são
graves
Não há pressa
para agir.
Se nada for feito,
não haverá
agravamento do
problema,
podendo até
melhorar.
TABELA 6: MATRIZ G U T
Ferramentas como esta matriz GUT e outras similares, como a matriz RACI, se
convenientemente aplicadas, podem facilitar o planejamento das auditorias, por
meio da identificação daqueles processos mais relevantes, cujos riscos justifiquem a
alocação das equpes de auditoria, bem como dos responsáveis pela implantação de
controles e da correspondente auto-auditoria em níveis tático-operacionais.
106
Estratégias Corporativas
Especificaçãoda Cadeiade Valor
DecomposiçãoMP/Identificação e
seleção de processo
Modelagemde processo
Definição deindicadores
de desempenho
Análisecrítica deprocesso
Melhoriade processo
Implantaçãode processo
Indicadoresestratégicos
Indicadores deprocessos
Realinhamento Estratégico
FIGURA 18: MODELO (SISTEMOGRAFIA) DE IMPLANTAÇÃO DE PROCESSO NA ECT
107
Melhoria de Processo
Com base nas informações resultantes da análise critica de processo (diagnóstico, a
identificação de oportunidades de melhoria e a definição das intervenções a serem
implementadas), serão desencadeadas as ações e iniciativas de melhoria de
processos na Empresa.
As intervenções de melhoria em processos devem ser precedidas por um
planejamento bem elaborado no sentido de orientar as pessoas envolvidas e definir
os recursos metodológicos e tecnológicos a serem empregados na ação, com base
no ciclo PDCA (Plan, Do, Check e Act.)
As intervenções de melhoria de processos serão apoiadas pelas ferramentas
disponíveis na Empresa [Gerenciamento de Rotinas e Gerenciamento de Melhorias
(GRGM), SEIS SIGMA©, etc.], bem como as demais soluções de mercado que se
apliquem às necessidades e interesses da ECT.
As intervenções de melhoria serão focadas em aumentar os ganhos de
produtividade, eficácia, e redução de tempo e custos de processos.
Um processo que passou pela fase de análise crítica pode, de acordo com as
informações geradas anteriormente e a avaliação da equipe responsável pelo
estudo, ser ou não redesenhado. Remete o redesenho à formatação de um
processo novo, objetivando projetar uma visão futura ideal para substituir ou
aprimorar a solução que estava funcionando antes.
A solução de redesenho é aplicada a um determinado processo visando melhorar a
sua produtividade, eficiência, eficácia e adaptabilidade, definir uma nova forma de
executar as atividades e analisar as demandas de recursos existentes.
Como exemplo, este autor elaborou uma Proposta de Automatização Piloto, Via MS
Outlook, do Processo de Cadastro das Comunicações Internas (CIs) no
Departamento de Rede Corporativa (DERCO) em 2004
108
Gerenciamento de processos
Depois de implantado, o processo deve ser tratado como um recurso valioso da
organização. O seu desempenho deve ser medido, monitorado, acompanhado e
avaliado, e, periodicamente, deverão ser feitas revisões e averiguações para
levantamento de necessidade evidenciadora de ações de manutenção. Estas
iniciativas abrangem a verificação e análise contínua do andamento do processo,
medindo e avaliando sua capacidade, identificando pontos de folga e gargalos.
A gestão de processos empresariais é uma ferramenta de gestão que permite, após
implantação dos processos identificados, mapeados e modelados, avaliá-los e
acompanhá-los no âmbito da organização, visando à excelência nos resultados e
garantia de satisfação ao cliente (gerar excelência para o cliente).
O processo após ser implantado será gerenciado pelo seu dono (responsável) e sua
equipe, previamente designados, apoiados tecnicamente pelo Gestor de Processo e
suporte metodológico.
Os processos depois de implantados passarão a ser gerenciados continuamente
com foco nas variáveis a seguir relacionadas:
a) monitoramento;
b) acompanhamento;
c) avaliação;
d) desempenho (indicadores);
e) melhoria e redesenho de processos.
109
Podemos classificar as ferramentas (aplicativos) de apoio à gestão de processos
como:
a) ferramentas de auxílio gráfico sem referencial metodológico e não baseadas em
banco de dados (Visio, Flowchart, Powerpoint, etc);
b) ferramentas com referências metodológicas, não baseadas em banco de dados
(Flowcharter, Ithink, Microsaint e Visio);
c) ferramentas com referências metodológicas e, ainda, baseadas em banco de
dados (Meta software; KBSI; ARIS© TOOL SET; System Architect, etc). Os
objetos e informações modelados são armazenados de forma organizada em um
banco de dados, garantindo consistência e unicidade.
Ferramentas que atualmente vem sendo utilizadas pela Empresa para suportar
iniciativas vinculadas a processos (mapeamento, modelagem, melhoria, etc.):
a) ARIS© Tool Set;
b) Gerência da Rotina e Gerenciamento de Melhorias - GRGM;
c) SEIS SIGMA©36;
d) Gestão de Produtividade Aplicada aos Correios - GPAC;
e) Sistema de Melhorias de unidades de tratamento - SMEL.
Estas ferramentas serão utilizadas de acordo com a necessidade e a incorporação
da gestão de processo na Empresa.
36 Artigo Os Seis Mitos do Seis Sigma por Celerant Consulting.
110
Implantação daGestão de Processos
Decomposição,Identificação e
seleção processos
Modelagemde processo
Definição deindicadores
de desempenho
Análisecrítica deprocesso
Melhoriade processo
Monitora-mento
Acompanha-mento
Análise eAvaliação
Averiguação/Medição de
desempenho
Processo comproblema
Processo semproblema
Especificaçãoda Cadeiade Valor
Gerenciamentode Processos
Implantaçãode processo
FIGURA 19: PROCESSO DE IMPLANTAÇÃO DA GESTÃO DE PROCESSOS NA ECT
111
4. POSSIBILIDADES
A Auditoria Interna (AUDIT) da ECT está se preparando para automatizar seus
processos internos, com vistas ao máximo aproveitamento das facilidades de acesso
on-line às informações de seu interesse.
Dos demais gestores, em todos os níveis, a partir de suas unidades e processos,
vislumbram-se iniciativas como a da DITEC e da Diretoria Administrativa (DIRAD),
no sentido de implantarem procedimentos automatizados de auto-auditoria e gestão
de processos, que minimizem a necessidade de testes substantivos e agreguem
valor ao negócio multifacetado, especialmente no contexto dos Correios brasileiros,
com o fim de se prepararem e aculturarem seu pessoal para um novo estágio do
controle interno nas organizações.
Do que foi exposto, o que se presume como possibilidades a serem incorporadas de
imediato, guardadas as devidas proporções com a realidade de cada Regional e
Diretoria de Área, é:
4.1 AUDITORIA REMOTA
A empresa ECT dispõe da tecnologia Data Warehouse (DW) e de um Sistema
Integrado de Informações Gerenciais (ERP), potencializando a realização remota de
procedimentos de auditoria, pela via de ferramentas de extração, transformação e
Carga de dados (ETL) que dispensem o deslocamento físico dos auditores,
minimizando custos com tempo (H/H), passagens, hospedagem e diárias.
Além disso, já estão disponíveis soluções no mercado que foram formatadas para
atender aos requisitos do Sistema de Controle Interno do Governo Federal, inclusive
uma aplicação recentemente desenvolvida em plataforma cliente-servidor, por um
112
renomado Auditor junto ao TST37 em parceria com a TechSupply, representante do
software de análise de dados ACL - Audit Command Language.
De acordo com um relatório de pesquisa do American Institute of Certified Public
Accountants (CICA/AICPA), a Auditoria Contínua (AC) consiste em:
‘uma metodologia que habilita auditores independentes a proverem uma declaração escrita sobre um assunto usando uma série de relatórios emitidos simultaneamente com, ou em um curto período de tempo após, a ocorrência de eventos subliminares ao assunto relevante. ’
A Auditoria Contínua (AC) depende fortemente da Tecnologia da Informação. Enquanto o conceito de AC já tem mais de uma década, os rápidos avanços em tecnologia tem agora tornado a AC mais factível. Exemplos dessa tecnologia incluem banda larga, tecnologia de servidores de aplicações WEB, soluções de WEB scripting e onipresentes sistemas de banco de dados com conectividade padrão.
A AC alavanca tecnologia e abre a arquitetura dos bancos de dados para permitir aos auditores monitorarem os sistemas da companhia via Internet, usando sensores e agentes digitais. Quaisquer discrepâncias entre os registros e as regras definidas nos agentes digitais são transmitidas via e-mail ao cliente e ao Auditor, ao ponto de o Auditor poder determinar a ação apropriada a ser tomada. Por exemplo: um agente digital executando procedimentos analíticos sobre as contas enviaria um e-mail ao Auditor contendo um relatório de exceção sobre aquelas contas que flutuassem fora dos parâmetros definidos no agente digital. (...) Relatórios de exemplo podem ser acessados em: acctnt.bus.utk.edu/ld/default2.cfm. (SEARCY, 2003).
A assimilação e incorporação de fato da cultura de gerenciamento por processos,
viabilizando controles automatizados de forma integrada, a partir das ferramentas
disponíveis, possibilitará a realização de auditorias e inspeções remotas em
quaisquer dos processos organizacionais relevantes.
4.2 APROVEITAMENTO DE SOLUÇÕES TECNOLÓGICAS
A empresa detém know-how privilegiado na formatação de soluções tecnológicas
próprias, cuja expertise pode ser também aproveitada na customização e absorção
37 Informação dada pelo Professor André Cavalcanti da Universidade Católica durante palestra na Embaixada do Canadá em Dezembro/2007.
113
de tecnologias de mercado, com vistas ao uso otimizado dos recursos tecnológicos
disponíveis, fomentando a tempestividade nas ações gerenciais e uma maior
efetividade na governança corporativa.
Contudo, é extremamente recomendável que sejam elaborados estudos cada vez
mais consistentes de viabilidade técnico-econômica para as aquisições e
desenvolvimentos pretendidos.
4.3 IMPLANTAÇÃO DO FRAMEWORK ERM
A empresa dispõe de uma massa crítica capaz de desenvolver e implantar a cultura
de gerenciamento de riscos, objetivando a identificação daqueles riscos mais
representativos ao negócio e assegurando a atuação tempestiva com vistas à
continuidade da instituição.
Torna-se indispensável a disseminação destes conceitos e instrumentos de
alavancagem de eficácia, economicidade e efetividade por toda a organização,
porém a configuração atual do negócio precisa ser adaptada aos novos tempos sem
que se comprometa o potencial já desenvolvido e a ser incrementado.
Ações como o recente ajuste organizacional apontam nesta direção e precisam ser
aperfeiçoados sob o foco em processos em lugar de funções, especialmente no
tocante ao status da Auditoria Interna na estrutura organizacional, assegurando a
necessária independência ao trabalho dos auditores internos, bem como permitindo-
lhes auferir os benefícios da automatização dos processos e do gerenciamento de
riscos em todas as etapas de seu trabalho, especialmente na fase de planejamento.
4.4 APROVEITAMENTO DA CAMADA DE INTEGRAÇÃO NA AUTOMATIZAÇÃO DOS PROCESSOS
DE AUDITORIA INTERNA
A empresa está desenvolvendo uma camada de integração (CICS) de suas
aplicações corporativas, iniciativa que associada a um modelo automatizado de
gestão orientado a processos via Intranet, poderá viabilizar a integração corporativa
114
e o monitoramento contínuo das auto-auditorias localizadas nas diversas áreas da
organização.
Os principais processos da área de contratações, na Diretoria Administrativa
(DIRAD), já foram mapeados com o suporte de uma consultoria especializada e da
ferramenta BPMN ARIS, servindo como uma implantação piloto da gestão orientada
por processos automatizados a serem disseminados pelas demais áreas.
A convergência tecnológica agregada às técnicas de auditoria, especialmente
aquelas relacionadas à auto-auditoria (self-assessment), apresentam-se como uma
oportunidade viável de reversão de tendências históricas de ineficácia gerencial,
pelo concurso do monitoramento contínuo e on-line.
4.5 ALINHAMENTO AO PROGRAMA NACIONAL DE GESTÃO PÚBLICA E DESBUROCRATIZAÇÃO
(GESPÚBLICA)
O Programa Nacional de Gestão Pública e Desburocratização (GESPÚBLICA) visa
contribuir para a melhoria da qualidade dos serviços públicos prestados aos
cidadãos e para o aumento da competitividade do País, formulando e
implementando medidas integradas em agenda de transformações da gestão,
necessárias à promoção dos resultados preconizados no plano plurianual, à
consolidação da administração pública profissional voltada ao interesse do cidadão e
à aplicação de instrumentos e abordagens gerenciais, foi instituído pelo Decreto nº
5.378, de 23 de fevereiro de 2005.
Referencial Estratégico
Missão
Promover a excelência em gestão pública, visando contribuir para a melhoria da
qualidade dos serviços públicos prestados ao cidadão e para o aumento da
competitividade do País.
115
Visão
Até 2015, a excelência em gestão pública deverá ser um valor preservado pelas
instituições públicas e requerido pelo cidadão.
Estratégia
Mobilizar pessoas e organizações voluntárias para atuarem como agentes
transformadores da gestão pública brasileira. Havia um total de 66 organizações
públicas participantes do GesPública em 2007.
116
5. CONCLUSÃO
Retomemos o Objetivo Geral deste trabalho, qual seja: caracterizar soluções de
Tecnologia da Informação que viabilizem a obtenção tempestiva de resultados
consistentes das auto-auditorias setoriais, conferindo maior efetividade às auditorias
de TI e à Governança Corporativa na ECT.
Neste sentido, desde a introdução foram elaborados os conceitos básicos
indispensáveis à contextualização do tema.
Foram também enumerados os principais padrões e melhores práticas aplicáveis,
bem como se abordou o estágio atual de sua implantação na ECT, como um estudo
de caso.
Identificaram-se, ainda, as várias possibilidades disponíveis em termos de soluções
tecnológicas, padrões e melhores práticas a serem integradas ao escopo da
Governança Corporativa na Empresa.
A partir das entrevistas e levantamentos realizados, no entanto, constatou-se que
tais recursos e controles ainda não são monitorados de forma automatizada e que o
grau de integração dos sistemas com o Sistema Integrado de Informações
Gerenciais (ERP) ainda é incipiente.
Contudo, identificou-se que há uma iniciativa em estudo, no sentido de disponibilizar
os processos operacionais das diversas áreas a partir do repositório Data
Warehouse (DW).
Portanto, retomemos o Problema identificado para esta monografia, qual seja:
Se haveria alternativas de automatização do processo de auto-auditoria (self-
assessment) que diminuíssem o fosso (gap) existente entre a ocorrência do fato em
desconformidade, a constatação de suas conseqüências e a adoção tempestiva de
providências, preventivas ou corretivas, que minimizem os danos e prejuízos
suportados pela organização.
117
Conclui-se que existem de fato as várias possibilidades mencionadas na unidade
anterior, caracterizando oportunidades potencialmente positivas de melhoria, se
convenientemente implantadas.
No entanto, diante dos fatos de domínio público envolvendo a tradicional instituição
Correios em denúncias de corrupção, a Presidência da ECT, como Autoridade
instauradora de dezenas de sindicâncias, se vê a braços com o enfrentamento do
enorme desafio de saneamento da empresa, o que vem se dando de forma
sistemática por meio da Auditoria Interna, também encarregada da apuração de
responsabilidades.
Tal enfrentamento conta com o suporte logístico do Ministério Público da União, via
Procuradoria Geral da República no Distrito Federal, inclusive com o concurso de
cerca de uma dezena de auditores da empresa cedidos para composição de uma
Força Tarefa, bem como pela Controladoria Geral da União (CGU), via Secretaria de
Fiscalização e Controle.
Em face das dificuldades inerentes ao processo de contratação nas empresas
públicas, a aversão ao risco acentuou-se muito e os gestores estão resistentes a
assumir os riscos da aquisição de soluções disponíveis no mercado e, quando o
fazem, vêem-se diante de excessivos entraves burocráticos e formalidades legais
(Lei 8.666/93). No entanto, convém observar que tais restrições não servem como
justificativa para a omissão, atitude igualmente sujeita à imputação de
responsabilidade pelos Órgãos de Controle Interno e Externos.
Relativamente ao desenvolvimento de soluções internas, há uma recorrente
descontinuidade e falta de integração das iniciativas em curso, comprometendo os
resultados preconizados e postergando a adoção das alternativas evolutivas
eventualmente propostas.
Ademais, a atuação da área de TI como fábrica de software foge ao core business
da instituição e, por concorrer com as prioridades demandadas pelas demais áreas,
pode inviabilizar o cumprimento tempestivo da missão de coordenação e suporte às
demandas do negócio. Por outro lado, como salientamos, o papel desempenhado
pela DITEC como habilitadora do negócio é vital à manutenção dos sistemas em uso
na organização, bem como ao desenvolvimento ou aquisição de novas soluções.
118
Quanto aos resultados esperados, agregando-se a presente contribuição na
divulgação interna das oportunidades e possibilidades identificadas, presume-se
promover a conscientização dos interessados (stakeholders) quanto à real
possibilidade de realização remota de procedimentos de auditoria, bem como quanto
à relevância e conveniência de assim proceder.
A partir do acesso on-line às auto-auditorias e às bases de dados corporativos,
ainda que as condições de contorno não sejam imediatamente favoráveis, objetiva-
se minimizar custos de deslocamento, traduzidos em tempo (H/H), passagens,
hospedagem e diárias, bem como atuar mais tempestivamente e por exceção na
identificação dos riscos mais relevantes à consecução dos objetivos organizacionais.
Como oportunidades, buscam-se ações no sentido de estimular o uso otimizado dos
recursos tecnológicos disponíveis, fomentando a tempestividade nas ações
gerenciais e maior efetividade na governança corporativa, como resultado
decorrente das atitudes assumidas diante do que se apresenta no cenário delineado
neste e em outros trabalhos citados na seção de referências.
A relevância do trabalho se traduz em fomentar a identificação dos riscos mais
representativos ao negócio, assegurando a atuação tempestiva com vistas à
continuidade da instituição, o que é uma questão de sobrevivência em face da
possibilidade iminente de privatização ou flexibilização do monopólio postal no
Brasil.
Portanto, a incorporação de modelos orientados por processos automatizados via
Intranet para a integração corporativa e o monitoramento contínuo das auto-
auditorias localizadas nas diversas áreas da organização, bem como a adoção de
padrões e melhores práticas, dentre as várias aqui citadas, há de se constituir em
diferenciais competitivos importantes no cenário de incertezas que ronda as
atividades da empresa e a continuidade de seus negócios.
As lacunas aqui deixadas poderão ser preenchidas nos desdobramentos internos e
externos, inclusive em eventuais extensões deste estudo ao nível de Mestrado ou
Doutorado, haja vista a relevância do tema para o aperfeiçoamento das instituições.
119
6. REFERÊNCIAS
ABRAMO, Cláudio Weber. COM AS TRIPAS DE FORA. Caderno Opinião do Diário do Comércio, edição 01 a 03/06/2007.
ACL, Manual 105 – Básico: FUNDAMENTOS DO ACL – Conceitos e Práticas. Tech
Supply. São Paulo: 2005. ALLES, Michael G. et. al. CONTINUOUS DATA LEVEL AUDITING: Business
Process Based Analytic Procedures in an Unconstrained Data Environment. Rutgers University, Newark: 2006.
ALMEIDA, J.F. BÍBLIA SAGRADA. Versão revisada de acordo com os melhores
textos em Hebraico e Grego. Imprensa Bíblica Brasileira, Rio de Janeiro: 1986. ALMEIDA, Maria da Conceição de. UM ITINERÁRIO DO PENSAMENTO DE
EDGAR MORIN. Palestra no Ciclo de Estudos sobre 'O Método' de Edgar Morin, promovido pelo Instituto Humanitas UNISINOS. São Leopoldo, RS: 2004.
ALVES, Ana Paula B. MAPEAMENTO DO MODELO CMMI À NORMA ISO/IEC
12207. Centro de Informática. Graduação em Ciência da Computação. Universidade Federal de Pernambuco. Outubro de 2007.
AT&T Pesquisa. Economist Intelligence Unit. Set/2007. Disponível em: http://www.e-
thesis.inf.br/index2.php?option=com_content&do_pdf=1&id=1974. Acesso em 09/02/2008.
BALDAM, R. Tendências no Gerenciamento Integrado Documentos e
Processos. Baldam et al (2007). Disponível em: http://www.gpntecnologia.com.br/downloads/palestras/040_Tendencias_no_Gerenciamento_Integrado_de_documentos_e_processos.pdf Acesso em 13/05/2008. Laboratório de Sistemas Avançados de Gestão. UFRJ. 2008
BARROS, Sarah. PETISTAS VÃO DISCUTIR FIM DE INDICAÇÃO POLÍTICA
PARA JUDICIÁRIO. Site Último Segundo, Santafé Idéias, 25/05/2007.
120
BUENO, F. Silveira. Minidicionário da Língua Portuguesa. Ed. revista e atualizada
Helena Bonito C. Pereira e Rena Signer, São Paulo: FTD: LISA, 1996. CARDOSO, Rafael Cunha et al. UTILIZAÇÃO DE ONTOLOGIAS PARA
PROSPECÇÃO DE OFERTAS NA WEB. Centro de Informática – Universidade Federal de Pernambuco (UFPE): Disponível em: http://inf.unisul.br/~ines/workcomp/cd/pdfs/2875.pdf Acesso em: 14/12/2007.
CASANAS, Alex e MACHADO, Cesar. O IMPACTO DA IMPLANTAÇÃO DA
NORMA NBR ISO/IEC 17799 – CÓDIGO DE PRÁTICA PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO - NAS EMPRESAS, UFSC/Módulo Security, Florianópolis: 2001.
Celerant Consulting. Artigo Os Seis Mitos do Seis Sigma. Disponível em:
www.qualitas.com.br/noticias/doc/artigo_mitos_6_sigma.doc Acesso em 10/02/2008.
CHAUÍ, Marilena de Souza. O QUE É IDEOLOGIA. Brasiliense, 27ª Edição, São
Paulo: 1988. COELHO, E. M. PROPOSTA DE METODOLOGIA PARA AVALIAÇÃO DOS
WEBSITES DO GOVERNO FEDERAL. Brasília: maio/2001. EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS. PLANO ANUAL DE
ATIVIDADES DE AUDITORIA INTERNA (PAAAI/PAINT). DAUDI/ECT, Brasília: versões 2006 e 2008.
_________Boletim Técnico – nº. 160 e 169/2007 de 03 e 17/09/2007,
respectivamente. Disponíveis na INTRANETECT. _________Boletim Técnico - 118/2007 – Participação dos Correios no
crescimento do comércio eletrônico brasileiro. Disponível na INTRANETECT.
FERNANDES, Jorge Cabral. COBIT e o Cenário Regulatório-Tecnológico de TI,
Jorge Cabral Fernandes ([email protected]), 2004.
121
GALIMI, Joanne; ROSSER, Bill. A LACK OF LEADERSHIP, CULTURE, SKILLS AND GOVERNANCE STRUCTURES ARE HINDERING BPM SUCCESS FOR HEALTHCARE INSURERS. Gartner, April 2007.
GHERMAN, Marcelo. COBIT – Integrando TI aos negócios – partes I e II. Apud
Módulo Security Magazine DATA: 2005. GONÇALVES, Elisa. CONVERSAS SOBRE INICIAÇÃO À PESQUISA CIENTÍFICA.
4ª Edição, Alínea: 2005, 80p. GOVEKAR, Milind. USE FULL LIFE CYCLE MANAGEMENT TO REDUCE SOA
DOWNTIME. Gartner: 2007. HERRERO, Emílio – BALANCED SCORECARD E A GESTÃO ESTRATÉGICA:
Uma abordagem prática. Elsevier, Rio de Janeiro: 2005. HOPE, Jeremy. GESTÃO DE PROCESSOS COMO IMPULSIONADORA DO
LUCRO. Disponível em: http://www.hsm.com.br/canais/coberturadeeventos/smpjeremy_hope2007/jeremyhope_pg01_190907.php?. Acesso em 09/02/2008.
ISACA/QualiLog. TREINAMENTO PREPARATÓRIO PARA CERTIFICAÇÃO COBIT
FOUNDATIONS. Agosto/2007. ITGI. INFORMATION TECHNOLOGY GOVERNANCE INSTITUTE. CONTROL
OBJECTIVES, MANAGEMENT GUIDELINES, MATURITY MODELS FROM COBIT 4.0, ISBN 1-933284-37-4, 2007.
_________Aligning COBIT, ITIL and ISO 17799 for Business Benefit. ITGI, Board
Briefing on IT Governance, 2nd Edition, 2003. Artigo Disponível em: http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/AligningCOBIT,ITIL.pdf Acesso em: 09/02/2008.
JANSSEN, Luis. FALTA TEMPO PARA CUIDAR DE TUDO. Processos & TI,
pág.14, Informática Hoje, Ano 23, julho/2007. KANITZ, Stephen. A ORIGEM DA CORRUPÇÃO. Artigo publicado à página 21 da
Revista VEJA, edição 1600, ano 32, nº 22, junho/1999.
122
KAPLAN, R.; NORTON, David. MAPAS ESTRATÉGICOS: convertendo ativos intangíveis em resultados tangíveis. Ed. Elsevier / Campus, Rio de Janeiro: 2007.
KIMURA et. al. AVALIAÇÃO DE DESEMPENHO EMPRESARIAL EM NOVOS
AMBIENTES COMPETITIVOS ATRAVÉS DO BALANCED SCORECARD. IV SEMEAD. FEA/USP: 1999.
LINDOW, Paul; RACE, Jill. BEYOND TRADITIONAL AUDIT TECHNIQUES, Journal
of Accountancy On-Line. AICPA, July 2002. Disponível em: http://www.aicpa.org/pubs/jofa/jul2002/lindow.htm. Acesso em: 09/02/2008
LOPES, Cícero. O QUE É GOVERNANÇA CORPORATIVA. Revista iMASTERS,
2007. LOPES, Fabiana. A MATEMÁTICA DOS NEGÓCIOS. Revista B2B, ano 6, nº. 78,
págs. 54 a 59, agosto/2007. MONTEIRO, Elaine da Silva. UM ESTUDO SOBRE MODELAGEM ORIENTADA A
ASPECTOS BASEADA EM ASPECTJ E UML. Centro Universitário Luterano de Palmas: 2004.
MORA, M. GOVERNO ELETRÔNICO E ASPECTOS FISCAIS: A Experiência
Brasileira. Texto para discussão nº. 1089. IPEA/MPOG, Rio de Janeiro: maio/2005.
MORELAND, J.P. e CRAIG, William Lane. FILOSOFIA E COSMOVISÃO CRISTÃ.
Vários tradutores, São Paulo: Vida Nova, 2005. MOURÃO, Alice Diniz. SISTEMAS DE INFORMAÇÃO: Auditoria e Segurança de
Sistemas. Faculdade Cenecista de Varginha: 2005. Disponível em: http://www.faceca.br/bsi/documentos/sas_completa.doc Acesso em: 14/12/2007.
NEGREIROS, Luis. O PAPEL DO PMO NA GESTÃO DO CONHECIMENTO.
PMInforma, Edição No. VI Brasília: Junho de 2007. NOGUEIRA, Marcelo. QUAL A IMPORTÂNCIA DA ADOÇÃO DA NORMA ISO
12207 NAS EMPRESAS DE DESENVOLVIMENTO DE SOFTWARE?
123
Universidade Paulista (UNIP). X SIMPEP – Simpósio de Engenharia de Produção 10 a 12/11/2003.
PAGLIARES, Rodrigo Martins. Apresentação Slides. Mestre em Ciência da
Computação pela Universidade Federal de Santa Catarina – UFSC. Disponível em: http://www.pagliares.com.br/disciplinas/engSoftwareI/capitulo2/slides/slidesCapitulo02.pdf Acesso em 06/02/2008, às 09h32min.
PIMENTEL, Graça et al. CONCEITOS FUNDAMENTAIS DA ESTRUTURA DE
ARQUIVOS (IV). Instituto de Ciências Matemáticas de São Carlos. Disponível em: http://www.icmc.usp.br/~sce183/Fsc5.htm. Acesso em: 09/02/2008.
PINHEIRO, Walfrido Brito; MAGALHÃES, Ivan Luizio. GERENCIAMENTO DE
SERVIÇOS DE TI NA PRÁTICA: Uma abordagem com base na ITIL. Editora Novatec, Brasília: 2007, 672 páginas.
PMA. PROFESSIONAL MANAGEMENT. “GERENCIAMENTO DE PROJETOS:
Utilizando PMBOK”. Nível básico, pág.20, 3ª edição: 2005. ROZADOS, Helen Beatriz Frota. USO DE INDICADORES NA GESTÃO DE
RECURSOS DE INFORMAÇÃO. Revista Digital de Biblioteconomia e Ciência da Informação, ISSN: 1678-765X, Campinas, v. 3, n. 1, p. 60-76, jul./dez. 2005.
SINOPSE RADIOBRAS. RESUMO DOS JORNAIS: Valor Econômico, Gazeta
Mercantil e Jornal do Brasil, setembro/2007. SANTANA, Danilo. DAQUI A DEZ ANOS. Belo Horizonte: 1999. Disponível em
http://www.jurisway.org.br/v2/verartigo_N.asp?idmodelo=976 Acesso em: Sete de dezembro 2006. SANT’ANNA, Silvio. A COSMOVISÃO DIALÉTICO-MATERIALISTA DA HISTÓRIA.
IN: MARX, Karl; ENGELS, Friedrich. A Ideologia Alemã. São Paulo: Martin Claret, 2006, p.11-31.
SANTOS, Marco Aurélio Gois dos. INTEGRAÇÃO NO SETOR PÚBLICO.
DISPONÍVEL em: http://www.b2bmagazine.com.br/web/noticias_imprimir.asp?id_noticia=19462. Acesso às 15h20min de 27/06/2007.
124
SEARCY, DeWayne L.; WOODROOF, Jon B. CONTINUOUS AUDITING:
Leveraging Technology. The CPA Journal: May 2003. SEMLER, Ricardo. VIRANDO A PRÓPRIA MESA. ISBN: 85-7123-016-1. Ed. Best
Seller, 21ª Edição. São Paulo: 1988. SILVA, Raul Corrêa da. FALTA ÉTICA OU AUDITORIA?. Artigo publicado no
caderno A, Pág.3 da Gazeta Mercantil de 20/07/2005. SMITH, Michael. START PREPARING FOR POST-PROJECT EVALUATIONS
WHEN DEVELOPING YOUR BUSINESS CASE, 2007. SOARES, Edileuza. PROTEÇÃO COM INTELIGÊNCIA. Security Review – Ano III,
número 11 - 2007, pág.21 e 27. SOARES, Luiz. et al. REDES DE COMPUTADORES: Das LANs, MANs e WANs
às Redes ATM. EMBRATEL, Campus, RJ, 1995. SOUZA, Silas Roberto de. Apostila MACROAVALIAÇÃO DE RISCO EM
AUDITORIA INTERNA. ICAT-UniDF, Brasília: 2006. TCU. AVALIAÇÃO DO PROGRAMA GOVERNO ELETRÔNICO. Sumários
Executivos. Nova Série. Disponível em: http://www2.tcu.gov.br/pls/portal/docs/PAGE/TCU/CONTROLE_EXTERNO/FIS
CALIZACAO/TI/SUMARIO_GOVERNO_ELETRONICO.PDF Acessado em 19/11/2007 às 17:47h.
_________Relatório Anual de Atividades TCU - 2007. Disponível em:
http://www2.tcu.gov.br/pls/portal/docs/PAGE/TCU/PUBLICACOES/RELATORIOS_INSTITUCIONAIS/RELATORIOS_ATIVIDADE/RELATORIOS_ANUAIS/2007_RELAT%C3%93RIO_ANUAL_DE_ATIVIDADES.PDF Acesso em:18/05/2008.
THE INSTITUTE OF INTERNAL AUDITORS (IIA). NORMAS INTERNACIONAIS
PARA O EXERCÍCIO PROFISSIONAL DA AUDITORIA INTERNA. Tradução autorizada para o Instituto dos Auditores Internos do Brasil – AUDIBRA, 2004, do original The Professional Practices – Framework, 1ª edição, Flórida (USA): 2002.
125
YANCEY, Philip; BRAND, Paul. À IMAGEM E SEMELHANÇA DE DEUS: uma analogia entre o corpo humano e o corpo de Cristo. Tradução: James Monteiro dos Reis. Título original: In His image – ISBN 85-7367-7034, Editora Vida, São Paulo: 2003.
WEILL, Peter; ROSS, Jeanne W. GOVERNANÇA DE TI: Tecnologia da
Informação. ISBN:85-89384-78-0, Makron Books, 2005, 296 páginas.
126
7. ANEXOS
ANEXO A - Entrevista Sistematizada (Questionário – AUDIT).
ANEXO B - Entrevista Sistematizada (Questionário – TI)
127
ANEXO A - ENTREVISTA SISTEMATIZADA - AUDIT
Disponibilidade de Acesso On-Line para monitoramento de Controles
Internos na ECT (Self-Assessment)
O propósito deste roteiro é coletar informações relevantes com alguns
dos gestores-chave de TI e da Auditoria Interna da ECT para a elaboração
de estudo de caso, objetivando compor a monografia de conclusão do
curso de Pós-graduação em Auditoria Interna e Externa no ICAT/UniDF.
Versão 4.0
11 de outubro de 2007
Qualquer informação confidencial deve ser preservada, devendo ser
compartilhado apenas o que puder ser publicado e divulgado externamente à
ECT. Havendo informações ou esclarecimentos adicionais que julgue
relevante, favor anexar ao questionário.
128
ANEXO A – Questionário - AUDIT
Preenchido pelo gestor:
Sumarize as
Atribuições e
Responsabilidades de
sua área:
Coordenar as atividades de auditoria em
Tecnologia da Informação
Relação % dos
colaboradores
certificados COSO,
COBIT, CISA, ERM, etc.
versus total de
colaboradores da área.
0% COSO 0% COBIT 0% CISA
0% ERM.
Obs.: Estão em processo de certificação CobIT Foundation 3
colaboradores da área de Auditoria
Qual o % de
implantação por
framework?
0% COSO 25% COBIT 0% CISA
0% ERM
Passo 2
Obs.: Foi contratada uma consultoria pela área de TI que trabalhou
na identificação dos processos e no tratamento da maturidade de
cada um dos processos em TI. (ver anexos)
Passo 3 Como gestor V.Sa.
classifica sua atuação
em que nível
organizacional?
(Marque com um X a
• (X) Estratégico
• ( ) Tático
• ( ) Operacional
• ( ) Outro (Especificar)
129
opção correspondente)
Nível de Maturidade
CMM:
(Marque com um X a
opção correspondente)
A área foi objeto de avaliação de
maturidade? ( ) SIM (n ) NÂO.
Qual foi o diagnóstico + recente? ( ) 0 ( ) 1
( ) 2 ( ) 3 ( ) 4 ( ) 5
Passo 4
Quais processos do
framework COSO e
quais mecanismos de
avaliação de controles
internos estão
implantados em sua
área/atividade?
(Descrever os mecanismos de avaliação
de controles para cada processo abaixo)
Ambiente de Controle:
Avaliação e Gerenciamento de Riscos:
Atividade de Controle:
Informação e Comunicação:
Monitoramento:
130
Obs.: Não existem processos nem mecanismos de avaliação de
controles internos na área de auditoria com relação ao framework
COSO. No entanto, a partir do ano 2000 foram envidados esforços
no sentido de estruturar a auditoria de Tecnologia da informação na
Empresa. Foram treinados auditores para viabilizar a empreitada. Os
treinamentos foram baseados no framework CobIT. No ano de 2001
foi feito um planejamento de auditoria que previsse auditorias
utilizando-se dos domínios do CobIT (Planejamento e Organização,
Aquisição e Implantação, Entrega dos Serviços e Suporte e
Monitoração). As auditorias foram realizadas com sucesso no ano de
2002. Posteriormente, coube à auditoria alavancar, junto à área
técnica, a necessidade da utilização do framework CobIT como a
estrutura que prevê a melhores práticas em nível mundial para o
tratamento dos processos de TI. A área técnica comprou a idéia e, a
partir do ano de 2004, aproximadamente, contratou-se uma
consultoria para o levantamento e identificação de todos os
processos de TI e a classificação do nível de maturidade de cada um
dos processos identificados.
Quais processos do
framework ERM e quais
mecanismos de
avaliação de controles
internos estão
implantados em sua
área/atividade?
(Descrever os mecanismos de avaliação
de controles para cada processo abaixo)
Fundamentos de Risco:
Identificação de Riscos:
Controle de Riscos:
Resposta aos Riscos:
Avaliação e Monitoramento:
131
Obs.: Para avaliação dos processos a serem auditados não é
utilizado um framework ERM, as análises são feitas a partir das
orientações da Chefia da Auditoria, quando da elaboração do Plano
Anual de Atividades de Auditoria (PAAAI).
Essas informações são
processadas e
comunicadas às partes
interessadas com
adequação e
tempestividade?
Sim / Não
Sim
Por que meios?
( X ) Relatórios impressos
( ) Hot site
( ) Outros (especificar)
Há relatórios
gerenciais relativos ao
framework ERM que
permitem revisão da
auditoria
interna/externa?
Sim / Não
Não
Especificar:
Obs.: Na fase de planejamento das auditorias, é elaborada uma
macro-avaliação dos riscos. Objetiva-se a realização da micro-
avaliação de riscos após a fase de trabalho de campo.
Qual o grau de
automatização de seus
processos/atividades
internos?
Planejamento __% Execução __%
Relatórios __% Follow-up 80 %
Outras__%
Passo 5
Obs.: Os processos na Auditoria são divididos em Planejamento,
Trabalho de Campo, Relatório e Acompanhamento (follow-up). Todos
os relatórios são elaborados a partir do editor de textos Word. Não
posso precisar em termos percentuais tal grau de automatização.
Existe fase de levantamento uma aplicação que acredito irá
automatizar em torno de 95% dos processos/atividades internos na
Auditoria.
132
Há alguma solução
automatizada que
permita o acesso aos
dados de interesse da
auditoria de forma
integrada? (Ex.: ERP,
DataMining, Business
Objects, etc.)
Sim / Não
Sim
Especificar e detalhar os
resultados obtidos:
Tais ferramentas, entretanto,
não estão integradas. Devem
existir esforços (Projeto de
integração) da área de
Tecnologia e de Auditoria
nesse sentido.
Passo 6 A Auto-auditoria (Self-
Assessment) em sua
área utiliza ferramentas
automatizadas de
suporte? (Ex.: ACL,
RiskManager, etc.)
Sim / Não
Não
Especificar e detalhar os
resultados obtidos:
Temos a ferramenta ACL,
porém não é utilizada para
Auto-auditoria
133
ANEXO B - ENTREVISTA SISTEMATIZADA - TI
Disponibilidade de Acesso On-Line para monitoramento de Controles
Internos na ECT (Self-Assessment)
O propósito deste roteiro é coletar informações relevantes com alguns
dos gestores-chave de TI e da Auditoria Interna da ECT para a elaboração
de estudo de caso, objetivando compor a monografia de conclusão do
curso de Pós-graduação em Auditoria Interna e Externa no ICAT/UniDF.
Versão 4.0
08 de outubro de 2007
Qualquer informação confidencial deve ser preservada, devendo ser
compartilhado apenas o que puder ser publicado e divulgado externamente à
ECT. Havendo informações ou esclarecimentos adicionais que julgue
relevante, favor anexar ao questionário.
134
ANEXO B – Questionário - TI
Preenchido pelo gestor:
Área/Organização: (Sumarize as Atribuições e
Responsabilidades de sua área)
DITEC/ECT
A Diretoria Tecnologia e de Infra-estrutura tem como missão
coordenar as ações de tecnologia da informação e as ações de
engenharia, objetivando dar o devido suporte tecnológico ao
modelo de negócios e ao modelo operacional da Empresa, bem
como propor a inserção de novas tecnologias, como fruto de um
trabalho de prospecção, identificação e adaptação dessas
tecnologias para o ambiente da ECT.
Seu pessoal possui
certificação COBIT, ITIL,
etc.
Sim / Não
Sim
Relação % dos
colaboradores
certificados COBIT, ITIL,
etc. versus total de
colaboradores da área.
Quantidade de colaboradores com
certificação na DITEC:
25 COBIT 30 ITIL
Passo 2
Qual o % de
implantação por
framework?
20 % COBIT 20 % ITIL
135
Obs.: Difícil dizer o percentual de “implantação” dos frameworks,
visto que eles não são frameworks que ditam regras, mas apenas
sugestões de melhores práticas que devem ser adaptadas à
realidade da empresa.
Como gestor V.Sa.
classifica-se em que
nível organizacional?
(Marque com um X a
opção correspondente)
• ( ) Estratégico
• ( ) Tático
• ( ) Operacional
• ( ) Outro (Especificar)
Nível de Maturidade
CMM:
(Marque com um X a
opção correspondente)
A área foi objeto de avaliação de
maturidade? ( ) SIM (X) NÂO.
Qual foi o diagnóstico + recente? ( )
0 ( ) 1 ( ) 2 ( ) 3 ( ) 4 ( ) 5
Passo 3
Obs.: A DITEC segue a metodologia interna do PSPO para
Sistemas.
Descreva o estágio atual de implantação das melhores
práticas ITIL em sua organização:
Passo 4
Projeto de Serviços e Gerenciamento de Processos (SLA,
gerência de segurança, gerência de disponibilidade e
contingência, relatórios de serviço, gerência de capacidade e
gerência financeira)
Processos de Controle (Gerência de ativos e de configuração)
Processos de Liberação (Gerência de Mudanças)
Processos de Suprimento (gerência de relacionamento com
clientes e gerência de suprimentos)
Processos de Resolução (gerência de incidentes e de problemas)
136
Obs.: Estamos em fase de implantação das Gerências de
Incidentes, Problemas, Configuração e Mudanças, além da
função Service Desk.
Quais dos 34 Processos
do COBIT 4.0 e quais os
controles internos
respectivos estão
implantados em sua
área/atividade, para
cada perspectiva?
(Descrever cada processo
implantado e os controles
correspondentes)
Planejamento e Organização
Aquisição e Implantação
Entrega e Suporte
Monitoração e Avaliação
Obs.: Todos os 34 processos e respectivos objetivos de controle
que têm observância nas atividades da ECT estão implantados
na DITEC. Alguns com maior, outros com menor maturidade.
Esses controles utilizam
algum tipo de
ferramenta
automatizada de
monitoramento?
Sim /
Não
Não
Especificar o grau de
integração com ERP:
Há uma iniciativa em
disponibilizar os processos
operacionais das áreas em
DW.
Há relatórios gerenciais
que permitem revisão
da auditoria?
Sim /
Não
Especificar (inclusive a
periodicidade):