Monografia Adauto2008

12,292 views

Published on

"Não acredito em auto-auditoria. Isso é coisa de Comunista."
Foi o que me disse o general, novo coordenador do curso, ao conceder-me o autógrafo de aprovação.
Respondi-lhe que o Apóstolo Paulo, bem antes do advento do comunismo, já havia escrito em I Corintios 11:31, o seguinte: "Porque, se nós nos julgássemos a nós mesmos, não seríamos julgados."

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
12,292
On SlideShare
0
From Embeds
0
Number of Embeds
114
Actions
Shares
0
Downloads
384
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Monografia Adauto2008

  1. 1. Adauto da Costa Santos A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE CONTROLE INTERNO: O CASO CORREIOS. Brasília 2008
  2. 2. A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ SANTOS , A.C. DE CONTROLE INTERNO: O CASO CORREIOS.
  3. 3. Adauto da Costa Santos A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE CONTROLE INTERNO: O CASO CORREIOS Trabalho de final de curso apresentado à Coordenadoria de Pós-Graduação do Instituto de Cooperação e Assistência Técnica, da Associação de Ensino Unificado do Distrito Federal, para obtenção do grau de Especialista. Área de concentração: Auditoria Interna e Externa Orientador Prof. Alfram Rodrigues Albuquerque Coordenador Prof. Luciano Phaelante Casales Brasília 2008 i
  4. 4. SANTOS, Adauto da Costa. A auto-auditoria integrada como ferramenta eficaz de controle interno: O caso Correios / Adauto da Costa Santos. Brasília: 2008. 150 f.; 30 cm. Orientação: Alfram Rodrigues Albuquerque. Trabalho de conclusão de curso apresentado à Coordenadoria de Pós- Graduação do Instituto de Cooperação e Assistência Técnica, da Associação de Ensino Unificado do Distrito Federal, para obtenção do grau de Especialista. ICAT / UniDF Brasília, DF. 2008. Inclui anexos e bibliografia. 1. Auditoria Interna e Externa 2. Tecnologia da Informação 3. Governança Corporativa. 4. Auto-auditoria. 5. Processo. 6. Conformidade. 7. Correios do Brasil. I. Título. ii
  5. 5. Adauto da Costa Santos A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE CONTROLE INTERNO: O CASO CORREIOS. TERMO DE APROVAÇÃO Trabalho de final de curso considerado adequado para obtenção do grau de Especialista Docente, apresentado à Coordenadoria de Pós-Graduação do Instituto de Cooperação e Assistência Técnica, da Associação de Ensino Unificado do Distrito Federal. Área de concentração: Auditoria Interna e Externa ____________________________________________ Prof. Alfram Rodrigues Albuquerque (Orientador) ____________________________________________ Prof. Luciano Phaelante Casales (Coordenador) ____________________________________________ Profª Elizabeth Danziato Rego ____________________________________________ Prof. Geraldo Magela Lopes de Freitas Brasília 2008 iii
  6. 6. Agradecimentos Ao Deus Criador, ao seu filho Jesus Cristo: o Senhor, e ao Espírito Santo: Consolador; Trindade que, em perfeita simbiose, preserva-me com saúde, disposição e inteligência, dons estes aplicados na aquisição de, mais que mero conhecimento, sabedoria para conviver bem e servir cada vez melhor. A minha família, cuja renúncia e compreensão permitiram-me a tranqüilidade necessária a mais esta realização. Homenageio especialmente a minha mãe Ruth da Costa Santos, conduzida ao Paraíso a dois dias de completar 73 anos de total dedicação à família e à prática da fé e dos valores cristãos que me legou. À Empresa Brasileira de Correios e Telégrafos (ECT), na pessoa do seu Auditor- Chefe, Prof. Silas Roberto de Souza, cujo patrocínio tornou possível esta capacitação. Aos Professores Alfram Rodrigues Albuquerque, Elizabeth Danziato Rego e Geraldo Magela Lopes de Freitas, cuja disponibilidade e competente orientação apuraram, além deste trabalho acadêmico, a própria percepção deste estudante quanto à relevância do objeto em estudo e suas implicações acadêmicas e profissionais. Aos demais mestres, colegas e pessoal de apoio do ICAT/UniDF, cuja convivência por cerca de um ano e meio proporcionou-me oportunidades preciosas de crescimento pessoal. iv
  7. 7. ABSTRACT It deals with self-assessment1 as being the primary tool to evaluate the managers’ achievement of their first commitment, which is to implement controls over organizational processes, by using Information Technology resources in an integrated and convergent approach, to assure the effectiveness on reaching the strategic objectives of the Institution. Those resources, if selectively incorporated to the organizational environment, can give automatic feedbacks with relevant risk assessment inputs to those managers in general and, particularly, to Internal Auditors at the Institution, due to build up the risk matrix, which is the main feature of the auditing planning process. The problem to solve is to know if there are alternatives available for the self-assessment process automatization to shorten the gap between non-compliance audit findings, its consequences and the timely required actions (preventive or corrective) to mitigate the hazards and losses suffered by the organization. The objective is to characterize IT solutions which fulfill timely achievement of consistent results of on-site self-assessment, giving greater assurance to IT auditing and corporative governance at Brazilian Post Office (ECT). The adopted methodology starts with descriptive bibliographic quotations, evolves to field work supported by semi-structured interviews and questionnaires applied to key managers of IT and Internal Auditing areas of ECT, as well as related data collected on specialized bibliography like: technical magazines, folders, prospects, presentations, courses and events concerned to the subject. Descriptors: Internal and External Auditing. Information Technology. Corporative Governance. Self-assessment. Process. Compliance. Brazilian Post. 1 Self-assessment noun [C or U] a judgment, sometimes for official purposes, which you make about your abilities, principles or decisions. Assess verb [T] to judge or decide the amount, value, quality or importance of something: (from Cambridge Advanced Learner's Dictionary). v
  8. 8. RESUMO Aborda-se a auto-auditoria como um instrumento de avaliação do compromisso prioritário dos gestores: implantar controles sobre os processos organizacionais, por meio da utilização dos recursos tecnológicos de modo integrado e convergente, com vistas a assegurar a consecução dos objetivos estratégicos da instituição. Tais recursos, se seletivamente incorporados ao ambiente organizacional, podem ofertar retornos automáticos com informações de risco aos próprios gestores em geral e, em particular, aos auditores internos da instituição, subsidiando a elaboração da matriz de risco, que é o principal elemento do processo de planejamento de auditoria. O problema a resolver é saber se há alternativas de automatização do processo de auto-auditoria2 que diminuam o fosso existente entre a ocorrência do fato em desconformidade, a constatação de suas conseqüências e a adoção tempestiva de providências, preventivas ou corretivas, que minimizem os danos e prejuízos suportados pela organização. O objetivo é caracterizar soluções de Tecnologia da Informação que viabilizem a obtenção tempestiva de resultados consistentes das auto-auditorias setoriais, conferindo maior efetividade às auditorias de TI e à Governança Corporativa na ECT. A metodologia adotada parte da pesquisa bibliográfica descritiva e contempla levantamentos de campo por meio de entrevistas semi-estruturadas, suportadas por questionários dirigidos aos gestores- chave das áreas de TI e de Auditoria Interna da ECT, bem como informações colhidas em bibliografia especializada tais como: revistas técnicas, apostilas, folders, prospectos, palestras, cursos e eventos relacionados ao tema. Palavras-chave: Auditoria Interna e Externa. Tecnologia da Informação. Governança Corporativa. Auto-auditoria. Processo. Conformidade. Correios do Brasil. Auto-auditoria é um julgamento, algumas vezes para propósitos oficiais, que você faz acerca de 2 suas próprias habilidades, princípios ou decisões (Tradução livre do Dicionário Cambridge do Aprendiz Avançado). vi
  9. 9. Na Auditoria conhecemos a empresa ‘como realmente é, não como nos dizem que é’ (informação verbal). 3 A palavra Imagem é hoje conhecida de todos nós, mas o significado se perdeu de tal forma que agora significa praticamente o oposto do significado original, ‘semelhança’. Hoje, um político contrata um consultor de imagem, um candidato a emprego se veste para ter uma boa imagem, uma empresa procura a imagem certa. Em todos esses casos, o termo ‘imagem’ significa a ilusão de algo que aparenta ser, em lugar da essência do que realmente é. (BRAND, 2003). 3 Citação do Prof. Silas Roberto de Souza, Auditor-Chefe da ECT, durante aula no ICAT/UniDF, parafraseando MARX, Karl; ENGELS, Friedrich. A Ideologia Alemã. São Paulo: Martin Claret, 2006. vii
  10. 10. Sumário 1. INTRODUÇÃO................................................................................................................ 1 1.1. OBJETIVO GERAL ............................................................................................................. 7 1.2. OBJETIVOS ESPECÍFICOS .................................................................................................. 8 1.3. PROBLEMA....................................................................................................................... 8 1.4. HIPÓTESE......................................................................................................................... 8 1.5. METODOLOGIA ................................................................................................................. 9 1.5.1. RESULTADOS ESPERADOS ..................................................................................................... 9 2. FUNDAMENTAÇÃO TEÓRICA.................................................................................... 11 2.1 CONCEITOS BÁSICOS....................................................................................................... 11 2.1.1 CATEGORIAS:......................................................................................................................... 12 2.1.2 ONTOLOGIAS ......................................................................................................................... 12 2.1.3 ORIENTAÇÃO AO OBJETO – UMA APLICAÇÃO DAS CATEGORIAS ........................................... 14 2.1.4 ANÁLISE DE DADOS ............................................................................................................... 15 2.1.5 GOVERNANÇA CORPORATIVA................................................................................................ 17 2.1.6 AUDITORIA E AUTO-AUDITORIA.............................................................................................. 20 2.1.7 GOVERNANÇA DE TI .............................................................................................................. 26 2.1.8 BALANCED SCORECARD (BSC®) ......................................................................................... 28 2.1.9 A MÉTRICA E OS SISTEMAS DE MENSURAÇÃO ...................................................................... 32 2.1.10 OUTROS CONCEITOS (ITIM, ITSM, ITIL®, PRINCE, MSP, M_O_R)................................. 34 2.2 CONTEXTO HISTÓRICO E EVOLUÇÃO PROGRESSIVA DA GOVERNANÇA ............................... 49 2.2.1 EVOLUÇÃO DA FUNÇÃO DE TI DENTRO DAS ORGANIZAÇÕES................................................. 52 2.3 OS PADRÕES NACIONAIS E INTERNACIONAIS DE CONFORMIDADE EM TI ............................. 56 2.3.1 OS PADRÕES PARA DESENVOLVIMENTO DE SOFTWARE ........................................................ 57 2.3.2 LEI SARBANNES-OXLEY......................................................................................................... 58 2.3.3 O PADRÃO FINANCEIRO - BASILÉIA ..................................................................................... 59 2.3.4 O PADRÃO DE AVALIAÇÃO DOS CONTROLES INTERNOS ....................................................... 61 2.3.5 O PADRÃO PARA GOVERNANÇA DE TI .................................................................................... 64 2.3.6 OS PADRÔES DE SEGURANÇA DA INFORMAÇÃO.................................................................... 70 2.3.7 PADRÃO DE MATURIDADE ORGANIZACIONAL EM GERENCIAMENTO DE PROJETOS (OPM3) 75 viii
  11. 11. 2.3.8 O PADRÃO PARA GERENCIAMENTO DE RISCOS (ERM).......................................................... 77 2.3.9 O PADRÃO PARA GESTÃO DO CONHECIMENTO (GED E WORKFLOW) .................................. 78 3. CONTEXTO ATUAL ..................................................................................................... 81 3.1 TENDÊNCIAS TECNOLÓGICAS ........................................................................................... 81 3.1.1 VIRTUALIZAÇÃO ..................................................................................................................... 82 3.1.2 CONVERGÊNCIA..................................................................................................................... 82 3.1.3 OFFSHORE DE TI ................................................................................................................... 82 3.1.4 INFORMAÇÃO INTELIGENTE.................................................................................................... 82 3.1.5 SERVIÇOS GERENCIADOS ..................................................................................................... 83 3.2 INTEGRAÇÃO DE FRAMEWORKS........................................................................................ 84 3.3 O CASO ECT................................................................................................................... 90 3.3.1 ESTRUTURA ORGANIZACIONAL.............................................................................................. 91 3.3.2 GOVERNANÇA DE TI NA ECT................................................................................................. 95 3.3.3 AUTO-AUDITORIA NA ECT ..................................................................................................... 99 3.3.4 GESTÃO DE PROCESSOS NA ECT ....................................................................................... 102 4. POSSIBILIDADES...................................................................................................... 111 4.1 AUDITORIA REMOTA ...................................................................................................... 111 4.2 APROVEITAMENTO DE SOLUÇÕES TECNOLÓGICAS........................................................... 112 4.3 IMPLANTAÇÃO DO FRAMEWORK ERM ............................................................................ 113 4.4 APROVEITAMENTO DA CAMADA DE INTEGRAÇÃO NA AUTOMATIZAÇÃO DOS PROCESSOS DE AUDITORIA INTERNA....................................................................................................... 113 4.5 ALINHAMENTO AO PROGRAMA NACIONAL DE GESTÃO PÚBLICA E DESBUROCRATIZAÇÃO (GESPÚBLICA)........................................................................................................... 114 5. CONCLUSÃO............................................................................................................. 116 6. REFERÊNCIAS .......................................................................................................... 119 7. ANEXOS..................................................................................................................... 126 ANEXO A - ENTREVISTA SISTEMATIZADA - AUDIT............................................................... 127 ANEXO B - ENTREVISTA SISTEMATIZADA - TI ...................................................................... 133 ix
  12. 12. Lista de Siglas ASL - Application Services Library. BI - Business Intelligence. BPMNS – Business Process Management Network System. BSC – Balanced ScoreCard. ECT – Empresa Brasileira de Correios e Telégrafos. CIO – Chief Information Officer. CITEX - Centro de Informática do Exército. COBIT - Control Objectives for Information and related Technology. COSO - Comitê das Organizações Patrocinadoras da Comissão Treadway. CMM – Capability Maturity Model. CMMI – Capability Maturity Model on Information. CRM – Costumer Relationship Management. DCT - Departamento de Correios e Telégrafos. DIS – Decision Information System. DSDM - Dynamic Systems Development Method. DW – Data Warehouse. ERM – Enterprise Risk Management. ERP – Enterprise Resource Planning. GESPÚBLICA - Programa Nacional de Gestão Pública e Desburocratização H/H – Hora-Homem. IIA – Institute of Internal Auditors. x
  13. 13. IDC – Instituto de Defesa do Consumidor IP – Internet Protocol. ISACA - Information Systems Audit and Control Association ISPL - Information Services Procurement Library. ITGI – Information Technology Governance Institute. MIS – Management Information System. ONU – Organização das Nações Unidas. OPM3 - Organizational Project Management Maturity Model. PAAAI - Plano de Atividades de Auditoria Interna. PI - Propriedade Intelectual. PMI – Project Management Institute PMMM – Project Management Maturity Model PMO – Project Management Office. ROI – Return over Inversion. SI - Segurança da Informação. Sintegra - Sistema Integrado de Informações Fiscais sobre Operações Interestaduais com Mercadorias e Serviços. SPB - Sistema de Pagamentos Brasileiro. SRF/MF – Secretaria da Receita Federal do Ministério da Fazenda. SOA – Service Oriented Architecture. SOX – Sarbanes-Oxley. TI – Tecnologia da Informação. VoIP – Voice over Internet Protocol. xi
  14. 14. Lista de TABELAS TABELA 1: PRINCIPAIS BENEFÍCIOS (TCU, 2007) TABELA 2: AUDITORIA: ABORDAGEM TRADICIONAL VERSUS PROGRESSIVA TABELA 3: REFERÊNCIAS INTERNACIONAIS E PRINCIPAIS CARACTERÍSTICAS ASSOCIADAS TABELA 4: FOCO ESTRATÉGICO E ESTRUTURA ORGANIZACIONAL TABELA 5: MATRIZ GUT xii
  15. 15. Lista de FIGURAS FIGURA 1: CLASSE, OBJETOS E ATRIBUTOS (PIMENTEL, 2007) FIGURA 2: FISCALIZAÇÕES CONCLUÍDAS POR INICIATIVA (TCU, 2007) FIGURA 3: HISTÓRICO DOS MONTANTES DAS COBRANÇAS EXECUTIVAS ENCAMINHADAS AOS ÓRGÃOS EXECUTORES (TCU, 2007). FIGURA 4: DIAGRAMA BALANCED SCORECARD (KAPLAN, 2007) FIGURA 5: DIAGRAMA ITIL (OGC, 2007) FIGURA 6: RELACIONAMENTOS ENTRE ISO/IEC 12207, ISO/IEC 15504, CMMI E MPS.BR (ALVES, 2007) FIGURA 7: RELACIONAMENTOS ENTRE INFORMAÇÃO E ATORES INTERESSADOS FIGURA 8: O CUBO COBIT FIGURA 9: PROCESSO GERAL DE AUDITORIA FIGURA 10: INTEGRAÇÃO DOS FRAMEWORKS FIGURA 11: TI COMO HABILITADOR DO NEGÓCIO FIGURA 12: ARQUITETURA DE EXCELÊNCIA DOS PROCESSOS DO NEGÓCIO FIGURA 13: CONTEXTO DA GOVERNANÇA DE TI NA ECT (SOUZA N., 2007) FIGURA 14: ESTRUTURA DE TI NA ECT FIGURA 15: CONTEXTO DA GOVERNANÇA DE TI NA ECT FIGURA 16: MAPEAMENTO BSC CORPORATIVO-COBIT-BSC DA TI FIGURA 17: PROCESSO FIGURA 18: MODELO (SISTEMOGRAFIA) DE IMPLANTAÇÃO DE PROCESSO NA ECT FIGURA 19: PROCESSO DE IMPLANTAÇÃO DA GESTÃO DE PROCESSOS NA ECT xiii
  16. 16. 1 1. INTRODUÇÃO É de domínio público que os brasileiros, historicamente, estão vulneráveis aos desvios éticos e à impunidade de prepostos políticos em todos os níveis, sem que os cidadãos e as instituições disponham de instrumentos que viabilizem um Controle Social efetivo. Embora o Estado já disponha de uma infra-estrutura tecnológica de vanguarda, cujo potencial pode favorecer a transparência na gestão dos recursos auferidos da sociedade, a inclusão digital ainda é um recurso disponível apenas a uma parcela ínfima da sociedade brasileira, de acordo com estimativa do IBOPE (Instituto Brasileiro de Opinião Pública e Estatística)/NetRatings (IBOPE, 2004). O número de internautas brasileiros cresceu significativamente nos últimos anos – de 14,3 milhões para 20,5 milhões de usuários domiciliares potenciais (pessoas que moram em domicílios que possuem pelo menos um computador com acesso à Internet)4. Apesar disso, sua densidade ainda é baixa em comparação aos países mais avançados, mesmo sendo similar à dos países vizinhos (Apud TCU, 2006). Neste contexto, várias iniciativas de governança eletrônica vêm sendo implementadas desde o final da década de 1980, nas esferas Federal, Estadual e Municipal, apresentando resultados plenamente favoráveis para o lado da administração das origens e fontes de recursos, tais como: Sistema de Pagamentos Brasileiro (SPB); Programa de Reestruturação Fiscal da Secretaria da Receita Federal do Ministério da Fazenda; Sistema Integrado de Informações Fiscais sobre Operações Interestaduais com Mercadorias e Serviços (Sintegra); Além do desenvolvimento de aplicativos afins, peculiares às prefeituras municipais e distritais, há também o advento do Governo Eletrônico (e-Gov), cujos pontos 4 Essa estimativa é feita com base em ‘um conjunto de indicadores, incluindo levantamentos telefônicos trimestrais sobre o uso da Internet no Brasil, assim como outras pesquisas do Grupo IBOPE e dados governamentais, combinando a penetração de linhas telefônicas nos domicílios, posse de computadores, número médio de usuários por computadores e número médio de residentes em casas com linhas telefônicas fixas’ (IBOPE, 2004 Apud TCU, 2006).
  17. 17. 2 positivos revelaram-se um importante instrumento no processo de modernização do Estado. De acordo com o Terceiro Fórum Global em Reinvenção do Governo [ONU/ASPA (2001)], ocorrido em 2001, há um consenso quanto ao potencial do governo eletrônico no sentido de melhorar a qualidade de vida dos cidadãos (com uma redução de custos e tempo despendidos), fortalecer a capacidade institucional (com a melhora na oferta de serviços, a redução da corrupção através de maior transparência e controle social) e desempenhar o papel de disseminador das novas tecnologias entre a sociedade civil e a empresarial (COELHO, 2001). No entanto, a conscientização e o aparelhamento do cidadão para o controle efetivo dos usos e abusos financeiros e orçamentários, por via de instituições públicas ou de organizações não governamentais, ainda é um dos desafios para a promoção e a democratização da justiça social no Brasil. Conquanto as questões da problemática nacional já ocupem as mentes de estudiosos e os espaços midiáticos do cotidiano, os desafios propostos por um horizonte global de incertezas multiplicam-se no contexto prático carente de instrumentos efetivos de controle, especialmente na esfera da Administração Pública. [...] No plano administrativo, que é quase sempre esquecido quando se discute a corrupção, em grande parte das instituições falta quase tudo, de carreiras estáveis a gente qualificada e a sistemas gerenciais minimamente organizados. Quando se desce do plano federal aos planos estadual e municipal, o que mais se encontra são desertos em que nada floresce e a incompetência domina, juntamente com sua aliada mais natural, a picaretagem. O que os escândalos mostram é que o Estado brasileiro carece urgentemente de reforma, tanto institucional quanto gerencial. Quais serão as chances de isto acontecer? Infelizmente, não parecem muito grandes. Não falta quem afirme que tudo se resolverá com uma reforma política. Essa é conversa fiada [...] (ABRAMO, 2007). Em face do recrudescimento de necessidades complexas e plurais, há limitação de recursos que permitam real incremento de produtividade e satisfação profissional, o que requer o uso otimizado do potencial das ferramentas disponíveis. No contexto da atividade de auditoria, salvo melhor juízo, a análise dos riscos das organizações ainda é feita muito a posteriori, por meio de relatórios de auditoria cuja palavra-chave, invariavelmente, é: constatou-se.
  18. 18. 3 Decorrido um longo tempo da constatação de ocorrências de desconformidade ou desvios de finalidade, apontam-se fatos já consumados com pouca ou nenhuma possibilidade de reversão de seus efeitos daninhos sobre a continuidade dos negócios. Neste contexto é que, referindo-se aos eventos desencadeados pelas denúncias envolvendo agentes públicos que resultaram na instalação da CPI dos Correios, o autor do artigo “Falta ética ou auditoria?” (SILVA, 2005) afirma que a função da auditoria não se restringe à aferição de normas contábeis. Segundo SILVA (2005), o conceito de auditoria envolve o acompanhamento da administração empresarial como um todo, por meio da verificação dos fatos e seu relato posterior a quem solicita o trabalho, do proprietário ou conselheiro da empresa, bem como do gestor público. Instrumentos de auditoria estão disponíveis para análise e correção, tais como revisão analítica, análise de demonstrações financeiras, de “business plan”, de saldos e repasses, tanto em instituições públicas quanto religiosas, com vistas a proporcionar segurança e transparência aos interessados (stakeholders, ou seja: empresário, clientes, investidores, instituições públicas e sociedade). No entanto, há carência de material humano qualificado no Brasil, haja vista a desproporção, por exemplo, entre os 12.800 auditores brasileiros (1/14.720 habitantes) e os auditores holandeses (1/1.000 habitantes) (SILVA, 2005). A falta de fiscalização eficaz acaba por estimular o agravamento do quadro econômico e ético da sociedade brasileira, manipulado por oportunistas públicos e privados. Qualquer instituição que movimente recursos expressivos deveria ser alvo de uma auditoria. A falta de uma cultura de auditoria preventiva e recorrente favorece ações pontuais associadas ao apontamento de problemas a posteriori, ou seja, quando já não há como evitar o prejuízo. É hora de aproveitar a oportunidade e utilizar os mecanismos disponíveis que garantam o conhecimento da realidade para agir sobre ela, abandonando posturas
  19. 19. 4 laissez-faire e atuando proativamente na validação dos acertos e na correção dos erros, bem como na incorporação das melhores práticas regulatórias, como aquelas adotadas pela França, cuja legislação obriga a análise de balanço por duas empresas de auditoria independentes (SILVA, 2005). Trata-se de uma abordagem realista de quem não apenas registra, desconfiado, os atos e os fatos ocorridos, mas assume uma postura de transformação da realidade fática, pela incorporação do aprendizado contínuo à cultura empresarial e social. Já para KANITZ (1999), no caso brasileiro, a corrupção é histórica e tem aval na definição estrutural das prioridades, por exemplo, as educacionais. Durante os anos da ditadura, quando a liberdade de imprensa e a auditoria não eram prioridade, as verbas da educação foram redirecionadas para outros cursos. Como conseqüência, aqui temos doze economistas formados para cada auditor, enquanto nos Estados Unidos existem doze auditores para cada economista formado. Para eliminar a corrupção teremos de redirecionar rapidamente as verbas de volta ao seu devido destino, para que sejamos uma nação que não precise depender de dedos-duros ou genros que ‘botam a boca no trombone’, e sim de profissionais competentes com uma ética profissional elaborada. Países avançados colocam seus auditores num pedestal de respeitabilidade e de reconhecimento público que garante a sua honestidade. Na Inglaterra, instituíram o Chartered Accountant. Nos Estados Unidos, eles têm o Certified Public Accountant. Uma mãe inglesa ou americana sonha com um filho médico, advogado ou contador público. No Brasil, o contador público foi substituído pelo engenheiro. Bons salários e valorização social são os requisitos básicos para todo sistema funcionar, mas no Brasil estamos pagando e falando mal de nossos fiscais e auditores e nem ao menos treinamos nossos futuros auditores. Nos últimos nove anos, os salários dos nossos auditores públicos e fiscais têm sido congelados e seus quadros reduzidos - uma das razões do crescimento da corrupção. Como o custo da auditoria é muito grande para ser pago pelo cidadão individualmente, essa é uma das poucas funções próprias do Estado moderno. Tanto a auditoria, como a fiscalização, indo dos alimentos à segurança de aviões até os direitos do consumidor e aos direitos autorais. O capitalismo remunera quem trabalha e ganha, mas não consegue remunerar quem impede o outro de ganhar roubando. Há quem diga que não é o papel do Estado produzir petróleo, mas ninguém discute que é sua função fiscalizar e punir quem mistura água ao álcool. Não serão intervenções cirúrgicas (leia-se CPI), nem remédios potentes (leia-se códigos de ética), que irão resolver o problema da corrupção no Brasil. Precisamos da vigilância de um poderoso sistema imunológico combatendo a infecção no nascedouro, como acontece
  20. 20. 5 nos países considerados honestos e auditados. Portanto o Brasil não é um país corrupto. É apenas um país pouco auditado (KANITZ, 1999) Para superação deste legado fatídico, além da formação de Auditores, a tecnologia deve ser agregada ao gerenciamento dos processos, pois tende a favorecer a ampliação do escopo a ser avaliado, com utilização ótima dos recursos disponíveis, potencializando ações mais abrangentes e mais tempestivas. Para viabilizar o acesso direto, e em tempo real, às informações corporativas de interesse da Auditoria em uma empresa do porte da Empresa Brasileira de Correios e Telégrafos (ECT), por que não aproveitar ao máximo o advento das novas tecnologias e a crescente tendência por integrá-las? Considerando-se as importantes limitações à efetividade dos trabalhos realizados em todo o território nacional, quais sejam: capilaridade e dispersão geográfica de abrangência continental e inversamente proporcional à efetividade dos sistemas de controle interno, bem como a precária proporção entre os cerca de 40 auditores internos e os cerca de 100 mil colaboradores, dos quais 80% atuando em nível operacional, este parece ser um questionamento pertinente. Tal contexto abre a possibilidade de sondagem das alternativas de diminuição da defasagem existente entre o fato e suas conseqüências, propiciando a adoção tempestiva de providências, preventivas ou corretivas, que minimizem os danos e prejuízos suportados pela organização, possibilitando maior agilidade aos processos de Controle Interno e de Tomada de Contas Especiais. SANTOS (2007) avalia a relevância dessa questão nos seguintes termos: O governo tem em suas mãos informações e ativos que são de importância vital por estarem diretamente ligados à vida dos cidadãos. A necessidade de gerenciar todo esse universo começa a abrir os olhos de alguns gestores para a necessidade de sistemas integrados. Esses pioneiros começam a perceber que o investimento num sistema desse porte, que pode ser bastante alto, tem retorno garantido. Não só financeiro: traz benefícios em termos de agilidade e transparência, duas características que são muito cobradas pela população e que, sem dúvida, geram votos. Além da carência a ser suprida, a estabilidade econômica também faz com que se pense em investir em tecnologia para aprimorar os processos no setor público. ‘Todas as propostas que recebemos são de órgãos e autarquias que nunca tiveram um sistema de gestão, é
  21. 21. 6 só projeto novo’, diz Monteiro. ‘Com a estabilidade, esses órgãos começam a direcionar verbas para atualização tecnológica’. A mudança é bem-vinda, e chega em boa hora. Só a Totvs5 trabalha hoje em 40 projetos de sistemas integrados para órgãos públicos, número 30% maior do que o que havia há um ano. A empresa conta hoje com uma equipe de quatro pessoas dedicada exclusivamente a projetos no governo. Marcelo Monteiro vê essas mudanças na empresa como um reflexo da mudança de mentalidade do setor público. Ao longo dos próximos três ou quatro anos, estima o executivo, a estabilidade e as pressões por controles mais eficazes e maior transparência levarão o mercado cada vez mais para esse caminho. Esperamos que assim seja. (SANTOS, 2007). Busca-se, neste trabalho, caracterizar a viabilidade da agregação convergente dos fatores tecnológicos disponíveis ao recém institucionalizado processo de auto- auditoria na ECT, conforme preconizado no subitem 9 do item 1 do Plano Anual de Atividades de Auditoria Interna (PAINT 2008). Tais fatores são, genericamente, os seguintes: a) os padrões e sistemas integrados de gerenciamento das informações; b) os modelos automatizados de gestão do conhecimento (comunidades virtuais de práticas, fóruns de discussão eletrônica, teleconferência, etc.); c) as ferramentas automatizadas de suporte aos processos decisório e de negócios. A questão que se apresenta é: será possível aproveitar o advento das novas tecnologias e metodologias de governança para viabilizar a implantação de soluções automatizadas de monitoramento contínuo das auto-auditorias? Na busca por uma resposta positiva, serão focalizados os aspectos relacionados à análise de métodos, práticas e ferramentas automatizadas, disponíveis na ECT, que permitam o monitoramento contínuo dos processos gerenciais em nível corporativo. Vislumbra-se, assim, uma oportunidade de contribuição efetiva ao processo de controle interno da ECT, diante da veloz obsolescência do conhecimento, principal ativo da instituição e o mais vulnerável diante da ameaça constante de evasão do capital intelectual. 5 Fornecedor de Sistema Integrado de Informações Gerenciais (ERP), líder de mercado no Brasil, conforme pesquisa da FGV reproduzida à página 57 deste trabalho.
  22. 22. 7 Portanto, a motivação para elaboração desta monografia, mais que o cumprimento de um requisito curricular, apresenta-se na possibilidade da agregação de ferramentas de qualidade ao exercício do controle interno na ECT, cujo propósito é atuar tempestivamente na mitigação dos riscos à consecução dos objetivos organizacionais com efetividade, eficiência e eficácia (Art. 57 da Constituição Federal/1988). Os auditores precisam extrapolar a síndrome do perito analista de corpus delitus que se limita a dissecar o de cujus, identificando a causa mortis, passando a uma postura proativa de prevenção que evite a morte do paciente, no caso: a empresa. Tal postura decorre de uma cosmovisão progressista, não fatalista, que apreende a realidade como um processo passível de aperfeiçoamento contínuo. [...] A filosofia pode facilitar a disciplina espiritual do estudo. O estudo em si mesmo é uma disciplina espiritual, e o simples ato de estudar pode mudar o eu. Aquele que experimenta a disciplina do estudo vive experiências que desenvolvem algumas habilidades decorrentes desse hábito: enquadrar um tema, resolver problemas, aprender a pesar a evidência e eliminar os fatores irrelevantes, aperfeiçoar a capacidade de observar as distinções importantes em vez de confundi-las, e assim por diante. A disciplina do estudo também ajuda no desenvolvimento de certas virtudes e valores, por exemplo, o desejo pela verdade, a honestidade com os dados, a abertura à crítica, a auto-reflexão e a habilidade para se relacionar não defensivamente com aqueles que são de opinião contrária (MORELAND, 2005). Para tanto, requer-se a atualização tecnológica continuada dos instrumentos e métodos de trabalho dos estudiosos, bem como dos gestores e colaboradores em todos os níveis da organização. 1.1. OBJETIVO GERAL Caracterizar soluções de Tecnologia da Informação que viabilizem a obtenção tempestiva de resultados consistentes das auto-auditorias setoriais, conferindo maior efetividade às auditorias de TI e à Governança Corporativa na ECT.
  23. 23. 8 1.2. OBJETIVOS ESPECÍFICOS a) Caracterizar as tecnologias disponíveis no âmbito corporativo da ECT, potencialmente convergentes com a necessidade de controle efetivo sobre as ações gerenciais, e seu alinhamento aos objetivos estratégicos da organização; b) Propor a inclusão ou o aproveitamento de soluções disponíveis de TI, ou de módulos de auto-auditoria automatizada, nos Sistemas e Modelos Integrados de Informações Gerenciais (ERP, DW, BSC, BI); c) Propor a incorporação de melhores práticas, padrões, modelos, funcionalidades e trilhas de auditoria que permitam a identificação de fragilidades, vulnerabilidades e oportunidades de melhoria dos processos de Controle Interno da ECT. 1.3. PROBLEMA Há alternativas de automatização do processo de auto-auditoria (self-assessment) que diminuam o fosso (gap) existente entre a ocorrência do fato em desconformidade, a constatação de suas conseqüências e a adoção tempestiva de providências, preventivas ou corretivas, que minimizem os danos e prejuízos suportados pela organização? 1.4. HIPÓTESE Há uma contumaz e extremamente prejudicial falta de integração das informações de suporte aos processos decisório e de negócios, comprometendo a efetividade das ações gerenciais nas empresas. Planos, Programas e Projetos que sofrem solução de continuidade e Estudos de Viabilidade Técnico-Econômica que não se confirmam na prática, são algumas das constatações decorrentes da falta de uma governança corporativa eficaz.
  24. 24. 9 Um desses projetos especiais: o pessoal de TI pretende instalar um módulo, no sistema de gestão, para calcular o retorno do investimento (ROI) de um projeto depois de alguns meses de funcionamento. Nós, CIOs, temos o hábito de medir o retorno para justificar a compra do projeto. Depois, não mais (JANSSEN, 2007). A constatação acima, infelizmente, não se restringe aos CIOs; é generalizada em todos os níveis de várias organizações em ambos os setores: público e privado. 1.5. METODOLOGIA A metodologia adotada parte da pesquisa bibliográfica descritiva e contempla levantamentos de campo por meio de entrevistas semi-estruturadas, suportadas por questionários dirigidos aos gestores-chave das áreas de TI e de Auditoria Interna da ECT, bem como informações colhidas em bibliografia especializada tais como: revistas técnicas, apostilas, folders, prospectos, palestras, cursos e eventos relacionados ao tema. A referência a trabalhos já desenvolvidos por outros colegas, no âmbito da ECT ou fora dela, tem a finalidade de remeter o leitor àquelas fontes, no sentido do eventual interesse em aprofundar-se na matéria aqui estudada e demais ferramentas pertinentes, cuja metodologia não se pretende explorar, senão na medida da necessidade específica desta monografia. 1.5.1. RESULTADOS ESPERADOS a) Conscientizar quanto à possibilidade de realização remota de procedimentos de auditoria que dispensem o deslocamento físico dos auditores, minimizando custos com tempo (H/H), passagens, hospedagem e diárias, a partir do acesso on-line às auto-auditorias e às bases de dados corporativos; b) Estimular o uso otimizado dos recursos tecnológicos disponíveis, fomentando a tempestividade nas ações gerenciais e maior efetividade na governança corporativa, de modo a identificar os riscos mais representativos ao negócio e assegurando a atuação tempestiva com vistas à continuidade da instituição;
  25. 25. 10 c) Propor a incorporação de modelos orientados por processos automatizados via Intranet para integração corporativa e monitoramento contínuo das auto- auditorias localizadas nas diversas áreas da organização. O desenvolvimento deste trabalho, a partir do Capítulo 2 - Fundamentação Teórica, aborda os principais Conceitos Básicos, o Contexto Histórico e a Evolução Progressiva da Governança, os Padrões Nacionais e Internacionais de Conformidade, as principais Tendências Tecnológicas e propõe a Integração de Estruturas (Frameworks), de Padrões e Melhores Práticas, culminando com um Estudo de Caso aplicável à ECT. No Capítulo 3 – Possibilidades há alternativas de automação do processo de auto- auditoria na ECT, tais como: Auditoria Remota, Aproveitamento de Soluções Tecnológicas, Implantação do de Gestão de Risco (ERM), Framework Aproveitamento da Camada de Integração na Automatização dos Processos de Auditoria Interna. Propõe-se o Alinhamento ao Programa Nacional de Gestão Pública e Desburocratização (Gespública). No Capítulo 4 – Conclusão retoma-se o Objetivo e o Problema sob a luz da discussão elaborada no escopo, avalia-se o alcance dos objetivos específicos, as constatações e restrições encontradas, as Conclusões obtidas e os Resultados Esperados do presente estudo, remetendo as questões deixadas em aberto aos desdobramentos futuros, eventualmente em nível de Mestrado ou Doutorado.
  26. 26. 11 2. FUNDAMENTAÇÃO TEÓRICA 2.1 CONCEITOS BÁSICOS A definição conceitual dos termos, a despeito da parcialmente pertinente crítica materialista6 ao plano das idéias, é fundamental para a compreensão crítica que deve anteceder as ações7 humanas. Portanto, oferecer um espaço de discussão sobre idéias ao mesmo tempo inovadoras e instigantes não se constitui um artifício de requinte intelectual para um punhado de iluminados. Denota, mais propriamente, a sintonia com a incerteza e a perplexidade em que vivemos hoje, não só no domínio do conhecimento científico, mas também no espaço do cotidiano de nossas vidas. Para Edgar Morin, o debate sobre o conhecimento ‘não poderia constituir um domínio privilegiado para pensadores privilegiados, uma competência de experts, um luxo especulativo para filósofos, mas uma tarefa histórica para cada um e para todos. A epistemologia complexa deveria instalar-se, senão nas ruas, ao menos nas mentes, mas isso exige, sem dúvida, uma revolução mental’ (ALMEIDA, 2004). Neste sentido, não há isenção ideológica possível, pois cada sujeito está subordinado por suas próprias pressuposições e a dialética própria com que as expressa, como bem explica CHAUÍ (1988): O conhecimento da realidade exige que diferenciemos o modo como é concretamente produzida. Imediato, abstrato e aparência são momentos do trabalho histórico negados pela mediação, pelo concreto e pelo ser. Isto significa que esses termos são contraditórios e reais. Sua síntese é efetuada pelo espírito. Essa síntese é o que Hegel denomina: conceito. Esses vários aspectos do pensamento hegeliano (aqui grosseiramente resumidos) constituem a dialética, ou seja, a história como processo temporal movido internamente pelas divisões ou negações (contradição) e cujo Sujeito é o Espírito como reflexão. Essa dialética é idealista porque seu sujeito é o Espírito, e seu objeto também é o Espírito. Em última instância, portanto, a história é o movimento de posição, negação e conservação das Idéias - unidade do sujeito e do objeto da história, que é Espírito (CHAUÍ, 1988:34- 42). 6 “Os filósofos se limitaram a interpretar o mundo de diferentes maneiras (...), mas o que importa é transformá-lo” (cf. a tese XI – Ad Feuerbach) (SANT’ANNA, 2006:24). 7 “Assim também a fé, se não tiver obras, é morta em si mesma”. Tiago 2:17 (ALMEIDA, J.F. 1986).
  27. 27. 12 A Tecnologia da Informação e a Auditoria, disciplinas-chave do tema desta monografia, vêm tomando emprestada uma infinidade de termos e conceitos oriundos de várias áreas do conhecimento, a começar da Filosofia, dentre os quais se destacam, para o objetivo deste trabalho, os seguintes: 2.1.1 CATEGORIAS: É notório como o conceito de categoria, por meio da decomposição, se aplica aos processos básicos de percepção, apreensão e classificação, recursos de que dispomos na busca pela compreensão da complexidade para organização do próprio conhecimento, conferindo-lhe utilidade funcional concreta, pré-requisito necessário a qualquer ação que se pretenda efetivar. Na história da filosofia tem havido várias opiniões sobre a natureza das categorias, ou seja, ao que corresponde um conjunto de categorias, sendo que as duas principais escolas do pensamento sobre categorias são representadas por Aristóteles e Immanuel Kant. De acordo com Aristóteles, há dez categorias básicas da realidade: substância, quantidade, qualidade, relação, lugar, tempo, posição, estado, ação e paixão. Para Aristóteles, as dez categorias podem, por sua vez, ser entendidas tomando-se a categoria de substância como fundamental ou básica e as outras nove categorias como modos diferentes pelos quais a substância pode ser modificada ou pode ser qualificada. O que é mais crucial na visão de Aristóteles sobre as categorias não é, no entanto, a natureza precisa ou o número das suas classificações. Antes, o que é mais importante na sua abordagem sobre as categorias é que sua proposta nos proporciona divisões reais no próprio mundo real, como existe ‘lá fora’, i.e., como ele é em si mesmo independente do pensamento ou da linguagem humana. Para ele, as categorias são as mais amplas e reais divisões do ser (MORELAND, 2005). 2.1.2 ONTOLOGIAS Conforme CARDOSO (2007), o termo Ontologia é vastamente conhecido e aplicado em áreas como a Filosofia e Epistemologia significando respectivamente, um ‘sujeito da existência’ e um ‘conhecimento e saber’.
  28. 28. 13 Recentemente esse termo passou a ser usado também na área de Inteligência Artificial, visando descrever conceitos e relacionamentos utilizados por um agente ou uma co-unidade destes. Do ponto de vista de Banco de Dados (BD), uma ontologia é uma ‘especificação parcial de um domínio ou meta-domínio, descrevendo entidades, relações entre elas e regras de integridade’. Assim, uma ontologia pode ser vista como um modelo conceitual de dados. Um modelo conceitual descreve, dentre outras coisas, a estrutura dos dados do Banco de Dados num alto nível de abstração, enquanto que uma ontologia contém um vocabulário de conceitos ou classes, estrutura de árvore, relacionamentos entre conceitos. Na busca por significado, o homem tem recorrido historicamente aos artifícios e artefatos, inclusive de linguagem, que lhe permitam reduzir a complexidade a um nível que lhe seja possível manipular. Para compreender um pouco o uso de Ontologias, podemos utilizar um exemplo de duas lojas de vendas de automóveis que mantêm schemas próprios que descrevem as respectivas estruturas nas quais as informações de seus produtos estão armazenadas. Para a troca de informações entre as lojas X e Y, uma ontologia poderia ser utilizada para explicitar formalmente que a propriedade chamada ‘Automóvel’ na loja X é equivalente à propriedade ‘Carro’ na loja Y. Por este motivo é possível dizer que ontologias realizam definições comuns e compartilhadas sobre domínios de conhecimento, pois a partir dela, um agente de softwares está apto a ‘entender’ que o conceito ‘Automóvel’ tem o mesmo significado que o conceito ‘carro’ na outra loja [CHANDRASEKARAN, 1999, apud CARDOSO]. Por ocasião do Fórum TIC Governo, realizado em abril de 2008 em Brasília, um representante8 da Controladoria Geral da União (CGU) apresentou um estudo de caso sobre o uso da Tecnologia da Informação na prevenção e combate às fraudes. Naquele contexto foi mencionado o uso do conceito de ontologia na produção de provas judiciais a partir da identificação e análise de padrões em milhares de transações financeiras e complexas redes de relacionamento. 8 Informação verbal de Marcelo Stopanovski Ribeiro. Disponível em: www.itec.al.gov.br/sala-de- imprensa/noticias-nacionais/forum-apresenta-solucoes-em-t-i-para-governo Acesso em: 07/05/2008.
  29. 29. 14 2.1.3 ORIENTAÇÃO AO OBJETO – UMA APLICAÇÃO DAS CATEGORIAS Na cronologia do desenvolvimento de sistemas, a evolução das linguagens de programação se deu a partir das linguagens de baixo nível (Ex.: Assembler), passando pelas estruturadas, compiladas ou interpretadas (Ex.: Pascal, COBOL e APL), atingindo o status atual das linguagens chamadas de alto nível, cujo alto desempenho e maior flexibilidade permitiram a implantação da metodologia de Orientação ao Objeto. No paradigma procedural, o software é decomposto em uma hierarquia de procedimentos ou tarefas. No paradigma orientado a objetos, o software é decomposto em uma hierarquia de componentes que interagem entre si (normalmente objetos). (PAGLIARES, 2007) Conceitos úteis originados para além do escopo telemático, tais como os elencados a seguir, são hoje lugar comum no cotidiano dos Analistas de Sistemas, freqüentemente, sem que se tenha a noção de sua origem filosófica. Sistema: O termo sistema vem sendo utilizado desde longa data nos vários ramos do conhecimento humano, mas passou a ser tratado de forma mais consistente a partir da ‘Teoria Geral dos Sistemas’ (1947), elaborada por Ludwig Von Bertalanffy, e a partir da obra de Norberto Wiener, ‘Cibernética e sociedade’ (1950). ‘Sistema é um pacote de energia constituinte – com uma pele limitando a faixa interna e a faixa externa – por onde se dá o intercâmbio de energia reconstituinte (...) regulado por auto, hetero e inter-feedback (...)’ (GREGORI, 1988:32 Apud SANT’ANNA, 2006:19). No contexto específico de TI, segundo PAGLIARES (2007), os sistemas complexos possuem as seguintes características: • Possuem uma estrutura hierárquica; • A escolha de quais componentes são primitivos no sistema é arbitrária; • Um sistema pode ser dividido em relacionamentos intra e intercomponentes. Esta separação de interesses permite o estudo de cada parte isoladamente. • Sistemas complexos são normalmente compostos de poucos tipos de componentes em diversas combinações.
  30. 30. 15 • Um sistema complexo de sucesso, de uma forma ou de outra, evolui de um sistema simples. O paradigma de Orientação ao Objeto (OO) é uma aplicação evoluída a partir do conceito de categorias, resultando em uma metodologia bem sucedida de desenvolvimento de sistemas. FIGURA 1: CLASSE, OBJETOS E ATRIBUTOS (PIMENTEL, 2007). 2.1.4 ANÁLISE DE DADOS Conforme o teor da Apostila do Curso Básico em ACL – Audit Command Language, ministrado nas dependências da Tech Supply, em São Paulo, no ano de 2005, todo projeto de análise de dados deve seguir um ciclo regular de atividades. Isto ajuda a assegurar que seu trabalho será minucioso, preciso e realizado com eficiência. O ciclo de análise de dados possui cinco estágios: Planejamento (defina objetivos claros, desenvolva estratégias e estime • tempo e recursos necessários); Acesso aos dados (localizar, solicitar, transferir... ); • Verificação da integridade dos dados (correção e completude); • Análise dos dados (testes objetivos, combinar comandos, filtros e campos • calculados); Apresentação de Resultados (criar relatórios multi-linhas, detalhados e • sumarizados).
  31. 31. 16 Na opinião de ALLES9 (2006), uma coisa é, para um auditor, escolher basear os procedimentos de auditoria em dados limitados quando estes são muito dispendiosos de serem obtidos, e outra coisa bem distinta é continuar agindo assim quando dados ilimitados estão prontamente disponíveis. Esta última situação é aquela em que a profissão de auditor irá crescentemente encontrar-se envolvida, até que procedimentos e sistemas de auditoria sejam desenvolvidos para poder explorar a disponibilidade de dados tempestivos e altamente desagregados. Em outras palavras, a profissão de auditor tem que responder à questão de o que planeja fazer com todos os dados que logo estará apta a obter facilmente, dados que provém um nível de detalhe da ordem de magnitude três, para além dos dados amostrais e altamente agregados que são a base da metodologia de auditoria atual; ou, então, explicar por que os dados são jogados fora sem uso. Certamente existem desafios em lidar com tal quantidade de dados, cuja qualidade é variável, mas os custos que o auditor enfrenta ao processá-los deve ser pesado contra os benefícios potenciais associados com a oportunidade generalizada do multibilionário investimento feito em dólar pelas empresas na implantação dos sistemas ERP, o que torna a provisão daqueles dados possível, a princípio. É incumbência dos auditores o desenvolvimento de metodologias que explorem aquela oportunidade de modo que possam prover seus clientes com auditorias mais efetivas, mais eficientes e de maior qualidade. 9 Tradução Livre.
  32. 32. 17 2.1.5 GOVERNANÇA CORPORATIVA A WIKIPEDIA (2007) traz, para o verbete Governança Corporativa, que o conceito consiste no “Sistema pelo qual as sociedades empresariais são dirigidas e monitoradas pelo mercado de capitais, envolvendo os relacionamentos entre acionistas, conselho, diretoria e auditoria.” Descreve ainda o processo de tomada de decisão e de implantação ou não implantação das decisões tomadas, em que as instituições públicas conduzem os negócios públicos, administram recursos públicos e buscam assegurar a realização dos direitos humanos. Além disso, no caso de Tecnologia da Informação, condiz também com o relacionamento entre a área de TI e o restante da organização, definindo as oito principais características da ‘boa governança’ como: Participação; • Estado de direito; • Transparência; • Responsividade; • Orientação por consenso; • Igualdade e inclusividade; • Efetividade e eficiência; • Prestação de contas (Accountability)”. • Tem-se, na mesma fonte, o seguinte detalhamento para uma melhor definição destes termos: Participação: que homens e mulheres devem participar igualmente das atividades de governo. A participação deve contemplar a possibilidade de participação direta ou participação indireta através de instituições ou representantes legítimos. A participação implica a existência de liberdade de expressão e liberdade de associação por um lado e uma sociedade civil organizada, de outro lado.
  33. 33. 18 Estado de Direito: que a boa governança requer uma estrutura legal justa que se aplica a todos os cidadãos do Estado independentemente de sua riqueza financeira, poder político, classe social, profissão, raça e sexo. A boa governança deve assegurar total proteção dos direitos humanos, pertençam as pessoas a maiorias ou a minorias sociais, sexuais, religiosas ou étnicas. A boa governança deve assegurar que o poder judiciário seja independente do poder executivo e do poder legislativo. A boa governança deve assegurar que as forças policiais sejam imparciais e incorruptíveis. Transparência: que as decisões tomadas e sua fiscalização são feitas através de regras e regulamentos conhecidos. Toda a informação governamental é livremente disponível e diretamente acessível para aqueles que serão afetados por tais decisões e pelos trabalhos de fiscalização. Responsividade: que as instituições governamentais e a forma com que elas procedem são desenhadas para servir aos membros da sociedade como um todo e não apenas a pessoas privilegiadas. Os processos das instituições governamentais são desenhados para responder às demandas dos cidadãos dentro de um período de tempo razoável. Decisões orientadas para um Consenso: que as decisões são tomadas levando- se em conta que os diferentes grupos da sociedade necessitam mediar seus diferentes interesses. O objetivo da boa governança na busca de consenso nas relações sociais deve ser a obtenção de uma concordância sobre qual é o melhor caminho para a sociedade como um todo. Além disso, as decisões também devem ser tomadas levando em conta a forma como tal caminho pode ser trilhado. Essa forma de obter decisões requer uma perspectiva de longo prazo para que ocorra um desenvolvimento humano sustentável. Essa perspectiva também é necessária para conseguir atingir os objetivos desse desenvolvimento. Igualdade e inclusividade: que a boa governança deve assegurar igualdade de todos os grupos perante os objetivos da sociedade. O caminho proposto pelo governante deve buscar promover o desenvolvimento econômico de todos os grupos sociais.
  34. 34. 19 As decisões devem assegurar que todos os membros da sociedade sintam que façam parte dela e não se sintam excluídos em seu caminho para o futuro. Esta abordagem requer que todos os grupos, especialmente os mais vulneráveis, tenham oportunidade de manter e melhorar seu bem–estar. Efetividade e eficiência: a boa governança deve assegurar que os processos e instituições governamentais devem produzir resultados, os quais vão ao encontro das necessidades da sociedade ao mesmo tempo em que fazem o melhor uso possível dos recursos à sua disposição. Veja Lei do Ótimo de Pareto (80/20). Isso também implica que os recursos naturais sejam usados sustentavelmente e que o ambiente seja protegido. Suporte à auditoria fiscalizadora: que as instituições governamentais, as instituições do setor privado e as organizações da sociedade civil devem poder ser fiscalizáveis pelas pessoas da sociedade e por seus apoiadores institucionais. De forma geral, elas devem ser fiscalizáveis por todas aquelas pessoas que serão afetadas por suas decisões, atos e atividades. LOPES, C. (2007), em seu artigo sobre o que é governança corporativa, publicado no site da revista iMasters10, afirma que: Uma boa governança corporativa é importante para os investidores profissionais. Grandes instituições atribuem à governança corporativa o mesmo peso que aos indicadores financeiros quando avaliam decisões de investimento. Estudos comprovam que investidores profissionais se dispõem até mesmo a pagar um grande ágio para investir em empresas com altos padrões de governança. Em sua essência a governança corporativa tem como principal objetivo recuperar e assegurar a confiabilidade em uma determinada empresa para os seus acionistas. Tarefa esta difícil, pois como na vida real, a confiança uma vez abalada, demora-se para se recuperar a confiabilidade em uma determinada pessoa. Assim também é com as empresas (LOPES, 2007). Destaca ainda, o mesmo autor, para que haja aderência ao negócio e sua estratégia, a existência de seis ativos principais, cujos elementos essenciais de cada ativo incluem: 10 http://www.imasters.com.br/artigo/3941/governanca/o_que_e_governanca_corporativa/
  35. 35. 20 Ativos humanos: pessoas, habilidades, planos de carreira, treinamento, relatório, mentoring, competências etc. Ativos financeiros: dinheiro, investimentos, passivo, fluxo de caixa, contas a receber etc. Ativos físicos: prédios, fábricas, equipamentos, manutenção, segurança, utilização etc. Ativos de Propriedade Intelectual (PI), incluindo o know-how de produtos, serviços e processos devidamente patenteados, registrados ou embutidos nas pessoas e nos sistemas da empresa. Ativos de informação e TI: contemplando dados digitalizados, informações e conhecimentos sobre clientes, desempenho de processos, finanças, sistemas de informação e assim por diante. Ativos de relacionamento: relacionamentos dentro da empresa, bem como relacionamentos, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas etc. A governança destes ativos ocorre por meio de um grande número de mecanismos organizacionais (por exemplo: estruturas, processos, comitês, procedimentos e auditorias), pelo que a maturidade na governança desses ativos varia significativamente na maioria das empresas, com os ativos financeiros e físicos sendo tipicamente os mais bem governados, enquanto os ativos de informação figuram entre os piores. 2.1.6 AUDITORIA E AUTO-AUDITORIA Conforme KIMURA et. al. (1999), grande parte das teorias de administração advoga um processo administrativo composto pelo menos das seguintes atividades: planejamento, execução, controle e ajustes ou feedback.
  36. 36. 21 Neste contexto, a administração deve estabelecer planos de longo, médio e curto prazos, onde objetivos e metas devem refletir a visão e as exigências dos acionistas. Numa perspectiva mais moderna, devem também ser levados em consideração, a motivação dos funcionários, a satisfação dos clientes, o relacionamento com fornecedores e com todos os demais elementos que estão envolvidos com a empresa, como por exemplo, os credores, a comunidade, o meio ambiente, etc. Ainda em função das atividades da administração, deve-se colocar os planos em prática visando a busca e a efetivação das ambições e desejos estabelecidos no processo de planejamento. Surge naturalmente, portanto, a necessidade de monitoramento da implantação das operações da empresa, no sentido de verificar a conformidade e consistência dos resultados e eventualmente identificar problemas e falhas visando impulsionar ações de ajuste e adequação de todo o processo, desde a compra de matéria-prima e operacionalização da produção até serviços de pós-venda. Para a atividade de monitoramento e conseqüente avaliação de desempenho, são necessários a coleta de informação e o cálculo de indicadores que permitam a comparação entre valores efetivos e valores planejados, a avaliação dos desvios e o diagnóstico de pontos de melhoria. Ainda segundo KIMURA, a mensuração do desempenho empresarial representa tema gerador de controvérsias. Se por um lado as medidas usuais, baseadas em modelos financeiros, propiciam a fundamentação de comparações e o fácil entendimento, uma vez que retorno monetário e fluxo de caixa são conceitos extremamente intuitivos, por outro lado, pode-se argumentar que aspectos distintos devem ser considerados quando se julga o desempenho. A ênfase excessiva na consideração de medidas inerentemente financeiras pode distorcer a avaliação de desempenho, haja vista que muitas variáveis presentes no contexto da empresa dificilmente podem ser apropriadamente traduzidas em termos financeiros, principalmente quando envolvem itens intangíveis e interpretações subjetivas.
  37. 37. 22 Tradicionalmente, os modelos de monitoramento da eficiência produtiva baseiam-se em indicadores quantitativos, facilmente mensuráveis e de caracterização imediata, como quantidade de falhas, desvios em relação a especificações determinadas, tempo de inicialização de máquinas e equipamentos, taxa de utilização da capacidade produtiva, número de itens produzidos, etc. Assim, tendo em vista a preocupação em mensuração de aspectos tangíveis, que representavam papel fundamental na era industrial, dado à relevância das economias de escala e de escopo, tornaram-se padrão para a avaliação de desempenho da corporação, medidas financeiras, como por exemplo, rentabilidade sobre capital, margem de contribuição, custos unitários, grau de alavancagem financeira e operacional, etc. Se a maximização de lucro ou de valor consiste em objetivo empresarial plausível, então a mensuração do desempenho (performance) financeiro é plenamente justificada. Ainda mais, os indicadores financeiros podem facilmente ser extraídos ou derivados da base de dados já disponível para a elaboração de relatórios para atendimento de requisitos legais (balanços patrimoniais, demonstrativos de resultados, etc.), motivando sua utilização para o processo de avaliação e tomada de decisão. Porém, com o desenvolvimento de tecnologias e a aceleração do processo de mudança de paradigmas pode-se observar um atraso na evolução dos sistemas de mensuração de desempenho organizacional. Enquanto ocorriam alterações drásticas no processo produtivo através do uso de técnicas modernas de gestão, com desdobramentos de qualidade total, minimização de estoques, melhorias contínuas, reengenharia, avaliação de carteiras, automatização, informatização e integração de atividades, os indicadores de desempenho continuaram focando-se, basicamente, na perspectiva financeira. KIMURA e outros inferem que, se o processo produtivo vem sofrendo grandes modificações, torna-se lógico que os modelos de monitoramento e avaliação de desempenho (performance) devem também se ajustar para incorporar novos aspectos presentes na era da informação: exploração dos ativos intangíveis,
  38. 38. 23 acompanhamento da inovação tecnológica, aproveitamento de alternativas implícitas nos negócios, cadeia de valor virtual, integração corporativa, etc. Para a execução dessa tarefa de avaliação do desempenho organizacional é que existem os tipos gerais de Auditoria, que são: • Externa (contratada para emissão de pareceres anuais independentes); • Interna (responsável pela verificação continuada dos controles internos); e • Governamental, que no Brasil é incumbência do: Tribunal de Contas da União (TCU, atuando em última instância como o um Tribunal Superior); o pelos Tribunais de Contas Estaduais (TCs); e o pela Secretaria Federal de Controle (SFC) da Controladoria Geral da União (CGU, atuando no âmbito do Poder Executivo). A percepção popular é que, historicamente, a atuação dos Tribunais Superiores no Brasil, embora assessorada tecnicamente, está sujeita a um forte viés político que, no caso do TCU o tornaria uma espécie de apêndice ao Congresso Nacional e poderia explicar o baixo índice de recuperação efetiva de perdas e prejuízos sofridos pela Administração Pública (cerca de um por cento), especialmente em delitos que costumam envolver Agentes Políticos. No entanto, o Relatório Anual de Atividades do TCU, relativo ao exercício de 2007, aponta um elevado índice de iniciativa própria resultando num montante de cerca de R$ 600,2 milhões encaminhados aos órgãos responsáveis pela execução judicial, sendo que desse total cerca de R$ 566,3 milhões correspondem a débitos e R$ 33,9 milhões a multas.
  39. 39. 24 FIGURA 2: FISCALIZAÇÕES CONCLUÍDAS POR INICIATIVA FIGURA 3: HISTÓRICO DOS MONTANTES DAS COBRANÇAS EXECUTIVAS ENCAMINHADAS AOS ÓRGÃOS EXECUTORES (TCU, 2007) Além disso, o referido Relatório cita como principais benefícios da atuação do TCU os constantes da tabela abaixo:
  40. 40. 25 TABELA 1: PRINCIPAIS BENEFÍCIOS (TCU, 2007) Com a CGU, a despeito da feliz iniciativa do Portal da Transparência publicado via WEB para viabilizar o Controle Social, além das demais ações de rotina, a percepção não é muito diferente, já que aquela agência estatal compõe a própria estrutura do Poder Executivo que lhe compete auditar, dando-se o mesmo com os órgãos de Auditoria Interna nas diversas instituições públicas. Já o Ministério Público Federal vem alcançando maior visibilidade e manifesta mais independência em suas ações, o que sugere a necessidade de revisão do modelo atual adotado para o funcionamento do Sistema de Controle no Brasil. Daí que se entende aqui, a despeito do chavão tradicional de “quem audita não faz”, ser indispensável focar a iniciativa nos próprios gestores, de forma tanto quanto possível proativa, para a instituição e avaliação dos controles, pois daquela postura exclusivista não deriva a prerrogativa de isenção de responsabilidade solidária em relação à qualidade dos processos e atividades de sua competência. A auto-auditoria é, portanto, a implantação em primeira mão de controles internos efetivos e a verificação continuada de sua qualidade por parte dos próprios gestores, posto que estes são os maiores interessados na conformidade de seus processos e atividades aos requisitos definidos nos planos, programas, manuais e demais normativos aplicáveis, bem como na avaliação de desempenho e resultados, bem
  41. 41. 26 como do seu indispensável alinhamento com os objetivos estratégicos da organização. A cultura ativista dos executivos brasileiros, no entanto, não tem favorecido esta concepção, pois se verifica a prática contumaz de delegar a terceiros, especialmente aos auditores internos, as tarefas de proposição e até mesmo implantação de controles, sob a desculpa de que não há tempo para que os gestores delas se ocupem. É freqüente o acionamento dos auditores internos, por parte dos gestores, com o fim de validarem ou proporem alternativas de controles, comportamento este que deve ser prontamente rechaçado pelos auditores internos, pois tal prática conflita com a indispensável independência na realização isenta da função de auditoria. Ademais, na faculdade que tem os gestores de exercitarem o poder discricionário já está disponível a competência para agregar contribuições de consultorias e assessorias técnicas especializadas para, no melhor interesse da organização, identificar os riscos, os fatores críticos de sucesso, as tecnologias e os recursos necessários à consecução dos objetivos organizacionais, observando sempre, entre outros, os princípios da legalidade, moralidade, impessoalidade da administração pública, eficiência, eficácia e economicidade (Artigo 37 da Constituição Federal de 1988). 2.1.7 GOVERNANÇA DE TI Controlar e monitorar continuamente estes ativos não é tarefa fácil e necessita-se uma forte receptividade e patrocínio por parte da direção da empresa. Dentre todos estes ativos se destacam os Ativos de informação, uma vez que as informações disponibilizadas pela área de TI sustentarão a empresa e todos os controles, processos, procedimentos e métricas partirão da TI. Tradicionalmente, as organizações dedicam grande atenção para com seus ativos tangíveis físicos e financeiros, mas relativamente pouca atenção aos ativos de informação que possuem. Em anos recentes, contudo, a informação assumiu importância vital para manutenção dos negócios, marcados pela dinamicidade da
  42. 42. 27 economia globalizada e permanentemente on-line, de tal forma que, atualmente, não há organização humana que não seja dependente da tecnologia de informações, em maior ou menor grau, de forma que o comprometimento do sistema de informações por problemas de segurança pode causar grandes prejuízos ou mesmo levar a organização à falência (CARUSO, 1999 apud CASANAS et. al. 2001). Segundo WEILL (2005), a Governança de TI se dá por meio da especificação dos direitos decisórios e da estrutura de responsabilidades para estimular comportamentos desejáveis na utilização da TI. Com base em um estudo feito junto a 250 empresas de todo o mundo, Weill e Ross afirmam que o valor de negócios de TI resulta diretamente de uma governança de TI eficaz (da alocação, pela empresa, da responsabilidade e dos direitos decisórios). Suas pesquisas revelam que as empresas com superioridade em governança de TI têm lucros no mínimo 20% maiores do que as com má governança, considerados os mesmos objetivos estratégicos. Mas somente 38% da alta gerência conseguem descrever com precisão sua governança de TI (como, então, os demais gerentes poderão tomar boas decisões pela empresa a esse respeito?). Em Governança de TI, os autores mostram como conceber e Implantar um sistema de direitos decisórios que enderecem três questões fundamentais: Quais decisões devem ser tomadas para assegurar o uso e a gestão apropriados da TI? Quem deve tomar estas decisões? Como tomá-las e monitorá-las? Com suas ilustrações vívidas de sistemas de governança usados pelas empresas de melhor desempenho nos setores público e com fins lucrativos (incluindo a Du Pont, a UPS, a UNICEF, a State Street Corporation, a Motorola e a Panalpina), o livro GOVERNANÇA DE TI: Tecnologia da Informação oferece um modelo e as ferramentas para customizar um sistema de governança de TI: As cinco decisões principais que determinam o uso eficiente da TI; • Um conjunto de modelos aprovados para alocar os direitos decisórios; • Vários mecanismos comprovados para Implantar a governança de TI; •
  43. 43. 28 Uma Matriz de Arranjos de Governança para alinhar a TI aos objetivos gerais • de negócio. A máxima é: pare de pensar em TI como função isolada e comece a desenvolvê-la como uma competência organizacional. 2.1.8 BALANCED SCORECARD (BSC®) A constatação da importância dos mapas estratégicos motivou os autores Robert Kaplan e David Norton a escrever um terceiro livro da série Balanced Scorecard (KAPLAN et. al., 2007), em que apresentam várias novas contribuições importantes. Entre essas contribuições estão: • um padrão que descreve os componentes básicos de como se cria valor nas perspectivas de processos internos e de aprendizado e crescimento; • ]temas, baseados nos processos que criam valor, capazes de esclarecer a dinâmica da estratégia; e • um novo arcabouço para descrever, medir e alinhar os três ativos intangíveis da perspectiva de aprendizado e crescimento com os processos e objetivos estratégicos da perspectiva dos processos internos: o capital humano; o capital informacional; e o capital organizacional.
  44. 44. 29 FIGURA 4: DIAGRAMA BALANCED SCORECARD (KAPLAN, 2007) Um Painel de Indicadores estratégicos definidos para cada uma das perspectivas acima (Financeira, Cliente, Processos Internos e Aprendizado e Crescimento), a princípio tratados por exceção a partir de alertas pictográficos (vermelho, amarelo e verde), possibilita aos gestores a atuação imediata no estado atualizado on-line e real time dos pontos de controle. Tal metodologia permite, inclusive, detalhar desdobramentos até o nível operacional, pela via de ferramentas de Business Inteligence (BI) e de Extração, Transformação e Carga (ETL), tais como os chamados softwares generalistas de auditoria de tecnologia da informação, que envolvem o uso de aplicativo em ambiente batch, podendo processar, além de simulação paralela, uma variedade de funções de auditoria e nos formatos que o auditor desejar. Exemplos: ACL (Audit Command Language): é um software de extração e análise de dados, desenvolvido no Canadá; IDEA (Interactive Data Extraction & Analysis): software para extração e análise de dados, também desenvolvido no Canadá;
  45. 45. 30 Audimation: é a versão norte-americana do IDEA, da Caseware-IDEA, que desenvolve consultoria e dá suporte para o produto; Galileo: software integrado de gestão de auditoria. Inclui gestão de riscos de auditoria, documentação e emissão de relatórios para auditoria interna; Pentana: software de planejamento estratégico da auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de auditoria, inclusive de desenho e gerenciamento de plano de ação. O que é ACL É uma ferramenta que permite a leitura e a análise de dados, independente de tamanho, formato ou diversidade de arquivos dispersos em bancos de dados de diferentes plataformas (Windows, Unix, Oracle, etc.). É utilizado por analistas de dados, auditores, contadores e outros profissionais de negócios que necessitem de acesso aos dados em tempo hábil e de forma a analisá-los eficaz e eficientemente. Objetiva dar suporte aos processos de tomada de decisões e planejamento administrativo de forma confiável. O limite de uso depende de sua imaginação. Veja o que vem sendo feito mundialmente no site: http://www.acl.com Vantagens: Pode processar vários arquivos ao mesmo tempo; Pode processar vários tipos de arquivos com formatos diferentes, por exemplo: EBCDIC ou ASCII; Poderia também fazer uma integração sistêmica com vários tipos de softwares e hardwares; Reduz a dependência do auditor do especialista de informática para desenvolver aplicativos específicos para todos os auditores de sistemas de informação
  46. 46. 31 Desvantagens: Como o processamento das aplicações envolve gravação de dados (arquivos) em separado para serem analisados, poucas aplicações podem ser feitas em ambiente on-line; O software não consegue processar cálculos complexos, pois como se trata de um sistema generalista, não aprofunda na lógica e na matemática muito complexas. Já os Softwares Especialistas de auditoria consistem em programas desenvolvidos especificamente para certas tarefas em certas circunstâncias. Vantagens: Pode atender sistemas ou transações não contempladas por softwares generalistas; O auditor, quando consegue desenvolver softwares específicos numa área muito complexa, pode utilizar isso como vantagem competitiva. Desvantagens: Pode ser muito caro, pois terá uso limitado e normalmente restrito a determinado cliente; Atualização pode ser complicada devido à falta de recursos que acompanhem as novas tecnologias. Há ainda programas utilitários em que o auditor usa softwares utilitários para executar funções muito comuns de processamento, como sortear arquivo, sumarizar, concatenar, gerar relatórios. Pode ser um EXCEL, ou recursos de bancos de dados como o SQL, Dbase2, etc. Vantagem: Pode ser utilizado como alternativa na ausência de outros recursos. Desvantagem:
  47. 47. 32 Sempre necessitará do auxílio do funcionário da empresa auditada para operar a ferramenta (no caso de ferramentas complexas, como bancos de dados). 2.1.9 A MÉTRICA E OS SISTEMAS DE MENSURAÇÃO Willian Thompson, ou Lorde Kelvin (1824-1907), conceituado físico que deu fundamental contribuição à termodinâmica, costumava dizer: “Se algo não pode ser medido, ele realmente não existe”. Medir objetos e eventos não é apenas uma necessidade científica, mas é dar significado à complexidade dos fenômenos naturais. Medir é uma atividade rotineira do ser humano e de sua interação com a natureza. Para que se possa realizar medições é condição fundamental a existência de métricas e instrumentos de trabalho adequados. Conforme ROZADOS (2005) são apresentados documentos que lidam com indicadores de desempenho concernentes a bibliotecas tradicionais e digitais, entre os quais estão os padrões internacionais ISO 11620, ISO 20983, o Projeto EQUINOX, mais um manual publicado pela UNESCO, como fontes básicas e qualificadas para a formação e seleção de indicadores e metodologias. (...) Segundo Geisler (2000), fenômenos físicos como temperatura, peso, massa, são adequadamente medidos, em geral, com o uso de um simples aparelho. O mesmo autor também afirma que as Ciências Sociais, Administrativas e Comportamentais são fenômenos considerados muito menos precisos, dos quais, muitas vezes, possuímos pouco conhecimento, o que os torna muito mais difíceis de medir. O que medir é, portanto, o primeiro princípio da mensuração. Uma vez decidido o que medir, passa-se a definir que instrumento de medida pode dar conta do que se deseja medir. Instrumentos de mensuração têm uma variedade de características que impactam sua eficiência. GEISLER (2000) identifica, ainda, que o processo de seleção de uma métrica é influenciado por três fatores: a cultura da organização; um conjunto disponível de
  48. 48. 33 métricas e o tipo de atividade a ser medida; e outras influências, como os atores envolvidos (comunidade científica e de negócios ou interesses governamentais). A definição de métrica inclui três aspectos: o item medido (o que medir), a unidade de medida (como medir) e o inerente valor associado com a métrica (por que medir ou o que se pretende encontrar com esta mensuração). Afirma, também, que para avaliar ciência e tecnologia existe um único método viável: mensuração por indicadores. Torna a enfatizar que múltiplos indicadores são necessários para proporcionar uma adequada cobertura de dimensões e aspectos de processos complexos, atividade e resultados. Conforme ROZADOS (2005), um indicador é uma medida reservada para a descrição ou representação de um dado evento ou fenômeno11. Uma métrica pode conter um ou mais indicadores Os objetivos são: Estudar ocorrências de fraudes em relatórios financeiro-contábeis; • Desenvolver recomendações (companhias, auditores, outros reguladores e • instituições educacionais); O aperfeiçoamento dos relatórios financeiros (Ética, Controle Interno e • Governança Corporativa); Definição comum de Controle Interno atendendo à necessidade de diferentes • interessados; Padrão para avaliar sistemas de controles (empresas pequenas ou grandes, do • setor público ou privado, visando lucro ou não). Em contextos de crescente complexidade convém considerar também a Lógica Fuzzy12 como mais uma possibilidade de análise das diversas variáveis envolvidas, o que já vem sendo adotado em sistemas especialistas de inteligência artificial. 11 Categoria definida por Immanuel Kant. 12 Disponível em http://users.femanet.com.br/~fabri/fuzzy.htm Acesso em 06/05/2008.
  49. 49. 34 Os Conjuntos Fuzzy e a Lógica Fuzzy provêm a base para geração de técnicas poderosas para a solução de problemas, com uma vasta aplicabilidade, especialmente, nas áreas de controle e tomada de decisão. A força da Lógica Fuzzy deriva da sua habilidade em inferir conclusões e gerar respostas baseadas em informações vagas, ambíguas e qualitativamente incompletas e imprecisas. Neste aspecto, os sistemas de base Fuzzy têm habilidade de raciocinar de forma semelhante à dos humanos. Seu comportamento é representado de maneira muito simples e natural, levando à construção de sistemas compreensíveis e de fácil manutenção. A Lógica Fuzzy é baseada na teoria dos Conjuntos Fuzzy. Esta é uma generalização da teoria dos Conjuntos Tradicionais para resolver os paradoxos gerados a partir da classificação “verdadeiro ou falso” da Lógica Clássica. Tradicionalmente, uma proposição lógica tem dois extremos: ou “completamente verdadeiro” ou “completamente falso”. Entretanto, na Lógica Fuzzy, uma premissa varia em grau de verdade de 0 a 1, o que leva a ser parcialmente verdadeira ou parcialmente falsa. Com a incorporação do conceito de “grau de verdade”, a teoria dos Conjuntos Fuzzy estende a teoria dos Conjuntos Tradicionais. Os grupos são rotulados qualitativamente (usando termos lingüísticos, tais como: alto, morno, ativo, pequeno, perto, etc.) e os elementos destes conjuntos são caracterizados variando o grau de pertinência (valor que indica o grau em que um elemento pertence a um conjunto). Por exemplo, um homem de 1,80 metro e um homem de 1,75 metro são membros do conjunto “alto”, embora o homem de 1,80 metro tenha um grau de pertinência maior neste conjunto. 2.1.10 OUTROS CONCEITOS (ITIM, ITSM, ITIL®13, PRINCE, MSP, M_O_R 14) A evolução da Gestão de TI passou por várias fases em que a abordagem variava de acordo com as ênfases do momento. Por exemplo: a) IT Infrastructure Management (ITIM) – Visão de TI como despesa provendo infra- estrutura de TI fuzzy logic noun [C usually singular] a theoretical system used in mathematics, computing and philosophy to deal with statements which are neither true nor false (from Cambridge Advanced Learner's Dictionary). 13 ITIL® is a Registered Trade Mark, and a Registered Community Trade Mark of the Office of Government Commerce, and is Registered in the U.S. Patent and Trademark Office. IT Infrastructure Library® is a Registered Trade Mark of the Office of Government Commerce. 14 Disponível em: http://www.ogc.gov.uk/index.asp Acesso em 13/05/2008 © Crown Copyright 2008
  50. 50. 35 A abordagem inicial dada à Tecnologia da Informação caracterizava-se por uma visão mecanicista, focada nos equipamentos, privilegiando os investimentos em infra-estrutura. b) IT Service Management (ITSM) – Visão de TI como investimento provendo serviços de TI: Conforme MAGALHÃES et. al. (2007), o Gerenciamento de Serviços de Tecnologia da Informação é o instrumento pelo qual a área pode iniciar a adoção de uma postura proativa em relação ao atendimento das necessidades da organização, contribuindo para evidenciar a sua participação na geração de valor. O Gerenciamento de Serviços de TI visa alocar adequadamente os recursos disponíveis e gerenciá-los de forma integrada, fazendo com que a qualidade do conjunto seja percebida pelos seus clientes e usuários, evitando-se a ocorrência de problemas na entrega e na operação dos serviços de Tecnologia da Informação. Para alcançar este objetivo, a tática que vem sendo adotada é o desenho, a implantação e o gerenciamento de processos internos da área de TI de acordo com as práticas reunidas na InformationTechnology Infrastructure Library (ITIL). c) IT Infrastructure Library (ITIL) – Visão sistêmica do papel das áreas de TI. Conforme o ITSMF seção Brasil, o Reino Unido identificou que, apesar de muitos esforços estarem sendo direcionados para a redução de custos e riscos, inclusive o desenvolvimento de projetos com esse intuito, havia pouca informação disponível a respeito de como controlar os sistemas de informação IS (Information Systems) a partir do momento em que eles eram implantados. Pesquisas mostravam, porém, que mais de 80% do custo dos Serviços de Informática estava relacionado ao dia-a-dia de sua operação e apenas 20% ao estágio de desenvolvimento. Por esse fato, foi criada a Biblioteca de Infra-estrutura de TI pelo CCTA, um centro governamental para sistemas de informações. Esta Biblioteca de Infra-estrutura é o mais acessível e estruturado modelo para gerenciamento de serviço de TI atualmente disponível. A Biblioteca de Infra-estrutura
  51. 51. 36 de TI considera todos os hardwares, softwares e telecomunicações sobre os quais a aplicação dos sistemas e serviços é desenvolvida e entregue. A Biblioteca é formada por módulos que trazem as melhores práticas retiradas de empresas públicas e privadas. Para formá-la, foram dedicados vários anos de consultoria em empresas do setor público, grandes empresas do setor privado e indústria de informática, fazendo dela o mais completo e acessível guia para gerentes de serviços de TI. A Biblioteca se tornou de fato um padrão para gerenciamento de serviços de TI. Sem a TI muitas empresas não funcionam e sem qualidade em TI estas empresas não funcionam bem. A orientação da Biblioteca de Infra-estrutura permite que as organizações tenham, no mínimo, um bom padrão de qualidade de gestão de serviços de TI. Os maiores resultados obtidos na utilização da ITIL estão nas melhorias dos serviços oferecidos aos clientes e a redução dos custos e riscos. A Biblioteca não é uma propriedade privada, está disponível para todos (mediante compra) e é publicada pela HSMO, sendo produzida utilizando-se os procedimentos certificados para o padrão ISO-9001/BS5750. A ITIL® é a abordagem ao gerenciamento de serviços de TI mais largamente aceita no mundo e é uma estrutura de melhores práticas coesa, projetada para os setores: público e privado, internacionalmente. Descreve a organização dos recursos de TI para entregar valor ao negócio, documenta processos, funções e papéis em IT Service Management (ITSM). A ITIL é suportada por um esquema compreensivo de qualificações, organizações de treinamento acreditadas e ferramentas de implantação e controle. A versão original da ITIL foi desenvolvida ao mesmo tempo e em alinhamento com BS 15000, o antigo padrão do Reino Unido (UK) para o Gerenciamento de Serviços de TI. BS15000 foi lançada em 2005 para tornar-se ISO/IEC 20000, o primeiro padrão internacional em ITSM.
  52. 52. 37 O Governo Britânico, por meio do Office of Government Commerce (OGC) está comprometido com a manutenção do alinhamento entre as futuras versões da ITIL e da ISO/IEC 20000, que é o primeiro padrão mundial especificamente projetado para o Gerenciamento de Serviços de TI (IT Service Management). Descreve um conjunto integrado de processos de gerenciamento e seus clientes. FIGURA 5: DIAGRAMA ITIL (OGC, 2007) O cerne da ITIL é a estratégia de serviço, que tem entrada em todos os estágios do ciclo de vida. O ciclo é: Projeto, Transição, Operação e Melhoramento Contínuo, que está envolvido no todo. A organização do material ITIL reflete o ciclo PDCA do Deming (Planejar-Fazer- Checar-Agir), mas note-se que nem sempre há um relacionamento linear entre os estágios, pois existem muitas ligações entre um estágio e outro. Pessoas familiarizadas com a versão dois da ITIL freqüentemente expressam preocupação acerca de processos, que são o cerne da versão dois. A versão três ainda tem os processos, muitos dos quais atingem mais de um estágio de ciclo de vida. Onde isto acontece, cada processo tem uma casa onde é mais ativo no livro dos estágios do ciclo de vida. Pode-se pensar em processos como sendo ortogonais aos
  53. 53. 38 estágios. A abordagem de ciclos de vida dá uma estrutura melhorada e holística, dentro da qual são descritas todas as funções, processos, papéis e responsabilidades que constituem a Melhor Prática de Gerenciamento de Serviços de TI. O foco da ITIL hoje é a integração da TI ao negócio, assegurando a entrega de valor ao negócio e o tratamento dos serviços como ativos de negócio. A ITIL descreve a vida de um serviço “da concepção à aposentadoria”, dentro de um Portafólio de Serviços. A parte anterior do portafólio é o Service Pipeline, que é o conjunto dos serviços em planejamento e desenvolvimento, e a última parte o familiar Catálogo de Serviços, que contém os serviços em uso ou ofertados para uso. A ITIL entrega processos tentativos e já testados que assegurem resultados previsíveis, repetíveis e confiáveis em TI, assegurando a entrega de valor ao negócio. Os benefícios incluem: Uso otimizado dos investimentos em TI; Integração do valor do negócio e da TI; Portafólio orientado aos ativos de serviço; Clara demonstração do Retorno sobre os Investimentos (ROI); Adaptação ágil e flexível aos modelos de serviços; Desempenho e medições que são baseados em valor do negócio; Ativos de Serviços de TI ligados aos serviços do negócio. Treinamento, exames & qualificações. Existem atualmente três níveis de certificação no esquema de qualificação ITIL: Certificação nos Fundamentos ITIL (Foundation Certificate): Projetada para prover um nível fundamental de conhecimento em gerenciamento de serviços de TI, é voltada para todo o pessoal que queira tornar-se familiar com as melhores práticas em Gerenciamento de Serviços de TI, como definido na Biblioteca de Infra-estrutura de TI (ITIL). A Certificação nos Fundamentos capacita as pessoas a compreender, em particular, a terminologia usada dentro da ITIL.

×