Monografia Adauto2008
Upcoming SlideShare
Loading in...5
×
 

Monografia Adauto2008

on

  • 17,422 views

"Não acredito em auto-auditoria. Isso é coisa de Comunista." ...

"Não acredito em auto-auditoria. Isso é coisa de Comunista."
Foi o que me disse o general, novo coordenador do curso, ao conceder-me o autógrafo de aprovação.
Respondi-lhe que o Apóstolo Paulo, bem antes do advento do comunismo, já havia escrito em I Corintios 11:31, o seguinte: "Porque, se nós nos julgássemos a nós mesmos, não seríamos julgados."

Statistics

Views

Total Views
17,422
Views on SlideShare
17,321
Embed Views
101

Actions

Likes
0
Downloads
374
Comments
0

3 Embeds 101

http://www.slideshare.net 87
http://educaoetecnologia.blogspot.com 13
http://educaoetecnologia.blogspot.com.br 1

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Monografia Adauto2008 Monografia Adauto2008 Presentation Transcript

  • Adauto da Costa Santos A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE CONTROLE INTERNO: O CASO CORREIOS. Brasília 2008
  • A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ SANTOS , A.C. DE CONTROLE INTERNO: O CASO CORREIOS.
  • Adauto da Costa Santos A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE CONTROLE INTERNO: O CASO CORREIOS Trabalho de final de curso apresentado à Coordenadoria de Pós-Graduação do Instituto de Cooperação e Assistência Técnica, da Associação de Ensino Unificado do Distrito Federal, para obtenção do grau de Especialista. Área de concentração: Auditoria Interna e Externa Orientador Prof. Alfram Rodrigues Albuquerque Coordenador Prof. Luciano Phaelante Casales Brasília 2008 i
  • SANTOS, Adauto da Costa. A auto-auditoria integrada como ferramenta eficaz de controle interno: O caso Correios / Adauto da Costa Santos. Brasília: 2008. 150 f.; 30 cm. Orientação: Alfram Rodrigues Albuquerque. Trabalho de conclusão de curso apresentado à Coordenadoria de Pós- Graduação do Instituto de Cooperação e Assistência Técnica, da Associação de Ensino Unificado do Distrito Federal, para obtenção do grau de Especialista. ICAT / UniDF Brasília, DF. 2008. Inclui anexos e bibliografia. 1. Auditoria Interna e Externa 2. Tecnologia da Informação 3. Governança Corporativa. 4. Auto-auditoria. 5. Processo. 6. Conformidade. 7. Correios do Brasil. I. Título. ii
  • Adauto da Costa Santos A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE CONTROLE INTERNO: O CASO CORREIOS. TERMO DE APROVAÇÃO Trabalho de final de curso considerado adequado para obtenção do grau de Especialista Docente, apresentado à Coordenadoria de Pós-Graduação do Instituto de Cooperação e Assistência Técnica, da Associação de Ensino Unificado do Distrito Federal. Área de concentração: Auditoria Interna e Externa ____________________________________________ Prof. Alfram Rodrigues Albuquerque (Orientador) ____________________________________________ Prof. Luciano Phaelante Casales (Coordenador) ____________________________________________ Profª Elizabeth Danziato Rego ____________________________________________ Prof. Geraldo Magela Lopes de Freitas Brasília 2008 iii
  • Agradecimentos Ao Deus Criador, ao seu filho Jesus Cristo: o Senhor, e ao Espírito Santo: Consolador; Trindade que, em perfeita simbiose, preserva-me com saúde, disposição e inteligência, dons estes aplicados na aquisição de, mais que mero conhecimento, sabedoria para conviver bem e servir cada vez melhor. A minha família, cuja renúncia e compreensão permitiram-me a tranqüilidade necessária a mais esta realização. Homenageio especialmente a minha mãe Ruth da Costa Santos, conduzida ao Paraíso a dois dias de completar 73 anos de total dedicação à família e à prática da fé e dos valores cristãos que me legou. À Empresa Brasileira de Correios e Telégrafos (ECT), na pessoa do seu Auditor- Chefe, Prof. Silas Roberto de Souza, cujo patrocínio tornou possível esta capacitação. Aos Professores Alfram Rodrigues Albuquerque, Elizabeth Danziato Rego e Geraldo Magela Lopes de Freitas, cuja disponibilidade e competente orientação apuraram, além deste trabalho acadêmico, a própria percepção deste estudante quanto à relevância do objeto em estudo e suas implicações acadêmicas e profissionais. Aos demais mestres, colegas e pessoal de apoio do ICAT/UniDF, cuja convivência por cerca de um ano e meio proporcionou-me oportunidades preciosas de crescimento pessoal. iv
  • ABSTRACT It deals with self-assessment1 as being the primary tool to evaluate the managers’ achievement of their first commitment, which is to implement controls over organizational processes, by using Information Technology resources in an integrated and convergent approach, to assure the effectiveness on reaching the strategic objectives of the Institution. Those resources, if selectively incorporated to the organizational environment, can give automatic feedbacks with relevant risk assessment inputs to those managers in general and, particularly, to Internal Auditors at the Institution, due to build up the risk matrix, which is the main feature of the auditing planning process. The problem to solve is to know if there are alternatives available for the self-assessment process automatization to shorten the gap between non-compliance audit findings, its consequences and the timely required actions (preventive or corrective) to mitigate the hazards and losses suffered by the organization. The objective is to characterize IT solutions which fulfill timely achievement of consistent results of on-site self-assessment, giving greater assurance to IT auditing and corporative governance at Brazilian Post Office (ECT). The adopted methodology starts with descriptive bibliographic quotations, evolves to field work supported by semi-structured interviews and questionnaires applied to key managers of IT and Internal Auditing areas of ECT, as well as related data collected on specialized bibliography like: technical magazines, folders, prospects, presentations, courses and events concerned to the subject. Descriptors: Internal and External Auditing. Information Technology. Corporative Governance. Self-assessment. Process. Compliance. Brazilian Post. 1 Self-assessment noun [C or U] a judgment, sometimes for official purposes, which you make about your abilities, principles or decisions. Assess verb [T] to judge or decide the amount, value, quality or importance of something: (from Cambridge Advanced Learner's Dictionary). v
  • RESUMO Aborda-se a auto-auditoria como um instrumento de avaliação do compromisso prioritário dos gestores: implantar controles sobre os processos organizacionais, por meio da utilização dos recursos tecnológicos de modo integrado e convergente, com vistas a assegurar a consecução dos objetivos estratégicos da instituição. Tais recursos, se seletivamente incorporados ao ambiente organizacional, podem ofertar retornos automáticos com informações de risco aos próprios gestores em geral e, em particular, aos auditores internos da instituição, subsidiando a elaboração da matriz de risco, que é o principal elemento do processo de planejamento de auditoria. O problema a resolver é saber se há alternativas de automatização do processo de auto-auditoria2 que diminuam o fosso existente entre a ocorrência do fato em desconformidade, a constatação de suas conseqüências e a adoção tempestiva de providências, preventivas ou corretivas, que minimizem os danos e prejuízos suportados pela organização. O objetivo é caracterizar soluções de Tecnologia da Informação que viabilizem a obtenção tempestiva de resultados consistentes das auto-auditorias setoriais, conferindo maior efetividade às auditorias de TI e à Governança Corporativa na ECT. A metodologia adotada parte da pesquisa bibliográfica descritiva e contempla levantamentos de campo por meio de entrevistas semi-estruturadas, suportadas por questionários dirigidos aos gestores- chave das áreas de TI e de Auditoria Interna da ECT, bem como informações colhidas em bibliografia especializada tais como: revistas técnicas, apostilas, folders, prospectos, palestras, cursos e eventos relacionados ao tema. Palavras-chave: Auditoria Interna e Externa. Tecnologia da Informação. Governança Corporativa. Auto-auditoria. Processo. Conformidade. Correios do Brasil. Auto-auditoria é um julgamento, algumas vezes para propósitos oficiais, que você faz acerca de 2 suas próprias habilidades, princípios ou decisões (Tradução livre do Dicionário Cambridge do Aprendiz Avançado). vi
  • Na Auditoria conhecemos a empresa ‘como realmente é, não como nos dizem que é’ (informação verbal). 3 A palavra Imagem é hoje conhecida de todos nós, mas o significado se perdeu de tal forma que agora significa praticamente o oposto do significado original, ‘semelhança’. Hoje, um político contrata um consultor de imagem, um candidato a emprego se veste para ter uma boa imagem, uma empresa procura a imagem certa. Em todos esses casos, o termo ‘imagem’ significa a ilusão de algo que aparenta ser, em lugar da essência do que realmente é. (BRAND, 2003). 3 Citação do Prof. Silas Roberto de Souza, Auditor-Chefe da ECT, durante aula no ICAT/UniDF, parafraseando MARX, Karl; ENGELS, Friedrich. A Ideologia Alemã. São Paulo: Martin Claret, 2006. vii
  • Sumário 1. INTRODUÇÃO................................................................................................................ 1 1.1. OBJETIVO GERAL ............................................................................................................. 7 1.2. OBJETIVOS ESPECÍFICOS .................................................................................................. 8 1.3. PROBLEMA....................................................................................................................... 8 1.4. HIPÓTESE......................................................................................................................... 8 1.5. METODOLOGIA ................................................................................................................. 9 1.5.1. RESULTADOS ESPERADOS ..................................................................................................... 9 2. FUNDAMENTAÇÃO TEÓRICA.................................................................................... 11 2.1 CONCEITOS BÁSICOS....................................................................................................... 11 2.1.1 CATEGORIAS:......................................................................................................................... 12 2.1.2 ONTOLOGIAS ......................................................................................................................... 12 2.1.3 ORIENTAÇÃO AO OBJETO – UMA APLICAÇÃO DAS CATEGORIAS ........................................... 14 2.1.4 ANÁLISE DE DADOS ............................................................................................................... 15 2.1.5 GOVERNANÇA CORPORATIVA................................................................................................ 17 2.1.6 AUDITORIA E AUTO-AUDITORIA.............................................................................................. 20 2.1.7 GOVERNANÇA DE TI .............................................................................................................. 26 2.1.8 BALANCED SCORECARD (BSC®) ......................................................................................... 28 2.1.9 A MÉTRICA E OS SISTEMAS DE MENSURAÇÃO ...................................................................... 32 2.1.10 OUTROS CONCEITOS (ITIM, ITSM, ITIL®, PRINCE, MSP, M_O_R)................................. 34 2.2 CONTEXTO HISTÓRICO E EVOLUÇÃO PROGRESSIVA DA GOVERNANÇA ............................... 49 2.2.1 EVOLUÇÃO DA FUNÇÃO DE TI DENTRO DAS ORGANIZAÇÕES................................................. 52 2.3 OS PADRÕES NACIONAIS E INTERNACIONAIS DE CONFORMIDADE EM TI ............................. 56 2.3.1 OS PADRÕES PARA DESENVOLVIMENTO DE SOFTWARE ........................................................ 57 2.3.2 LEI SARBANNES-OXLEY......................................................................................................... 58 2.3.3 O PADRÃO FINANCEIRO - BASILÉIA ..................................................................................... 59 2.3.4 O PADRÃO DE AVALIAÇÃO DOS CONTROLES INTERNOS ....................................................... 61 2.3.5 O PADRÃO PARA GOVERNANÇA DE TI .................................................................................... 64 2.3.6 OS PADRÔES DE SEGURANÇA DA INFORMAÇÃO.................................................................... 70 2.3.7 PADRÃO DE MATURIDADE ORGANIZACIONAL EM GERENCIAMENTO DE PROJETOS (OPM3) 75 viii
  • 2.3.8 O PADRÃO PARA GERENCIAMENTO DE RISCOS (ERM).......................................................... 77 2.3.9 O PADRÃO PARA GESTÃO DO CONHECIMENTO (GED E WORKFLOW) .................................. 78 3. CONTEXTO ATUAL ..................................................................................................... 81 3.1 TENDÊNCIAS TECNOLÓGICAS ........................................................................................... 81 3.1.1 VIRTUALIZAÇÃO ..................................................................................................................... 82 3.1.2 CONVERGÊNCIA..................................................................................................................... 82 3.1.3 OFFSHORE DE TI ................................................................................................................... 82 3.1.4 INFORMAÇÃO INTELIGENTE.................................................................................................... 82 3.1.5 SERVIÇOS GERENCIADOS ..................................................................................................... 83 3.2 INTEGRAÇÃO DE FRAMEWORKS........................................................................................ 84 3.3 O CASO ECT................................................................................................................... 90 3.3.1 ESTRUTURA ORGANIZACIONAL.............................................................................................. 91 3.3.2 GOVERNANÇA DE TI NA ECT................................................................................................. 95 3.3.3 AUTO-AUDITORIA NA ECT ..................................................................................................... 99 3.3.4 GESTÃO DE PROCESSOS NA ECT ....................................................................................... 102 4. POSSIBILIDADES...................................................................................................... 111 4.1 AUDITORIA REMOTA ...................................................................................................... 111 4.2 APROVEITAMENTO DE SOLUÇÕES TECNOLÓGICAS........................................................... 112 4.3 IMPLANTAÇÃO DO FRAMEWORK ERM ............................................................................ 113 4.4 APROVEITAMENTO DA CAMADA DE INTEGRAÇÃO NA AUTOMATIZAÇÃO DOS PROCESSOS DE AUDITORIA INTERNA....................................................................................................... 113 4.5 ALINHAMENTO AO PROGRAMA NACIONAL DE GESTÃO PÚBLICA E DESBUROCRATIZAÇÃO (GESPÚBLICA)........................................................................................................... 114 5. CONCLUSÃO............................................................................................................. 116 6. REFERÊNCIAS .......................................................................................................... 119 7. ANEXOS..................................................................................................................... 126 ANEXO A - ENTREVISTA SISTEMATIZADA - AUDIT............................................................... 127 ANEXO B - ENTREVISTA SISTEMATIZADA - TI ...................................................................... 133 ix
  • Lista de Siglas ASL - Application Services Library. BI - Business Intelligence. BPMNS – Business Process Management Network System. BSC – Balanced ScoreCard. ECT – Empresa Brasileira de Correios e Telégrafos. CIO – Chief Information Officer. CITEX - Centro de Informática do Exército. COBIT - Control Objectives for Information and related Technology. COSO - Comitê das Organizações Patrocinadoras da Comissão Treadway. CMM – Capability Maturity Model. CMMI – Capability Maturity Model on Information. CRM – Costumer Relationship Management. DCT - Departamento de Correios e Telégrafos. DIS – Decision Information System. DSDM - Dynamic Systems Development Method. DW – Data Warehouse. ERM – Enterprise Risk Management. ERP – Enterprise Resource Planning. GESPÚBLICA - Programa Nacional de Gestão Pública e Desburocratização H/H – Hora-Homem. IIA – Institute of Internal Auditors. x
  • IDC – Instituto de Defesa do Consumidor IP – Internet Protocol. ISACA - Information Systems Audit and Control Association ISPL - Information Services Procurement Library. ITGI – Information Technology Governance Institute. MIS – Management Information System. ONU – Organização das Nações Unidas. OPM3 - Organizational Project Management Maturity Model. PAAAI - Plano de Atividades de Auditoria Interna. PI - Propriedade Intelectual. PMI – Project Management Institute PMMM – Project Management Maturity Model PMO – Project Management Office. ROI – Return over Inversion. SI - Segurança da Informação. Sintegra - Sistema Integrado de Informações Fiscais sobre Operações Interestaduais com Mercadorias e Serviços. SPB - Sistema de Pagamentos Brasileiro. SRF/MF – Secretaria da Receita Federal do Ministério da Fazenda. SOA – Service Oriented Architecture. SOX – Sarbanes-Oxley. TI – Tecnologia da Informação. VoIP – Voice over Internet Protocol. xi
  • Lista de TABELAS TABELA 1: PRINCIPAIS BENEFÍCIOS (TCU, 2007) TABELA 2: AUDITORIA: ABORDAGEM TRADICIONAL VERSUS PROGRESSIVA TABELA 3: REFERÊNCIAS INTERNACIONAIS E PRINCIPAIS CARACTERÍSTICAS ASSOCIADAS TABELA 4: FOCO ESTRATÉGICO E ESTRUTURA ORGANIZACIONAL TABELA 5: MATRIZ GUT xii
  • Lista de FIGURAS FIGURA 1: CLASSE, OBJETOS E ATRIBUTOS (PIMENTEL, 2007) FIGURA 2: FISCALIZAÇÕES CONCLUÍDAS POR INICIATIVA (TCU, 2007) FIGURA 3: HISTÓRICO DOS MONTANTES DAS COBRANÇAS EXECUTIVAS ENCAMINHADAS AOS ÓRGÃOS EXECUTORES (TCU, 2007). FIGURA 4: DIAGRAMA BALANCED SCORECARD (KAPLAN, 2007) FIGURA 5: DIAGRAMA ITIL (OGC, 2007) FIGURA 6: RELACIONAMENTOS ENTRE ISO/IEC 12207, ISO/IEC 15504, CMMI E MPS.BR (ALVES, 2007) FIGURA 7: RELACIONAMENTOS ENTRE INFORMAÇÃO E ATORES INTERESSADOS FIGURA 8: O CUBO COBIT FIGURA 9: PROCESSO GERAL DE AUDITORIA FIGURA 10: INTEGRAÇÃO DOS FRAMEWORKS FIGURA 11: TI COMO HABILITADOR DO NEGÓCIO FIGURA 12: ARQUITETURA DE EXCELÊNCIA DOS PROCESSOS DO NEGÓCIO FIGURA 13: CONTEXTO DA GOVERNANÇA DE TI NA ECT (SOUZA N., 2007) FIGURA 14: ESTRUTURA DE TI NA ECT FIGURA 15: CONTEXTO DA GOVERNANÇA DE TI NA ECT FIGURA 16: MAPEAMENTO BSC CORPORATIVO-COBIT-BSC DA TI FIGURA 17: PROCESSO FIGURA 18: MODELO (SISTEMOGRAFIA) DE IMPLANTAÇÃO DE PROCESSO NA ECT FIGURA 19: PROCESSO DE IMPLANTAÇÃO DA GESTÃO DE PROCESSOS NA ECT xiii
  • 1 1. INTRODUÇÃO É de domínio público que os brasileiros, historicamente, estão vulneráveis aos desvios éticos e à impunidade de prepostos políticos em todos os níveis, sem que os cidadãos e as instituições disponham de instrumentos que viabilizem um Controle Social efetivo. Embora o Estado já disponha de uma infra-estrutura tecnológica de vanguarda, cujo potencial pode favorecer a transparência na gestão dos recursos auferidos da sociedade, a inclusão digital ainda é um recurso disponível apenas a uma parcela ínfima da sociedade brasileira, de acordo com estimativa do IBOPE (Instituto Brasileiro de Opinião Pública e Estatística)/NetRatings (IBOPE, 2004). O número de internautas brasileiros cresceu significativamente nos últimos anos – de 14,3 milhões para 20,5 milhões de usuários domiciliares potenciais (pessoas que moram em domicílios que possuem pelo menos um computador com acesso à Internet)4. Apesar disso, sua densidade ainda é baixa em comparação aos países mais avançados, mesmo sendo similar à dos países vizinhos (Apud TCU, 2006). Neste contexto, várias iniciativas de governança eletrônica vêm sendo implementadas desde o final da década de 1980, nas esferas Federal, Estadual e Municipal, apresentando resultados plenamente favoráveis para o lado da administração das origens e fontes de recursos, tais como: Sistema de Pagamentos Brasileiro (SPB); Programa de Reestruturação Fiscal da Secretaria da Receita Federal do Ministério da Fazenda; Sistema Integrado de Informações Fiscais sobre Operações Interestaduais com Mercadorias e Serviços (Sintegra); Além do desenvolvimento de aplicativos afins, peculiares às prefeituras municipais e distritais, há também o advento do Governo Eletrônico (e-Gov), cujos pontos 4 Essa estimativa é feita com base em ‘um conjunto de indicadores, incluindo levantamentos telefônicos trimestrais sobre o uso da Internet no Brasil, assim como outras pesquisas do Grupo IBOPE e dados governamentais, combinando a penetração de linhas telefônicas nos domicílios, posse de computadores, número médio de usuários por computadores e número médio de residentes em casas com linhas telefônicas fixas’ (IBOPE, 2004 Apud TCU, 2006).
  • 2 positivos revelaram-se um importante instrumento no processo de modernização do Estado. De acordo com o Terceiro Fórum Global em Reinvenção do Governo [ONU/ASPA (2001)], ocorrido em 2001, há um consenso quanto ao potencial do governo eletrônico no sentido de melhorar a qualidade de vida dos cidadãos (com uma redução de custos e tempo despendidos), fortalecer a capacidade institucional (com a melhora na oferta de serviços, a redução da corrupção através de maior transparência e controle social) e desempenhar o papel de disseminador das novas tecnologias entre a sociedade civil e a empresarial (COELHO, 2001). No entanto, a conscientização e o aparelhamento do cidadão para o controle efetivo dos usos e abusos financeiros e orçamentários, por via de instituições públicas ou de organizações não governamentais, ainda é um dos desafios para a promoção e a democratização da justiça social no Brasil. Conquanto as questões da problemática nacional já ocupem as mentes de estudiosos e os espaços midiáticos do cotidiano, os desafios propostos por um horizonte global de incertezas multiplicam-se no contexto prático carente de instrumentos efetivos de controle, especialmente na esfera da Administração Pública. [...] No plano administrativo, que é quase sempre esquecido quando se discute a corrupção, em grande parte das instituições falta quase tudo, de carreiras estáveis a gente qualificada e a sistemas gerenciais minimamente organizados. Quando se desce do plano federal aos planos estadual e municipal, o que mais se encontra são desertos em que nada floresce e a incompetência domina, juntamente com sua aliada mais natural, a picaretagem. O que os escândalos mostram é que o Estado brasileiro carece urgentemente de reforma, tanto institucional quanto gerencial. Quais serão as chances de isto acontecer? Infelizmente, não parecem muito grandes. Não falta quem afirme que tudo se resolverá com uma reforma política. Essa é conversa fiada [...] (ABRAMO, 2007). Em face do recrudescimento de necessidades complexas e plurais, há limitação de recursos que permitam real incremento de produtividade e satisfação profissional, o que requer o uso otimizado do potencial das ferramentas disponíveis. No contexto da atividade de auditoria, salvo melhor juízo, a análise dos riscos das organizações ainda é feita muito a posteriori, por meio de relatórios de auditoria cuja palavra-chave, invariavelmente, é: constatou-se.
  • 3 Decorrido um longo tempo da constatação de ocorrências de desconformidade ou desvios de finalidade, apontam-se fatos já consumados com pouca ou nenhuma possibilidade de reversão de seus efeitos daninhos sobre a continuidade dos negócios. Neste contexto é que, referindo-se aos eventos desencadeados pelas denúncias envolvendo agentes públicos que resultaram na instalação da CPI dos Correios, o autor do artigo “Falta ética ou auditoria?” (SILVA, 2005) afirma que a função da auditoria não se restringe à aferição de normas contábeis. Segundo SILVA (2005), o conceito de auditoria envolve o acompanhamento da administração empresarial como um todo, por meio da verificação dos fatos e seu relato posterior a quem solicita o trabalho, do proprietário ou conselheiro da empresa, bem como do gestor público. Instrumentos de auditoria estão disponíveis para análise e correção, tais como revisão analítica, análise de demonstrações financeiras, de “business plan”, de saldos e repasses, tanto em instituições públicas quanto religiosas, com vistas a proporcionar segurança e transparência aos interessados (stakeholders, ou seja: empresário, clientes, investidores, instituições públicas e sociedade). No entanto, há carência de material humano qualificado no Brasil, haja vista a desproporção, por exemplo, entre os 12.800 auditores brasileiros (1/14.720 habitantes) e os auditores holandeses (1/1.000 habitantes) (SILVA, 2005). A falta de fiscalização eficaz acaba por estimular o agravamento do quadro econômico e ético da sociedade brasileira, manipulado por oportunistas públicos e privados. Qualquer instituição que movimente recursos expressivos deveria ser alvo de uma auditoria. A falta de uma cultura de auditoria preventiva e recorrente favorece ações pontuais associadas ao apontamento de problemas a posteriori, ou seja, quando já não há como evitar o prejuízo. É hora de aproveitar a oportunidade e utilizar os mecanismos disponíveis que garantam o conhecimento da realidade para agir sobre ela, abandonando posturas
  • 4 laissez-faire e atuando proativamente na validação dos acertos e na correção dos erros, bem como na incorporação das melhores práticas regulatórias, como aquelas adotadas pela França, cuja legislação obriga a análise de balanço por duas empresas de auditoria independentes (SILVA, 2005). Trata-se de uma abordagem realista de quem não apenas registra, desconfiado, os atos e os fatos ocorridos, mas assume uma postura de transformação da realidade fática, pela incorporação do aprendizado contínuo à cultura empresarial e social. Já para KANITZ (1999), no caso brasileiro, a corrupção é histórica e tem aval na definição estrutural das prioridades, por exemplo, as educacionais. Durante os anos da ditadura, quando a liberdade de imprensa e a auditoria não eram prioridade, as verbas da educação foram redirecionadas para outros cursos. Como conseqüência, aqui temos doze economistas formados para cada auditor, enquanto nos Estados Unidos existem doze auditores para cada economista formado. Para eliminar a corrupção teremos de redirecionar rapidamente as verbas de volta ao seu devido destino, para que sejamos uma nação que não precise depender de dedos-duros ou genros que ‘botam a boca no trombone’, e sim de profissionais competentes com uma ética profissional elaborada. Países avançados colocam seus auditores num pedestal de respeitabilidade e de reconhecimento público que garante a sua honestidade. Na Inglaterra, instituíram o Chartered Accountant. Nos Estados Unidos, eles têm o Certified Public Accountant. Uma mãe inglesa ou americana sonha com um filho médico, advogado ou contador público. No Brasil, o contador público foi substituído pelo engenheiro. Bons salários e valorização social são os requisitos básicos para todo sistema funcionar, mas no Brasil estamos pagando e falando mal de nossos fiscais e auditores e nem ao menos treinamos nossos futuros auditores. Nos últimos nove anos, os salários dos nossos auditores públicos e fiscais têm sido congelados e seus quadros reduzidos - uma das razões do crescimento da corrupção. Como o custo da auditoria é muito grande para ser pago pelo cidadão individualmente, essa é uma das poucas funções próprias do Estado moderno. Tanto a auditoria, como a fiscalização, indo dos alimentos à segurança de aviões até os direitos do consumidor e aos direitos autorais. O capitalismo remunera quem trabalha e ganha, mas não consegue remunerar quem impede o outro de ganhar roubando. Há quem diga que não é o papel do Estado produzir petróleo, mas ninguém discute que é sua função fiscalizar e punir quem mistura água ao álcool. Não serão intervenções cirúrgicas (leia-se CPI), nem remédios potentes (leia-se códigos de ética), que irão resolver o problema da corrupção no Brasil. Precisamos da vigilância de um poderoso sistema imunológico combatendo a infecção no nascedouro, como acontece
  • 5 nos países considerados honestos e auditados. Portanto o Brasil não é um país corrupto. É apenas um país pouco auditado (KANITZ, 1999) Para superação deste legado fatídico, além da formação de Auditores, a tecnologia deve ser agregada ao gerenciamento dos processos, pois tende a favorecer a ampliação do escopo a ser avaliado, com utilização ótima dos recursos disponíveis, potencializando ações mais abrangentes e mais tempestivas. Para viabilizar o acesso direto, e em tempo real, às informações corporativas de interesse da Auditoria em uma empresa do porte da Empresa Brasileira de Correios e Telégrafos (ECT), por que não aproveitar ao máximo o advento das novas tecnologias e a crescente tendência por integrá-las? Considerando-se as importantes limitações à efetividade dos trabalhos realizados em todo o território nacional, quais sejam: capilaridade e dispersão geográfica de abrangência continental e inversamente proporcional à efetividade dos sistemas de controle interno, bem como a precária proporção entre os cerca de 40 auditores internos e os cerca de 100 mil colaboradores, dos quais 80% atuando em nível operacional, este parece ser um questionamento pertinente. Tal contexto abre a possibilidade de sondagem das alternativas de diminuição da defasagem existente entre o fato e suas conseqüências, propiciando a adoção tempestiva de providências, preventivas ou corretivas, que minimizem os danos e prejuízos suportados pela organização, possibilitando maior agilidade aos processos de Controle Interno e de Tomada de Contas Especiais. SANTOS (2007) avalia a relevância dessa questão nos seguintes termos: O governo tem em suas mãos informações e ativos que são de importância vital por estarem diretamente ligados à vida dos cidadãos. A necessidade de gerenciar todo esse universo começa a abrir os olhos de alguns gestores para a necessidade de sistemas integrados. Esses pioneiros começam a perceber que o investimento num sistema desse porte, que pode ser bastante alto, tem retorno garantido. Não só financeiro: traz benefícios em termos de agilidade e transparência, duas características que são muito cobradas pela população e que, sem dúvida, geram votos. Além da carência a ser suprida, a estabilidade econômica também faz com que se pense em investir em tecnologia para aprimorar os processos no setor público. ‘Todas as propostas que recebemos são de órgãos e autarquias que nunca tiveram um sistema de gestão, é
  • 6 só projeto novo’, diz Monteiro. ‘Com a estabilidade, esses órgãos começam a direcionar verbas para atualização tecnológica’. A mudança é bem-vinda, e chega em boa hora. Só a Totvs5 trabalha hoje em 40 projetos de sistemas integrados para órgãos públicos, número 30% maior do que o que havia há um ano. A empresa conta hoje com uma equipe de quatro pessoas dedicada exclusivamente a projetos no governo. Marcelo Monteiro vê essas mudanças na empresa como um reflexo da mudança de mentalidade do setor público. Ao longo dos próximos três ou quatro anos, estima o executivo, a estabilidade e as pressões por controles mais eficazes e maior transparência levarão o mercado cada vez mais para esse caminho. Esperamos que assim seja. (SANTOS, 2007). Busca-se, neste trabalho, caracterizar a viabilidade da agregação convergente dos fatores tecnológicos disponíveis ao recém institucionalizado processo de auto- auditoria na ECT, conforme preconizado no subitem 9 do item 1 do Plano Anual de Atividades de Auditoria Interna (PAINT 2008). Tais fatores são, genericamente, os seguintes: a) os padrões e sistemas integrados de gerenciamento das informações; b) os modelos automatizados de gestão do conhecimento (comunidades virtuais de práticas, fóruns de discussão eletrônica, teleconferência, etc.); c) as ferramentas automatizadas de suporte aos processos decisório e de negócios. A questão que se apresenta é: será possível aproveitar o advento das novas tecnologias e metodologias de governança para viabilizar a implantação de soluções automatizadas de monitoramento contínuo das auto-auditorias? Na busca por uma resposta positiva, serão focalizados os aspectos relacionados à análise de métodos, práticas e ferramentas automatizadas, disponíveis na ECT, que permitam o monitoramento contínuo dos processos gerenciais em nível corporativo. Vislumbra-se, assim, uma oportunidade de contribuição efetiva ao processo de controle interno da ECT, diante da veloz obsolescência do conhecimento, principal ativo da instituição e o mais vulnerável diante da ameaça constante de evasão do capital intelectual. 5 Fornecedor de Sistema Integrado de Informações Gerenciais (ERP), líder de mercado no Brasil, conforme pesquisa da FGV reproduzida à página 57 deste trabalho.
  • 7 Portanto, a motivação para elaboração desta monografia, mais que o cumprimento de um requisito curricular, apresenta-se na possibilidade da agregação de ferramentas de qualidade ao exercício do controle interno na ECT, cujo propósito é atuar tempestivamente na mitigação dos riscos à consecução dos objetivos organizacionais com efetividade, eficiência e eficácia (Art. 57 da Constituição Federal/1988). Os auditores precisam extrapolar a síndrome do perito analista de corpus delitus que se limita a dissecar o de cujus, identificando a causa mortis, passando a uma postura proativa de prevenção que evite a morte do paciente, no caso: a empresa. Tal postura decorre de uma cosmovisão progressista, não fatalista, que apreende a realidade como um processo passível de aperfeiçoamento contínuo. [...] A filosofia pode facilitar a disciplina espiritual do estudo. O estudo em si mesmo é uma disciplina espiritual, e o simples ato de estudar pode mudar o eu. Aquele que experimenta a disciplina do estudo vive experiências que desenvolvem algumas habilidades decorrentes desse hábito: enquadrar um tema, resolver problemas, aprender a pesar a evidência e eliminar os fatores irrelevantes, aperfeiçoar a capacidade de observar as distinções importantes em vez de confundi-las, e assim por diante. A disciplina do estudo também ajuda no desenvolvimento de certas virtudes e valores, por exemplo, o desejo pela verdade, a honestidade com os dados, a abertura à crítica, a auto-reflexão e a habilidade para se relacionar não defensivamente com aqueles que são de opinião contrária (MORELAND, 2005). Para tanto, requer-se a atualização tecnológica continuada dos instrumentos e métodos de trabalho dos estudiosos, bem como dos gestores e colaboradores em todos os níveis da organização. 1.1. OBJETIVO GERAL Caracterizar soluções de Tecnologia da Informação que viabilizem a obtenção tempestiva de resultados consistentes das auto-auditorias setoriais, conferindo maior efetividade às auditorias de TI e à Governança Corporativa na ECT.
  • 8 1.2. OBJETIVOS ESPECÍFICOS a) Caracterizar as tecnologias disponíveis no âmbito corporativo da ECT, potencialmente convergentes com a necessidade de controle efetivo sobre as ações gerenciais, e seu alinhamento aos objetivos estratégicos da organização; b) Propor a inclusão ou o aproveitamento de soluções disponíveis de TI, ou de módulos de auto-auditoria automatizada, nos Sistemas e Modelos Integrados de Informações Gerenciais (ERP, DW, BSC, BI); c) Propor a incorporação de melhores práticas, padrões, modelos, funcionalidades e trilhas de auditoria que permitam a identificação de fragilidades, vulnerabilidades e oportunidades de melhoria dos processos de Controle Interno da ECT. 1.3. PROBLEMA Há alternativas de automatização do processo de auto-auditoria (self-assessment) que diminuam o fosso (gap) existente entre a ocorrência do fato em desconformidade, a constatação de suas conseqüências e a adoção tempestiva de providências, preventivas ou corretivas, que minimizem os danos e prejuízos suportados pela organização? 1.4. HIPÓTESE Há uma contumaz e extremamente prejudicial falta de integração das informações de suporte aos processos decisório e de negócios, comprometendo a efetividade das ações gerenciais nas empresas. Planos, Programas e Projetos que sofrem solução de continuidade e Estudos de Viabilidade Técnico-Econômica que não se confirmam na prática, são algumas das constatações decorrentes da falta de uma governança corporativa eficaz.
  • 9 Um desses projetos especiais: o pessoal de TI pretende instalar um módulo, no sistema de gestão, para calcular o retorno do investimento (ROI) de um projeto depois de alguns meses de funcionamento. Nós, CIOs, temos o hábito de medir o retorno para justificar a compra do projeto. Depois, não mais (JANSSEN, 2007). A constatação acima, infelizmente, não se restringe aos CIOs; é generalizada em todos os níveis de várias organizações em ambos os setores: público e privado. 1.5. METODOLOGIA A metodologia adotada parte da pesquisa bibliográfica descritiva e contempla levantamentos de campo por meio de entrevistas semi-estruturadas, suportadas por questionários dirigidos aos gestores-chave das áreas de TI e de Auditoria Interna da ECT, bem como informações colhidas em bibliografia especializada tais como: revistas técnicas, apostilas, folders, prospectos, palestras, cursos e eventos relacionados ao tema. A referência a trabalhos já desenvolvidos por outros colegas, no âmbito da ECT ou fora dela, tem a finalidade de remeter o leitor àquelas fontes, no sentido do eventual interesse em aprofundar-se na matéria aqui estudada e demais ferramentas pertinentes, cuja metodologia não se pretende explorar, senão na medida da necessidade específica desta monografia. 1.5.1. RESULTADOS ESPERADOS a) Conscientizar quanto à possibilidade de realização remota de procedimentos de auditoria que dispensem o deslocamento físico dos auditores, minimizando custos com tempo (H/H), passagens, hospedagem e diárias, a partir do acesso on-line às auto-auditorias e às bases de dados corporativos; b) Estimular o uso otimizado dos recursos tecnológicos disponíveis, fomentando a tempestividade nas ações gerenciais e maior efetividade na governança corporativa, de modo a identificar os riscos mais representativos ao negócio e assegurando a atuação tempestiva com vistas à continuidade da instituição;
  • 10 c) Propor a incorporação de modelos orientados por processos automatizados via Intranet para integração corporativa e monitoramento contínuo das auto- auditorias localizadas nas diversas áreas da organização. O desenvolvimento deste trabalho, a partir do Capítulo 2 - Fundamentação Teórica, aborda os principais Conceitos Básicos, o Contexto Histórico e a Evolução Progressiva da Governança, os Padrões Nacionais e Internacionais de Conformidade, as principais Tendências Tecnológicas e propõe a Integração de Estruturas (Frameworks), de Padrões e Melhores Práticas, culminando com um Estudo de Caso aplicável à ECT. No Capítulo 3 – Possibilidades há alternativas de automação do processo de auto- auditoria na ECT, tais como: Auditoria Remota, Aproveitamento de Soluções Tecnológicas, Implantação do de Gestão de Risco (ERM), Framework Aproveitamento da Camada de Integração na Automatização dos Processos de Auditoria Interna. Propõe-se o Alinhamento ao Programa Nacional de Gestão Pública e Desburocratização (Gespública). No Capítulo 4 – Conclusão retoma-se o Objetivo e o Problema sob a luz da discussão elaborada no escopo, avalia-se o alcance dos objetivos específicos, as constatações e restrições encontradas, as Conclusões obtidas e os Resultados Esperados do presente estudo, remetendo as questões deixadas em aberto aos desdobramentos futuros, eventualmente em nível de Mestrado ou Doutorado.
  • 11 2. FUNDAMENTAÇÃO TEÓRICA 2.1 CONCEITOS BÁSICOS A definição conceitual dos termos, a despeito da parcialmente pertinente crítica materialista6 ao plano das idéias, é fundamental para a compreensão crítica que deve anteceder as ações7 humanas. Portanto, oferecer um espaço de discussão sobre idéias ao mesmo tempo inovadoras e instigantes não se constitui um artifício de requinte intelectual para um punhado de iluminados. Denota, mais propriamente, a sintonia com a incerteza e a perplexidade em que vivemos hoje, não só no domínio do conhecimento científico, mas também no espaço do cotidiano de nossas vidas. Para Edgar Morin, o debate sobre o conhecimento ‘não poderia constituir um domínio privilegiado para pensadores privilegiados, uma competência de experts, um luxo especulativo para filósofos, mas uma tarefa histórica para cada um e para todos. A epistemologia complexa deveria instalar-se, senão nas ruas, ao menos nas mentes, mas isso exige, sem dúvida, uma revolução mental’ (ALMEIDA, 2004). Neste sentido, não há isenção ideológica possível, pois cada sujeito está subordinado por suas próprias pressuposições e a dialética própria com que as expressa, como bem explica CHAUÍ (1988): O conhecimento da realidade exige que diferenciemos o modo como é concretamente produzida. Imediato, abstrato e aparência são momentos do trabalho histórico negados pela mediação, pelo concreto e pelo ser. Isto significa que esses termos são contraditórios e reais. Sua síntese é efetuada pelo espírito. Essa síntese é o que Hegel denomina: conceito. Esses vários aspectos do pensamento hegeliano (aqui grosseiramente resumidos) constituem a dialética, ou seja, a história como processo temporal movido internamente pelas divisões ou negações (contradição) e cujo Sujeito é o Espírito como reflexão. Essa dialética é idealista porque seu sujeito é o Espírito, e seu objeto também é o Espírito. Em última instância, portanto, a história é o movimento de posição, negação e conservação das Idéias - unidade do sujeito e do objeto da história, que é Espírito (CHAUÍ, 1988:34- 42). 6 “Os filósofos se limitaram a interpretar o mundo de diferentes maneiras (...), mas o que importa é transformá-lo” (cf. a tese XI – Ad Feuerbach) (SANT’ANNA, 2006:24). 7 “Assim também a fé, se não tiver obras, é morta em si mesma”. Tiago 2:17 (ALMEIDA, J.F. 1986).
  • 12 A Tecnologia da Informação e a Auditoria, disciplinas-chave do tema desta monografia, vêm tomando emprestada uma infinidade de termos e conceitos oriundos de várias áreas do conhecimento, a começar da Filosofia, dentre os quais se destacam, para o objetivo deste trabalho, os seguintes: 2.1.1 CATEGORIAS: É notório como o conceito de categoria, por meio da decomposição, se aplica aos processos básicos de percepção, apreensão e classificação, recursos de que dispomos na busca pela compreensão da complexidade para organização do próprio conhecimento, conferindo-lhe utilidade funcional concreta, pré-requisito necessário a qualquer ação que se pretenda efetivar. Na história da filosofia tem havido várias opiniões sobre a natureza das categorias, ou seja, ao que corresponde um conjunto de categorias, sendo que as duas principais escolas do pensamento sobre categorias são representadas por Aristóteles e Immanuel Kant. De acordo com Aristóteles, há dez categorias básicas da realidade: substância, quantidade, qualidade, relação, lugar, tempo, posição, estado, ação e paixão. Para Aristóteles, as dez categorias podem, por sua vez, ser entendidas tomando-se a categoria de substância como fundamental ou básica e as outras nove categorias como modos diferentes pelos quais a substância pode ser modificada ou pode ser qualificada. O que é mais crucial na visão de Aristóteles sobre as categorias não é, no entanto, a natureza precisa ou o número das suas classificações. Antes, o que é mais importante na sua abordagem sobre as categorias é que sua proposta nos proporciona divisões reais no próprio mundo real, como existe ‘lá fora’, i.e., como ele é em si mesmo independente do pensamento ou da linguagem humana. Para ele, as categorias são as mais amplas e reais divisões do ser (MORELAND, 2005). 2.1.2 ONTOLOGIAS Conforme CARDOSO (2007), o termo Ontologia é vastamente conhecido e aplicado em áreas como a Filosofia e Epistemologia significando respectivamente, um ‘sujeito da existência’ e um ‘conhecimento e saber’.
  • 13 Recentemente esse termo passou a ser usado também na área de Inteligência Artificial, visando descrever conceitos e relacionamentos utilizados por um agente ou uma co-unidade destes. Do ponto de vista de Banco de Dados (BD), uma ontologia é uma ‘especificação parcial de um domínio ou meta-domínio, descrevendo entidades, relações entre elas e regras de integridade’. Assim, uma ontologia pode ser vista como um modelo conceitual de dados. Um modelo conceitual descreve, dentre outras coisas, a estrutura dos dados do Banco de Dados num alto nível de abstração, enquanto que uma ontologia contém um vocabulário de conceitos ou classes, estrutura de árvore, relacionamentos entre conceitos. Na busca por significado, o homem tem recorrido historicamente aos artifícios e artefatos, inclusive de linguagem, que lhe permitam reduzir a complexidade a um nível que lhe seja possível manipular. Para compreender um pouco o uso de Ontologias, podemos utilizar um exemplo de duas lojas de vendas de automóveis que mantêm schemas próprios que descrevem as respectivas estruturas nas quais as informações de seus produtos estão armazenadas. Para a troca de informações entre as lojas X e Y, uma ontologia poderia ser utilizada para explicitar formalmente que a propriedade chamada ‘Automóvel’ na loja X é equivalente à propriedade ‘Carro’ na loja Y. Por este motivo é possível dizer que ontologias realizam definições comuns e compartilhadas sobre domínios de conhecimento, pois a partir dela, um agente de softwares está apto a ‘entender’ que o conceito ‘Automóvel’ tem o mesmo significado que o conceito ‘carro’ na outra loja [CHANDRASEKARAN, 1999, apud CARDOSO]. Por ocasião do Fórum TIC Governo, realizado em abril de 2008 em Brasília, um representante8 da Controladoria Geral da União (CGU) apresentou um estudo de caso sobre o uso da Tecnologia da Informação na prevenção e combate às fraudes. Naquele contexto foi mencionado o uso do conceito de ontologia na produção de provas judiciais a partir da identificação e análise de padrões em milhares de transações financeiras e complexas redes de relacionamento. 8 Informação verbal de Marcelo Stopanovski Ribeiro. Disponível em: www.itec.al.gov.br/sala-de- imprensa/noticias-nacionais/forum-apresenta-solucoes-em-t-i-para-governo Acesso em: 07/05/2008.
  • 14 2.1.3 ORIENTAÇÃO AO OBJETO – UMA APLICAÇÃO DAS CATEGORIAS Na cronologia do desenvolvimento de sistemas, a evolução das linguagens de programação se deu a partir das linguagens de baixo nível (Ex.: Assembler), passando pelas estruturadas, compiladas ou interpretadas (Ex.: Pascal, COBOL e APL), atingindo o status atual das linguagens chamadas de alto nível, cujo alto desempenho e maior flexibilidade permitiram a implantação da metodologia de Orientação ao Objeto. No paradigma procedural, o software é decomposto em uma hierarquia de procedimentos ou tarefas. No paradigma orientado a objetos, o software é decomposto em uma hierarquia de componentes que interagem entre si (normalmente objetos). (PAGLIARES, 2007) Conceitos úteis originados para além do escopo telemático, tais como os elencados a seguir, são hoje lugar comum no cotidiano dos Analistas de Sistemas, freqüentemente, sem que se tenha a noção de sua origem filosófica. Sistema: O termo sistema vem sendo utilizado desde longa data nos vários ramos do conhecimento humano, mas passou a ser tratado de forma mais consistente a partir da ‘Teoria Geral dos Sistemas’ (1947), elaborada por Ludwig Von Bertalanffy, e a partir da obra de Norberto Wiener, ‘Cibernética e sociedade’ (1950). ‘Sistema é um pacote de energia constituinte – com uma pele limitando a faixa interna e a faixa externa – por onde se dá o intercâmbio de energia reconstituinte (...) regulado por auto, hetero e inter-feedback (...)’ (GREGORI, 1988:32 Apud SANT’ANNA, 2006:19). No contexto específico de TI, segundo PAGLIARES (2007), os sistemas complexos possuem as seguintes características: • Possuem uma estrutura hierárquica; • A escolha de quais componentes são primitivos no sistema é arbitrária; • Um sistema pode ser dividido em relacionamentos intra e intercomponentes. Esta separação de interesses permite o estudo de cada parte isoladamente. • Sistemas complexos são normalmente compostos de poucos tipos de componentes em diversas combinações.
  • 15 • Um sistema complexo de sucesso, de uma forma ou de outra, evolui de um sistema simples. O paradigma de Orientação ao Objeto (OO) é uma aplicação evoluída a partir do conceito de categorias, resultando em uma metodologia bem sucedida de desenvolvimento de sistemas. FIGURA 1: CLASSE, OBJETOS E ATRIBUTOS (PIMENTEL, 2007). 2.1.4 ANÁLISE DE DADOS Conforme o teor da Apostila do Curso Básico em ACL – Audit Command Language, ministrado nas dependências da Tech Supply, em São Paulo, no ano de 2005, todo projeto de análise de dados deve seguir um ciclo regular de atividades. Isto ajuda a assegurar que seu trabalho será minucioso, preciso e realizado com eficiência. O ciclo de análise de dados possui cinco estágios: Planejamento (defina objetivos claros, desenvolva estratégias e estime • tempo e recursos necessários); Acesso aos dados (localizar, solicitar, transferir... ); • Verificação da integridade dos dados (correção e completude); • Análise dos dados (testes objetivos, combinar comandos, filtros e campos • calculados); Apresentação de Resultados (criar relatórios multi-linhas, detalhados e • sumarizados).
  • 16 Na opinião de ALLES9 (2006), uma coisa é, para um auditor, escolher basear os procedimentos de auditoria em dados limitados quando estes são muito dispendiosos de serem obtidos, e outra coisa bem distinta é continuar agindo assim quando dados ilimitados estão prontamente disponíveis. Esta última situação é aquela em que a profissão de auditor irá crescentemente encontrar-se envolvida, até que procedimentos e sistemas de auditoria sejam desenvolvidos para poder explorar a disponibilidade de dados tempestivos e altamente desagregados. Em outras palavras, a profissão de auditor tem que responder à questão de o que planeja fazer com todos os dados que logo estará apta a obter facilmente, dados que provém um nível de detalhe da ordem de magnitude três, para além dos dados amostrais e altamente agregados que são a base da metodologia de auditoria atual; ou, então, explicar por que os dados são jogados fora sem uso. Certamente existem desafios em lidar com tal quantidade de dados, cuja qualidade é variável, mas os custos que o auditor enfrenta ao processá-los deve ser pesado contra os benefícios potenciais associados com a oportunidade generalizada do multibilionário investimento feito em dólar pelas empresas na implantação dos sistemas ERP, o que torna a provisão daqueles dados possível, a princípio. É incumbência dos auditores o desenvolvimento de metodologias que explorem aquela oportunidade de modo que possam prover seus clientes com auditorias mais efetivas, mais eficientes e de maior qualidade. 9 Tradução Livre.
  • 17 2.1.5 GOVERNANÇA CORPORATIVA A WIKIPEDIA (2007) traz, para o verbete Governança Corporativa, que o conceito consiste no “Sistema pelo qual as sociedades empresariais são dirigidas e monitoradas pelo mercado de capitais, envolvendo os relacionamentos entre acionistas, conselho, diretoria e auditoria.” Descreve ainda o processo de tomada de decisão e de implantação ou não implantação das decisões tomadas, em que as instituições públicas conduzem os negócios públicos, administram recursos públicos e buscam assegurar a realização dos direitos humanos. Além disso, no caso de Tecnologia da Informação, condiz também com o relacionamento entre a área de TI e o restante da organização, definindo as oito principais características da ‘boa governança’ como: Participação; • Estado de direito; • Transparência; • Responsividade; • Orientação por consenso; • Igualdade e inclusividade; • Efetividade e eficiência; • Prestação de contas (Accountability)”. • Tem-se, na mesma fonte, o seguinte detalhamento para uma melhor definição destes termos: Participação: que homens e mulheres devem participar igualmente das atividades de governo. A participação deve contemplar a possibilidade de participação direta ou participação indireta através de instituições ou representantes legítimos. A participação implica a existência de liberdade de expressão e liberdade de associação por um lado e uma sociedade civil organizada, de outro lado.
  • 18 Estado de Direito: que a boa governança requer uma estrutura legal justa que se aplica a todos os cidadãos do Estado independentemente de sua riqueza financeira, poder político, classe social, profissão, raça e sexo. A boa governança deve assegurar total proteção dos direitos humanos, pertençam as pessoas a maiorias ou a minorias sociais, sexuais, religiosas ou étnicas. A boa governança deve assegurar que o poder judiciário seja independente do poder executivo e do poder legislativo. A boa governança deve assegurar que as forças policiais sejam imparciais e incorruptíveis. Transparência: que as decisões tomadas e sua fiscalização são feitas através de regras e regulamentos conhecidos. Toda a informação governamental é livremente disponível e diretamente acessível para aqueles que serão afetados por tais decisões e pelos trabalhos de fiscalização. Responsividade: que as instituições governamentais e a forma com que elas procedem são desenhadas para servir aos membros da sociedade como um todo e não apenas a pessoas privilegiadas. Os processos das instituições governamentais são desenhados para responder às demandas dos cidadãos dentro de um período de tempo razoável. Decisões orientadas para um Consenso: que as decisões são tomadas levando- se em conta que os diferentes grupos da sociedade necessitam mediar seus diferentes interesses. O objetivo da boa governança na busca de consenso nas relações sociais deve ser a obtenção de uma concordância sobre qual é o melhor caminho para a sociedade como um todo. Além disso, as decisões também devem ser tomadas levando em conta a forma como tal caminho pode ser trilhado. Essa forma de obter decisões requer uma perspectiva de longo prazo para que ocorra um desenvolvimento humano sustentável. Essa perspectiva também é necessária para conseguir atingir os objetivos desse desenvolvimento. Igualdade e inclusividade: que a boa governança deve assegurar igualdade de todos os grupos perante os objetivos da sociedade. O caminho proposto pelo governante deve buscar promover o desenvolvimento econômico de todos os grupos sociais.
  • 19 As decisões devem assegurar que todos os membros da sociedade sintam que façam parte dela e não se sintam excluídos em seu caminho para o futuro. Esta abordagem requer que todos os grupos, especialmente os mais vulneráveis, tenham oportunidade de manter e melhorar seu bem–estar. Efetividade e eficiência: a boa governança deve assegurar que os processos e instituições governamentais devem produzir resultados, os quais vão ao encontro das necessidades da sociedade ao mesmo tempo em que fazem o melhor uso possível dos recursos à sua disposição. Veja Lei do Ótimo de Pareto (80/20). Isso também implica que os recursos naturais sejam usados sustentavelmente e que o ambiente seja protegido. Suporte à auditoria fiscalizadora: que as instituições governamentais, as instituições do setor privado e as organizações da sociedade civil devem poder ser fiscalizáveis pelas pessoas da sociedade e por seus apoiadores institucionais. De forma geral, elas devem ser fiscalizáveis por todas aquelas pessoas que serão afetadas por suas decisões, atos e atividades. LOPES, C. (2007), em seu artigo sobre o que é governança corporativa, publicado no site da revista iMasters10, afirma que: Uma boa governança corporativa é importante para os investidores profissionais. Grandes instituições atribuem à governança corporativa o mesmo peso que aos indicadores financeiros quando avaliam decisões de investimento. Estudos comprovam que investidores profissionais se dispõem até mesmo a pagar um grande ágio para investir em empresas com altos padrões de governança. Em sua essência a governança corporativa tem como principal objetivo recuperar e assegurar a confiabilidade em uma determinada empresa para os seus acionistas. Tarefa esta difícil, pois como na vida real, a confiança uma vez abalada, demora-se para se recuperar a confiabilidade em uma determinada pessoa. Assim também é com as empresas (LOPES, 2007). Destaca ainda, o mesmo autor, para que haja aderência ao negócio e sua estratégia, a existência de seis ativos principais, cujos elementos essenciais de cada ativo incluem: 10 http://www.imasters.com.br/artigo/3941/governanca/o_que_e_governanca_corporativa/
  • 20 Ativos humanos: pessoas, habilidades, planos de carreira, treinamento, relatório, mentoring, competências etc. Ativos financeiros: dinheiro, investimentos, passivo, fluxo de caixa, contas a receber etc. Ativos físicos: prédios, fábricas, equipamentos, manutenção, segurança, utilização etc. Ativos de Propriedade Intelectual (PI), incluindo o know-how de produtos, serviços e processos devidamente patenteados, registrados ou embutidos nas pessoas e nos sistemas da empresa. Ativos de informação e TI: contemplando dados digitalizados, informações e conhecimentos sobre clientes, desempenho de processos, finanças, sistemas de informação e assim por diante. Ativos de relacionamento: relacionamentos dentro da empresa, bem como relacionamentos, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas etc. A governança destes ativos ocorre por meio de um grande número de mecanismos organizacionais (por exemplo: estruturas, processos, comitês, procedimentos e auditorias), pelo que a maturidade na governança desses ativos varia significativamente na maioria das empresas, com os ativos financeiros e físicos sendo tipicamente os mais bem governados, enquanto os ativos de informação figuram entre os piores. 2.1.6 AUDITORIA E AUTO-AUDITORIA Conforme KIMURA et. al. (1999), grande parte das teorias de administração advoga um processo administrativo composto pelo menos das seguintes atividades: planejamento, execução, controle e ajustes ou feedback.
  • 21 Neste contexto, a administração deve estabelecer planos de longo, médio e curto prazos, onde objetivos e metas devem refletir a visão e as exigências dos acionistas. Numa perspectiva mais moderna, devem também ser levados em consideração, a motivação dos funcionários, a satisfação dos clientes, o relacionamento com fornecedores e com todos os demais elementos que estão envolvidos com a empresa, como por exemplo, os credores, a comunidade, o meio ambiente, etc. Ainda em função das atividades da administração, deve-se colocar os planos em prática visando a busca e a efetivação das ambições e desejos estabelecidos no processo de planejamento. Surge naturalmente, portanto, a necessidade de monitoramento da implantação das operações da empresa, no sentido de verificar a conformidade e consistência dos resultados e eventualmente identificar problemas e falhas visando impulsionar ações de ajuste e adequação de todo o processo, desde a compra de matéria-prima e operacionalização da produção até serviços de pós-venda. Para a atividade de monitoramento e conseqüente avaliação de desempenho, são necessários a coleta de informação e o cálculo de indicadores que permitam a comparação entre valores efetivos e valores planejados, a avaliação dos desvios e o diagnóstico de pontos de melhoria. Ainda segundo KIMURA, a mensuração do desempenho empresarial representa tema gerador de controvérsias. Se por um lado as medidas usuais, baseadas em modelos financeiros, propiciam a fundamentação de comparações e o fácil entendimento, uma vez que retorno monetário e fluxo de caixa são conceitos extremamente intuitivos, por outro lado, pode-se argumentar que aspectos distintos devem ser considerados quando se julga o desempenho. A ênfase excessiva na consideração de medidas inerentemente financeiras pode distorcer a avaliação de desempenho, haja vista que muitas variáveis presentes no contexto da empresa dificilmente podem ser apropriadamente traduzidas em termos financeiros, principalmente quando envolvem itens intangíveis e interpretações subjetivas.
  • 22 Tradicionalmente, os modelos de monitoramento da eficiência produtiva baseiam-se em indicadores quantitativos, facilmente mensuráveis e de caracterização imediata, como quantidade de falhas, desvios em relação a especificações determinadas, tempo de inicialização de máquinas e equipamentos, taxa de utilização da capacidade produtiva, número de itens produzidos, etc. Assim, tendo em vista a preocupação em mensuração de aspectos tangíveis, que representavam papel fundamental na era industrial, dado à relevância das economias de escala e de escopo, tornaram-se padrão para a avaliação de desempenho da corporação, medidas financeiras, como por exemplo, rentabilidade sobre capital, margem de contribuição, custos unitários, grau de alavancagem financeira e operacional, etc. Se a maximização de lucro ou de valor consiste em objetivo empresarial plausível, então a mensuração do desempenho (performance) financeiro é plenamente justificada. Ainda mais, os indicadores financeiros podem facilmente ser extraídos ou derivados da base de dados já disponível para a elaboração de relatórios para atendimento de requisitos legais (balanços patrimoniais, demonstrativos de resultados, etc.), motivando sua utilização para o processo de avaliação e tomada de decisão. Porém, com o desenvolvimento de tecnologias e a aceleração do processo de mudança de paradigmas pode-se observar um atraso na evolução dos sistemas de mensuração de desempenho organizacional. Enquanto ocorriam alterações drásticas no processo produtivo através do uso de técnicas modernas de gestão, com desdobramentos de qualidade total, minimização de estoques, melhorias contínuas, reengenharia, avaliação de carteiras, automatização, informatização e integração de atividades, os indicadores de desempenho continuaram focando-se, basicamente, na perspectiva financeira. KIMURA e outros inferem que, se o processo produtivo vem sofrendo grandes modificações, torna-se lógico que os modelos de monitoramento e avaliação de desempenho (performance) devem também se ajustar para incorporar novos aspectos presentes na era da informação: exploração dos ativos intangíveis,
  • 23 acompanhamento da inovação tecnológica, aproveitamento de alternativas implícitas nos negócios, cadeia de valor virtual, integração corporativa, etc. Para a execução dessa tarefa de avaliação do desempenho organizacional é que existem os tipos gerais de Auditoria, que são: • Externa (contratada para emissão de pareceres anuais independentes); • Interna (responsável pela verificação continuada dos controles internos); e • Governamental, que no Brasil é incumbência do: Tribunal de Contas da União (TCU, atuando em última instância como o um Tribunal Superior); o pelos Tribunais de Contas Estaduais (TCs); e o pela Secretaria Federal de Controle (SFC) da Controladoria Geral da União (CGU, atuando no âmbito do Poder Executivo). A percepção popular é que, historicamente, a atuação dos Tribunais Superiores no Brasil, embora assessorada tecnicamente, está sujeita a um forte viés político que, no caso do TCU o tornaria uma espécie de apêndice ao Congresso Nacional e poderia explicar o baixo índice de recuperação efetiva de perdas e prejuízos sofridos pela Administração Pública (cerca de um por cento), especialmente em delitos que costumam envolver Agentes Políticos. No entanto, o Relatório Anual de Atividades do TCU, relativo ao exercício de 2007, aponta um elevado índice de iniciativa própria resultando num montante de cerca de R$ 600,2 milhões encaminhados aos órgãos responsáveis pela execução judicial, sendo que desse total cerca de R$ 566,3 milhões correspondem a débitos e R$ 33,9 milhões a multas.
  • 24 FIGURA 2: FISCALIZAÇÕES CONCLUÍDAS POR INICIATIVA FIGURA 3: HISTÓRICO DOS MONTANTES DAS COBRANÇAS EXECUTIVAS ENCAMINHADAS AOS ÓRGÃOS EXECUTORES (TCU, 2007) Além disso, o referido Relatório cita como principais benefícios da atuação do TCU os constantes da tabela abaixo:
  • 25 TABELA 1: PRINCIPAIS BENEFÍCIOS (TCU, 2007) Com a CGU, a despeito da feliz iniciativa do Portal da Transparência publicado via WEB para viabilizar o Controle Social, além das demais ações de rotina, a percepção não é muito diferente, já que aquela agência estatal compõe a própria estrutura do Poder Executivo que lhe compete auditar, dando-se o mesmo com os órgãos de Auditoria Interna nas diversas instituições públicas. Já o Ministério Público Federal vem alcançando maior visibilidade e manifesta mais independência em suas ações, o que sugere a necessidade de revisão do modelo atual adotado para o funcionamento do Sistema de Controle no Brasil. Daí que se entende aqui, a despeito do chavão tradicional de “quem audita não faz”, ser indispensável focar a iniciativa nos próprios gestores, de forma tanto quanto possível proativa, para a instituição e avaliação dos controles, pois daquela postura exclusivista não deriva a prerrogativa de isenção de responsabilidade solidária em relação à qualidade dos processos e atividades de sua competência. A auto-auditoria é, portanto, a implantação em primeira mão de controles internos efetivos e a verificação continuada de sua qualidade por parte dos próprios gestores, posto que estes são os maiores interessados na conformidade de seus processos e atividades aos requisitos definidos nos planos, programas, manuais e demais normativos aplicáveis, bem como na avaliação de desempenho e resultados, bem
  • 26 como do seu indispensável alinhamento com os objetivos estratégicos da organização. A cultura ativista dos executivos brasileiros, no entanto, não tem favorecido esta concepção, pois se verifica a prática contumaz de delegar a terceiros, especialmente aos auditores internos, as tarefas de proposição e até mesmo implantação de controles, sob a desculpa de que não há tempo para que os gestores delas se ocupem. É freqüente o acionamento dos auditores internos, por parte dos gestores, com o fim de validarem ou proporem alternativas de controles, comportamento este que deve ser prontamente rechaçado pelos auditores internos, pois tal prática conflita com a indispensável independência na realização isenta da função de auditoria. Ademais, na faculdade que tem os gestores de exercitarem o poder discricionário já está disponível a competência para agregar contribuições de consultorias e assessorias técnicas especializadas para, no melhor interesse da organização, identificar os riscos, os fatores críticos de sucesso, as tecnologias e os recursos necessários à consecução dos objetivos organizacionais, observando sempre, entre outros, os princípios da legalidade, moralidade, impessoalidade da administração pública, eficiência, eficácia e economicidade (Artigo 37 da Constituição Federal de 1988). 2.1.7 GOVERNANÇA DE TI Controlar e monitorar continuamente estes ativos não é tarefa fácil e necessita-se uma forte receptividade e patrocínio por parte da direção da empresa. Dentre todos estes ativos se destacam os Ativos de informação, uma vez que as informações disponibilizadas pela área de TI sustentarão a empresa e todos os controles, processos, procedimentos e métricas partirão da TI. Tradicionalmente, as organizações dedicam grande atenção para com seus ativos tangíveis físicos e financeiros, mas relativamente pouca atenção aos ativos de informação que possuem. Em anos recentes, contudo, a informação assumiu importância vital para manutenção dos negócios, marcados pela dinamicidade da
  • 27 economia globalizada e permanentemente on-line, de tal forma que, atualmente, não há organização humana que não seja dependente da tecnologia de informações, em maior ou menor grau, de forma que o comprometimento do sistema de informações por problemas de segurança pode causar grandes prejuízos ou mesmo levar a organização à falência (CARUSO, 1999 apud CASANAS et. al. 2001). Segundo WEILL (2005), a Governança de TI se dá por meio da especificação dos direitos decisórios e da estrutura de responsabilidades para estimular comportamentos desejáveis na utilização da TI. Com base em um estudo feito junto a 250 empresas de todo o mundo, Weill e Ross afirmam que o valor de negócios de TI resulta diretamente de uma governança de TI eficaz (da alocação, pela empresa, da responsabilidade e dos direitos decisórios). Suas pesquisas revelam que as empresas com superioridade em governança de TI têm lucros no mínimo 20% maiores do que as com má governança, considerados os mesmos objetivos estratégicos. Mas somente 38% da alta gerência conseguem descrever com precisão sua governança de TI (como, então, os demais gerentes poderão tomar boas decisões pela empresa a esse respeito?). Em Governança de TI, os autores mostram como conceber e Implantar um sistema de direitos decisórios que enderecem três questões fundamentais: Quais decisões devem ser tomadas para assegurar o uso e a gestão apropriados da TI? Quem deve tomar estas decisões? Como tomá-las e monitorá-las? Com suas ilustrações vívidas de sistemas de governança usados pelas empresas de melhor desempenho nos setores público e com fins lucrativos (incluindo a Du Pont, a UPS, a UNICEF, a State Street Corporation, a Motorola e a Panalpina), o livro GOVERNANÇA DE TI: Tecnologia da Informação oferece um modelo e as ferramentas para customizar um sistema de governança de TI: As cinco decisões principais que determinam o uso eficiente da TI; • Um conjunto de modelos aprovados para alocar os direitos decisórios; • Vários mecanismos comprovados para Implantar a governança de TI; •
  • 28 Uma Matriz de Arranjos de Governança para alinhar a TI aos objetivos gerais • de negócio. A máxima é: pare de pensar em TI como função isolada e comece a desenvolvê-la como uma competência organizacional. 2.1.8 BALANCED SCORECARD (BSC®) A constatação da importância dos mapas estratégicos motivou os autores Robert Kaplan e David Norton a escrever um terceiro livro da série Balanced Scorecard (KAPLAN et. al., 2007), em que apresentam várias novas contribuições importantes. Entre essas contribuições estão: • um padrão que descreve os componentes básicos de como se cria valor nas perspectivas de processos internos e de aprendizado e crescimento; • ]temas, baseados nos processos que criam valor, capazes de esclarecer a dinâmica da estratégia; e • um novo arcabouço para descrever, medir e alinhar os três ativos intangíveis da perspectiva de aprendizado e crescimento com os processos e objetivos estratégicos da perspectiva dos processos internos: o capital humano; o capital informacional; e o capital organizacional.
  • 29 FIGURA 4: DIAGRAMA BALANCED SCORECARD (KAPLAN, 2007) Um Painel de Indicadores estratégicos definidos para cada uma das perspectivas acima (Financeira, Cliente, Processos Internos e Aprendizado e Crescimento), a princípio tratados por exceção a partir de alertas pictográficos (vermelho, amarelo e verde), possibilita aos gestores a atuação imediata no estado atualizado on-line e real time dos pontos de controle. Tal metodologia permite, inclusive, detalhar desdobramentos até o nível operacional, pela via de ferramentas de Business Inteligence (BI) e de Extração, Transformação e Carga (ETL), tais como os chamados softwares generalistas de auditoria de tecnologia da informação, que envolvem o uso de aplicativo em ambiente batch, podendo processar, além de simulação paralela, uma variedade de funções de auditoria e nos formatos que o auditor desejar. Exemplos: ACL (Audit Command Language): é um software de extração e análise de dados, desenvolvido no Canadá; IDEA (Interactive Data Extraction & Analysis): software para extração e análise de dados, também desenvolvido no Canadá;
  • 30 Audimation: é a versão norte-americana do IDEA, da Caseware-IDEA, que desenvolve consultoria e dá suporte para o produto; Galileo: software integrado de gestão de auditoria. Inclui gestão de riscos de auditoria, documentação e emissão de relatórios para auditoria interna; Pentana: software de planejamento estratégico da auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de auditoria, inclusive de desenho e gerenciamento de plano de ação. O que é ACL É uma ferramenta que permite a leitura e a análise de dados, independente de tamanho, formato ou diversidade de arquivos dispersos em bancos de dados de diferentes plataformas (Windows, Unix, Oracle, etc.). É utilizado por analistas de dados, auditores, contadores e outros profissionais de negócios que necessitem de acesso aos dados em tempo hábil e de forma a analisá-los eficaz e eficientemente. Objetiva dar suporte aos processos de tomada de decisões e planejamento administrativo de forma confiável. O limite de uso depende de sua imaginação. Veja o que vem sendo feito mundialmente no site: http://www.acl.com Vantagens: Pode processar vários arquivos ao mesmo tempo; Pode processar vários tipos de arquivos com formatos diferentes, por exemplo: EBCDIC ou ASCII; Poderia também fazer uma integração sistêmica com vários tipos de softwares e hardwares; Reduz a dependência do auditor do especialista de informática para desenvolver aplicativos específicos para todos os auditores de sistemas de informação
  • 31 Desvantagens: Como o processamento das aplicações envolve gravação de dados (arquivos) em separado para serem analisados, poucas aplicações podem ser feitas em ambiente on-line; O software não consegue processar cálculos complexos, pois como se trata de um sistema generalista, não aprofunda na lógica e na matemática muito complexas. Já os Softwares Especialistas de auditoria consistem em programas desenvolvidos especificamente para certas tarefas em certas circunstâncias. Vantagens: Pode atender sistemas ou transações não contempladas por softwares generalistas; O auditor, quando consegue desenvolver softwares específicos numa área muito complexa, pode utilizar isso como vantagem competitiva. Desvantagens: Pode ser muito caro, pois terá uso limitado e normalmente restrito a determinado cliente; Atualização pode ser complicada devido à falta de recursos que acompanhem as novas tecnologias. Há ainda programas utilitários em que o auditor usa softwares utilitários para executar funções muito comuns de processamento, como sortear arquivo, sumarizar, concatenar, gerar relatórios. Pode ser um EXCEL, ou recursos de bancos de dados como o SQL, Dbase2, etc. Vantagem: Pode ser utilizado como alternativa na ausência de outros recursos. Desvantagem:
  • 32 Sempre necessitará do auxílio do funcionário da empresa auditada para operar a ferramenta (no caso de ferramentas complexas, como bancos de dados). 2.1.9 A MÉTRICA E OS SISTEMAS DE MENSURAÇÃO Willian Thompson, ou Lorde Kelvin (1824-1907), conceituado físico que deu fundamental contribuição à termodinâmica, costumava dizer: “Se algo não pode ser medido, ele realmente não existe”. Medir objetos e eventos não é apenas uma necessidade científica, mas é dar significado à complexidade dos fenômenos naturais. Medir é uma atividade rotineira do ser humano e de sua interação com a natureza. Para que se possa realizar medições é condição fundamental a existência de métricas e instrumentos de trabalho adequados. Conforme ROZADOS (2005) são apresentados documentos que lidam com indicadores de desempenho concernentes a bibliotecas tradicionais e digitais, entre os quais estão os padrões internacionais ISO 11620, ISO 20983, o Projeto EQUINOX, mais um manual publicado pela UNESCO, como fontes básicas e qualificadas para a formação e seleção de indicadores e metodologias. (...) Segundo Geisler (2000), fenômenos físicos como temperatura, peso, massa, são adequadamente medidos, em geral, com o uso de um simples aparelho. O mesmo autor também afirma que as Ciências Sociais, Administrativas e Comportamentais são fenômenos considerados muito menos precisos, dos quais, muitas vezes, possuímos pouco conhecimento, o que os torna muito mais difíceis de medir. O que medir é, portanto, o primeiro princípio da mensuração. Uma vez decidido o que medir, passa-se a definir que instrumento de medida pode dar conta do que se deseja medir. Instrumentos de mensuração têm uma variedade de características que impactam sua eficiência. GEISLER (2000) identifica, ainda, que o processo de seleção de uma métrica é influenciado por três fatores: a cultura da organização; um conjunto disponível de
  • 33 métricas e o tipo de atividade a ser medida; e outras influências, como os atores envolvidos (comunidade científica e de negócios ou interesses governamentais). A definição de métrica inclui três aspectos: o item medido (o que medir), a unidade de medida (como medir) e o inerente valor associado com a métrica (por que medir ou o que se pretende encontrar com esta mensuração). Afirma, também, que para avaliar ciência e tecnologia existe um único método viável: mensuração por indicadores. Torna a enfatizar que múltiplos indicadores são necessários para proporcionar uma adequada cobertura de dimensões e aspectos de processos complexos, atividade e resultados. Conforme ROZADOS (2005), um indicador é uma medida reservada para a descrição ou representação de um dado evento ou fenômeno11. Uma métrica pode conter um ou mais indicadores Os objetivos são: Estudar ocorrências de fraudes em relatórios financeiro-contábeis; • Desenvolver recomendações (companhias, auditores, outros reguladores e • instituições educacionais); O aperfeiçoamento dos relatórios financeiros (Ética, Controle Interno e • Governança Corporativa); Definição comum de Controle Interno atendendo à necessidade de diferentes • interessados; Padrão para avaliar sistemas de controles (empresas pequenas ou grandes, do • setor público ou privado, visando lucro ou não). Em contextos de crescente complexidade convém considerar também a Lógica Fuzzy12 como mais uma possibilidade de análise das diversas variáveis envolvidas, o que já vem sendo adotado em sistemas especialistas de inteligência artificial. 11 Categoria definida por Immanuel Kant. 12 Disponível em http://users.femanet.com.br/~fabri/fuzzy.htm Acesso em 06/05/2008.
  • 34 Os Conjuntos Fuzzy e a Lógica Fuzzy provêm a base para geração de técnicas poderosas para a solução de problemas, com uma vasta aplicabilidade, especialmente, nas áreas de controle e tomada de decisão. A força da Lógica Fuzzy deriva da sua habilidade em inferir conclusões e gerar respostas baseadas em informações vagas, ambíguas e qualitativamente incompletas e imprecisas. Neste aspecto, os sistemas de base Fuzzy têm habilidade de raciocinar de forma semelhante à dos humanos. Seu comportamento é representado de maneira muito simples e natural, levando à construção de sistemas compreensíveis e de fácil manutenção. A Lógica Fuzzy é baseada na teoria dos Conjuntos Fuzzy. Esta é uma generalização da teoria dos Conjuntos Tradicionais para resolver os paradoxos gerados a partir da classificação “verdadeiro ou falso” da Lógica Clássica. Tradicionalmente, uma proposição lógica tem dois extremos: ou “completamente verdadeiro” ou “completamente falso”. Entretanto, na Lógica Fuzzy, uma premissa varia em grau de verdade de 0 a 1, o que leva a ser parcialmente verdadeira ou parcialmente falsa. Com a incorporação do conceito de “grau de verdade”, a teoria dos Conjuntos Fuzzy estende a teoria dos Conjuntos Tradicionais. Os grupos são rotulados qualitativamente (usando termos lingüísticos, tais como: alto, morno, ativo, pequeno, perto, etc.) e os elementos destes conjuntos são caracterizados variando o grau de pertinência (valor que indica o grau em que um elemento pertence a um conjunto). Por exemplo, um homem de 1,80 metro e um homem de 1,75 metro são membros do conjunto “alto”, embora o homem de 1,80 metro tenha um grau de pertinência maior neste conjunto. 2.1.10 OUTROS CONCEITOS (ITIM, ITSM, ITIL®13, PRINCE, MSP, M_O_R 14) A evolução da Gestão de TI passou por várias fases em que a abordagem variava de acordo com as ênfases do momento. Por exemplo: a) IT Infrastructure Management (ITIM) – Visão de TI como despesa provendo infra- estrutura de TI fuzzy logic noun [C usually singular] a theoretical system used in mathematics, computing and philosophy to deal with statements which are neither true nor false (from Cambridge Advanced Learner's Dictionary). 13 ITIL® is a Registered Trade Mark, and a Registered Community Trade Mark of the Office of Government Commerce, and is Registered in the U.S. Patent and Trademark Office. IT Infrastructure Library® is a Registered Trade Mark of the Office of Government Commerce. 14 Disponível em: http://www.ogc.gov.uk/index.asp Acesso em 13/05/2008 © Crown Copyright 2008
  • 35 A abordagem inicial dada à Tecnologia da Informação caracterizava-se por uma visão mecanicista, focada nos equipamentos, privilegiando os investimentos em infra-estrutura. b) IT Service Management (ITSM) – Visão de TI como investimento provendo serviços de TI: Conforme MAGALHÃES et. al. (2007), o Gerenciamento de Serviços de Tecnologia da Informação é o instrumento pelo qual a área pode iniciar a adoção de uma postura proativa em relação ao atendimento das necessidades da organização, contribuindo para evidenciar a sua participação na geração de valor. O Gerenciamento de Serviços de TI visa alocar adequadamente os recursos disponíveis e gerenciá-los de forma integrada, fazendo com que a qualidade do conjunto seja percebida pelos seus clientes e usuários, evitando-se a ocorrência de problemas na entrega e na operação dos serviços de Tecnologia da Informação. Para alcançar este objetivo, a tática que vem sendo adotada é o desenho, a implantação e o gerenciamento de processos internos da área de TI de acordo com as práticas reunidas na InformationTechnology Infrastructure Library (ITIL). c) IT Infrastructure Library (ITIL) – Visão sistêmica do papel das áreas de TI. Conforme o ITSMF seção Brasil, o Reino Unido identificou que, apesar de muitos esforços estarem sendo direcionados para a redução de custos e riscos, inclusive o desenvolvimento de projetos com esse intuito, havia pouca informação disponível a respeito de como controlar os sistemas de informação IS (Information Systems) a partir do momento em que eles eram implantados. Pesquisas mostravam, porém, que mais de 80% do custo dos Serviços de Informática estava relacionado ao dia-a-dia de sua operação e apenas 20% ao estágio de desenvolvimento. Por esse fato, foi criada a Biblioteca de Infra-estrutura de TI pelo CCTA, um centro governamental para sistemas de informações. Esta Biblioteca de Infra-estrutura é o mais acessível e estruturado modelo para gerenciamento de serviço de TI atualmente disponível. A Biblioteca de Infra-estrutura
  • 36 de TI considera todos os hardwares, softwares e telecomunicações sobre os quais a aplicação dos sistemas e serviços é desenvolvida e entregue. A Biblioteca é formada por módulos que trazem as melhores práticas retiradas de empresas públicas e privadas. Para formá-la, foram dedicados vários anos de consultoria em empresas do setor público, grandes empresas do setor privado e indústria de informática, fazendo dela o mais completo e acessível guia para gerentes de serviços de TI. A Biblioteca se tornou de fato um padrão para gerenciamento de serviços de TI. Sem a TI muitas empresas não funcionam e sem qualidade em TI estas empresas não funcionam bem. A orientação da Biblioteca de Infra-estrutura permite que as organizações tenham, no mínimo, um bom padrão de qualidade de gestão de serviços de TI. Os maiores resultados obtidos na utilização da ITIL estão nas melhorias dos serviços oferecidos aos clientes e a redução dos custos e riscos. A Biblioteca não é uma propriedade privada, está disponível para todos (mediante compra) e é publicada pela HSMO, sendo produzida utilizando-se os procedimentos certificados para o padrão ISO-9001/BS5750. A ITIL® é a abordagem ao gerenciamento de serviços de TI mais largamente aceita no mundo e é uma estrutura de melhores práticas coesa, projetada para os setores: público e privado, internacionalmente. Descreve a organização dos recursos de TI para entregar valor ao negócio, documenta processos, funções e papéis em IT Service Management (ITSM). A ITIL é suportada por um esquema compreensivo de qualificações, organizações de treinamento acreditadas e ferramentas de implantação e controle. A versão original da ITIL foi desenvolvida ao mesmo tempo e em alinhamento com BS 15000, o antigo padrão do Reino Unido (UK) para o Gerenciamento de Serviços de TI. BS15000 foi lançada em 2005 para tornar-se ISO/IEC 20000, o primeiro padrão internacional em ITSM.
  • 37 O Governo Britânico, por meio do Office of Government Commerce (OGC) está comprometido com a manutenção do alinhamento entre as futuras versões da ITIL e da ISO/IEC 20000, que é o primeiro padrão mundial especificamente projetado para o Gerenciamento de Serviços de TI (IT Service Management). Descreve um conjunto integrado de processos de gerenciamento e seus clientes. FIGURA 5: DIAGRAMA ITIL (OGC, 2007) O cerne da ITIL é a estratégia de serviço, que tem entrada em todos os estágios do ciclo de vida. O ciclo é: Projeto, Transição, Operação e Melhoramento Contínuo, que está envolvido no todo. A organização do material ITIL reflete o ciclo PDCA do Deming (Planejar-Fazer- Checar-Agir), mas note-se que nem sempre há um relacionamento linear entre os estágios, pois existem muitas ligações entre um estágio e outro. Pessoas familiarizadas com a versão dois da ITIL freqüentemente expressam preocupação acerca de processos, que são o cerne da versão dois. A versão três ainda tem os processos, muitos dos quais atingem mais de um estágio de ciclo de vida. Onde isto acontece, cada processo tem uma casa onde é mais ativo no livro dos estágios do ciclo de vida. Pode-se pensar em processos como sendo ortogonais aos
  • 38 estágios. A abordagem de ciclos de vida dá uma estrutura melhorada e holística, dentro da qual são descritas todas as funções, processos, papéis e responsabilidades que constituem a Melhor Prática de Gerenciamento de Serviços de TI. O foco da ITIL hoje é a integração da TI ao negócio, assegurando a entrega de valor ao negócio e o tratamento dos serviços como ativos de negócio. A ITIL descreve a vida de um serviço “da concepção à aposentadoria”, dentro de um Portafólio de Serviços. A parte anterior do portafólio é o Service Pipeline, que é o conjunto dos serviços em planejamento e desenvolvimento, e a última parte o familiar Catálogo de Serviços, que contém os serviços em uso ou ofertados para uso. A ITIL entrega processos tentativos e já testados que assegurem resultados previsíveis, repetíveis e confiáveis em TI, assegurando a entrega de valor ao negócio. Os benefícios incluem: Uso otimizado dos investimentos em TI; Integração do valor do negócio e da TI; Portafólio orientado aos ativos de serviço; Clara demonstração do Retorno sobre os Investimentos (ROI); Adaptação ágil e flexível aos modelos de serviços; Desempenho e medições que são baseados em valor do negócio; Ativos de Serviços de TI ligados aos serviços do negócio. Treinamento, exames & qualificações. Existem atualmente três níveis de certificação no esquema de qualificação ITIL: Certificação nos Fundamentos ITIL (Foundation Certificate): Projetada para prover um nível fundamental de conhecimento em gerenciamento de serviços de TI, é voltada para todo o pessoal que queira tornar-se familiar com as melhores práticas em Gerenciamento de Serviços de TI, como definido na Biblioteca de Infra-estrutura de TI (ITIL). A Certificação nos Fundamentos capacita as pessoas a compreender, em particular, a terminologia usada dentro da ITIL.
  • 39 Certificação Prática (Practitioner's Certificate): Destinada àqueles que são responsáveis, no contexto de suas organizações, pelo projeto de processos específicos dentro da disciplina de Gerenciamento de Serviços de TI e pela execução das atividades que pertençam àqueles processos. A Certificação Prática focaliza em profundidade o entendimento e a aplicação daqueles assuntos, tratando cada assunto como uma especialidade. Certificação Gerencial (Manager's Certificate): A Certificação Gerencial é destinada àqueles que precisam demonstrar capacidade para gerenciar soluções baseadas em ITIL e soluções que tangenciem o âmbito dos assuntos relativos ao Gerenciamento de Serviços. As Certificações ITIL demonstram que um indivíduo alcançou certo padrão em Gerenciamento de Serviços, conforme definido pelo Certificador Oficial da OGC, o Grupo APM, suportado por um Painel Global de Examinadores especialistas em ITIL. O esquema oficial é suportado por institutos de exame, incluindo a APMG, a EXIN e o ISEB. Com a emissão da nova versão ITIL em junho de 2007, o esquema de qualificação vem sendo revisado e melhorado. Um novo curso de Certificação nos Fundamentos ITIL e novos exames estão disponíveis, bem como haverá cursos-ponte para atualização dos detentores da Certificação anterior (versão 2). Quanto à ISO/IEC 2000015, esta norma é alinhada e complementa a abordagem de processos definida na ITIL, consistindo de duas partes: 1 – ISO/IEC 20000-1:2005 é a especificação formal que define os requisitos para uma organização entregar serviços gerenciados em qualidade aceitável para seus clientes, cujo escopo inclui: Requisitos para o sistema de gerenciamento; 15 Tradução Livre. Original Disponível em: http://www.isoiec20000certification.com/about/whatis.asp Acesso em 16/05/2008.
  • 40 Planejamento e implantação do gerenciamento de serviço; Planejamento e implantação de novos serviços ou mudanças; Processos de entrega de serviço; Processos de relacionamento; Processos de resolução; Processos de controle; e Processos de publicação. 2 - ISO/IEC 20000-2:2005 é o Código de Práticas e descreve as melhores práticas para os processos de Gerenciamento de Serviços dentro do escopo da ISO/IEC 20000-1. O código de práticas será de uso particularmente recomendado para aquelas organizações que se preparam para serem auditadas em conformidade com a ISO/IEC 20000 ou com as melhores práticas de planejamento de serviços. d) PRINCE (Projects in Controlled Environments), o que significa Projetos em Ambientes Controlados, foi inicialmente desenvolvido em 1989, pelo governo do Reino Unido, como uma abordagem padrão ao gerenciamento de projetos para o governo central. Desde então, o método tem sido aperfeiçoado para tornar-se uma abordagem genérica de melhores práticas aplicáveis a todos os tipos de projetos, e tem um registro validado nos setores governamentais e de TI. O PRINCE2 tem sido largamente adotado e adaptado por ambos os setores público e privado, e é agora o padrão de fato para o Gerenciamento de Projetos no Reino Unido. Tem havido também um rápido crescimento do interesse internacional no padrão PRINCE2, que é projetado para incorporar os requisitos e experiências dos usuários existentes ao redor do mundo. O PRINCE é um método genérico, simples e adaptável para seguir no Gerenciamento de Projetos. Ele cobre como organizar, gerenciar e controlar seus projetos. É destinado a capacitá-lo a entregar com sucesso os produtos certos, em tempo e dentro do orçamento.
  • 41 Como Gerente de Projeto, pode-se aplicar os princípios do PRINCE2 e o treinamento associado a qualquer tipo de projeto. Isto o ajudará a gerenciar risco, controlar a qualidade e a mudança com efetividade, tanto quanto tirar o melhor proveito de situações desafiadoras e de oportunidades que surjam dentro de um projeto. Um projeto PRINCE2 tem as seguintes características: Um ciclo de vida finito e definido; Produtos de negócio definidos e mensuráveis; Um conjunto de atividades correspondentes para alcançar os produtos de negócio; Um montante definido de recursos; Uma estrutura organizacional com responsabilidades definidas para gerenciar o projeto. O PRINCE2 não cobre todos os aspectos do Gerenciamento de Projetos. Certos aspectos (como liderança e perfis de gerenciamento de pessoas, cobertura detalhada das técnicas e ferramentas de gerenciamento de projetos) são bem cobertos por outros métodos existentes e provados, portanto foram excluídos deste método. O método PRINCE2 é documentado na publicação da OGC intitulada quot;Managing Successful Projects with PRINCE2quot;, prontamente disponível através do seu agente oficial de publicações: TSO. Este livro principal é suportado por um número de publicações complementares que adicionam orientação sobre como adaptar o método, como gerenciar seu pessoal em projeto PRINCE. Exteriorizando os benefícios para o seu negócio ao adotar essa abordagem de gerenciamento de projetos, ajusta cada processo em uma estrutura de componentes essenciais que precisam ser aplicados ao longo do projeto e ajuda a exercitar quais papéis devem ser envolvidos em seus projetos, o que eles serão responsáveis e quando serão necessários.
  • 42 O conjunto de processos e controles providos estruturam suporte à vida do projeto, explicando que informação deverá ser agregada ao longo do caminho. O método PRINCE2 demonstra como o projeto pode ser dividido em etapas ou estágios gerenciáveis, permitindo planejar à frente mais realisticamente, além de chamar seus recursos no tempo necessário. O PRINCE2 age como uma linguagem comum entre todos os clientes, usuários e fornecedores, trazendo essas partes juntamente à direção do projeto, embora não inclua o gerenciamento de contratos como tal, provê os controles e as fronteiras necessários para todos trabalharem em conjunto dentro dos limites de qualquer contrato relevante. Adicionalmente, a direção do projeto provê suporte ao gerente de projeto na tomada de decisões-chave. O mais importante de tudo é que PRINCE2 permite ao seu negócio focar a execução dos projetos certos, na hora certa, pelas razões corretas, por meio de fazer o início de um projeto e sua existência continuada dependente de um estudo de caso válido e contínuo. Usar PRINCE proverá maior controle de recursos, além da habilidade de gerenciar o risco do negócio e do projeto mais efetivamente, com benefícios para: Gerentes de projeto; Diretores/executivos (proprietários) dos projetos, e Organizações. O uso do PRINCE2 em seus projetos dará à organização sistemas, procedimentos e linguagem comuns. Isto capacitará a cometer menos erros, aprender com aqueles cometidos anteriormente e, finalmente, poupar dinheiro e esforço. O método não é proprietário e é fácil de aprender, além de incorporar melhores práticas estabelecidas e testadas por todas as organizações que contribuíram para a sua evolução desde 1980. Pela adoção do PRINCE2 como o seu método de gerenciamento de projetos, a instituição beneficia-se pelas lições aprendidas por todas aquelas organizações.
  • 43 Em síntese, o reconhecimento formal das responsabilidades PRINCE2 dentro de um projeto, juntamente com o seu foco sobre o que o projeto deve entregar (o porquê, quando e para quem) proverá sua organização com: Uma abordagem comum e consistente; Um início, meio e fim controlado e organizado; Revisões regulares do progresso confrontado com o planejado; Segurança de que o projeto continua a ter uma justificativa de negócio; Pontos de decisão flexíveis; Gerenciamento e controle de qualquer desvio do planejado; O envolvimento da gerência e dos interessados (stakeholders) no tempo e lugar certos durante o projeto; Bons canais de comunicação entre o projeto, a gerência de projeto e o restante da organização; Meios de captura e compartilhamento das lições aprendidas; Uma rota para aperfeiçoar os perfis e competências das gerências de projetos e do pessoal da organização em todos os níveis. e) Managing Successful Programmes (MSP) é uma estrutura flexível que permite gerenciar e controlar todas as atividades envolvidas no gerenciamento de um programa, por meio de consultoria organizacional, de processos, de comunicação de inovação. Existe uma ligação estreita entre MSP e PRINCE2™. Gerenciamento de Programa está se tornando um aspecto crescente das mudanças em gerenciamento de negócios, quer em partes de uma organização ou em toda a organização, ou ainda, em um grupo de organizações. As diretivas para mudança podem ser internas, tais como melhoria da qualidade dos produtos, ou externas, como uma nova política governamental. A segunda edição dessa publicação descreve a abordagem da OGC para gerenciar efetivamente a mudança, baseada em experiências de melhores práticas dentro do governo e no setor privado. Isto provê uma visão geral da estrutura de gerenciamento de programa e considera princípios-chave como liderança, gerenciamento de benefícios, de partes interessadas e comunicação, bem como gerenciamento de riscos, planejamento e
  • 44 controle de programas, de casos de negócios e de assuntos relacionados à qualidade. Então, parte-se para a discussão do ciclo de vida do gerenciamento de programa, incluindo a identificação e definição detalhada do programa, gerenciando o portafólio do projeto, entrega e quantificação dos benefícios de negócio mensuráveis, além do fechamento do programa e de sua infra-estrutura. Um programa é composto por um número de projetos que, se coordenados ou integrados no programa, são provavelmente mais factíveis de atingir os objetivos estratégicos e entregar benefícios mensuráveis para a organização. Produtos de Gerenciamento de Projetos, MSP e Programa da OGC O Programa da OGC e os produtos de Gerenciamento de Projetos do PRINCE2™; o Gerenciamento bem sucedido de Programas (MSP) e Gerenciamento de Riscos (M_o_R® - Management of Risk) oferecem abordagens padrões para “o que e o como” do bom gerenciamento de programa, projetos e riscos. Eles suportam e aperfeiçoam os cadernos de programas, projetos e riscos da OGC, e complementam o OGC Gateway™, obtenção (procurement) e o Guia de Atingimento da Excelência. Eles são projetados por gerentes seniores, gerentes de negócios e praticantes em todos os níveis de times, através do nível diretivo. A OGC tem os produtos e gerencia seu desenvolvimento continuo por meio de seus parceiros, que asseguram que os produtos são suportados internacionalmente por serviços de qualidade garantida em certificação e publicação. Existe uma vasta faixa de provedores acreditados, incluindo treinamentos e serviços de consultoria. Existem também publicações que aperfeiçoam o conjunto principal. As qualificações associadas oferecem aos indivíduos uma rota para aperfeiçoarem seu desenvolvimento profissional.
  • 45 Como exemplos das melhores práticas, todo o conteúdo é periodicamente revisado e atualizado para incorporar pesquisas relevantes e benefícios de experiências práticas em sua aplicação. A metodologia MSP ajuda a atingir benefícios reais de negócios por meio de um processo formal de: Identificação de benefícios; Medições; Gerenciamento e Constatações. MSP não é: Uma forma de gerenciamento de grandes projetos; Um guia detalhado de gerência de mudança de negócios; Um guia para gerenciamento contínuo de serviços ou gerenciamento do cotidiano normal do negócio. Managing Successful Programmes (MSP) é uma orientação definitiva em gerência de projetos inter-relacionados como um programa coordenado de mudanças de negócios, de forma a gerenciar os riscos e os benefícios mais efetivamente. Managing Successful Programmes (MSP) é largamente adotada nos setores: público e privado, sendo desenvolvida por um consórcio de cerca de 100 organizações, incluindo muitas dentre as indústrias de serviços. Conjuntamente com outras referências de Gerenciamento de Projetos e Programas disponíveis na OGC e seus parceiros, a MSP objetiva: Prover padrões de referência; Prover uma estrutura de princípios e conceitos de melhores práticas explicitados a partir de experiências recentes e prática comprovada; Habilitar praticantes na adaptação das orientações às situações da vida real; Estar acessível às equipes e organizações, tanto quanto aos indivíduos praticantes;
  • 46 Ajudar os praticantes a melhorar sua tomada de decisões e torná-las melhores ao Implantar mudanças benéficas; Capacitar indivíduos a demonstrarem seu nível de conhecimento e compreensão de cada produto pela obtenção de qualificação globalmente reconhecida. f) Management of Risk (M_o_R) é o padrão sugerido na sequência das recomendações constantes do relatório Turnbull, no sentido de que as organizações devem Implantar estruturas de gerenciamento de riscos e declarações de controle interno, para fixar firmemente o gerenciamento de riscos aos processos de gestão. A OGC decidiu juntar alguma orientação para prover as organizações com um valoroso estímulo para inovação e uma abordagem de sonoro encorajamento à cultura de gerenciamento de risco. Esta abordagem M_o_R foi projetada para complementar as orientações da OGC sobre gerenciamento de programas, projetos e serviços (MSP, PRINCE2 e ITIL), mas cobre elementos de gerenciamento de riscos em maior nível de detalhe. Esta publicação deriva da experiência de uma variedade de especialistas de ambos os setores: público e privado. Ela entrega uma estrutura para tomada de decisões informada acerca dos riscos de projetos, programas e nível estratégico para assegurar que os riscos-chave são identificados, controlados e que a ação adequada é tomada para cada um deles. Toda organização gerencia seus riscos, mas nem sempre o faz de forma visível, repetível e consistentemente aplicada para suporte ao processo decisório. A tarefa do modelo de Gerenciamento de Risco da OGC (M_o_R) é habilitar qualquer organização a fazer um uso de custo efetivo de um processo de risco que tem uma série de passos bem definidos. O alvo é suportar melhor a tomada de decisões por meio de um bom entendimento dos riscos e de seus impactos prováveis.
  • 47 M_o_R provê uma estrutura genérica para o gerenciamento de risco através de todas as partes de uma organização: estratégia, programa, projeto e operacional. Incorpora todas as atividades requeridas para identificar e controlar a exposição, positiva ou negativa, a qualquer tipo de risco que possa ter impacto no atingimento dos objetivos de negócio da organização. M_o_R objetiva ajudar as organizações a alocar estruturas efetivas para a tomada de decisões bem informadas sobre riscos. A orientação provê um mapa de rotas para o gerenciamento de riscos, trazendo junto abordagens recomendadas, checklists e ponteiros para fontes mais detalhadas de aconselhamento em ferramentas e técnicas. Expande-se isto nas Guidelines for Managing Risk da OGC. M_o_R cobre uma vasta faixa de tópicos, inclusive de gerenciamento de continuidade de negócios, segurança, de risco de projetos ou programas, e de serviços operacionais. Estes tópicos são colocados no contexto de uma estrutura organizacional para gerenciamento de riscos. Alguns tópicos relacionados ao risco, tal como segurança, são altamente especializados e esta orientação provê somente uma visão geral de tais aspectos. O processo de avaliação de investimentos que são auditados em termos de custos, benefícios e riscos, está fora do escopo deste guia. No entanto, muitos dos princípios e técnicas aí descritos podem ser usados quando do desenvolvimento do caso de negócio. As organizações que estão implementando a estrutura M_o_R devem esperar para ver alguns ou todos os seguintes benefícios: O processo de tomada de decisão corporativa é melhorado por meio da alta visibilidade da exposição ao risco, tanto para as atividades individuais quanto para os principais projetos através da organização inteira. Um estilo gerencial progressista e uma cultura de melhoramento contínuo que estimule a qualidade pelo encorajamento da abertura em relação ao risco.
  • 48 Os objetivos da organização e seus interessados são provavelmente mais constatáveis por meio da identificação precoce e gerenciamento proativo das ameaças ao custo, tempo e desempenho. As necessidades de governança corporativa são atendidas pela fixação dos processos M_o_R que provém diretivas e uma mensagem clara. Há clara propriedade e prestação de contas para riscos e seu gerenciamento, de modo que eles sejam monitorados efetivamente e gerenciados proativamente. Benefícios financeiros para a organização por meio de melhores ‘valores monetários’ e melhor gerenciamento de projetos e programa financeiro. O gerenciamento de risco do projeto é explicitado dentro de um contexto mais abrangente de programas, de modo que minimize o risco individualizado de falha de projeto por meio de maior visibilidade do impacto potencial de outros projetos. Consistencia da abordagem por meio de direção e monitoramento em alto nível. Criação de um ambiente para aceitação consciente dos riscos do negócio em uma base bem informada. Planos de contingência melhorados e planos de continuidade dos negócios da organização. Melhor atenção em todo o pessoal, relativamente às implicações de custo e benefício para suas ações.
  • 49 2.2 CONTEXTO HISTÓRICO E EVOLUÇÃO PROGRESSIVA DA GOVERNANÇA Cícero Lopes (2002) descreve bem a necessidade de uma governança corporativa que assegure razoável credibilidade às instituições: A governança corporativa tornou-se um tema dominante nos negócios devido à safra de escândalos corporativos em meados de 2002 – Enron, Worldcom e Tyco, para citar apenas algumas. O interesse na governança corporativa não é novo, mas a gravidade dos impactos financeiros das fraudes executadas pelas empresas já citadas abalou a confiança dos investidores. A crise de confiança do setor corporativo contribuiu para a pressão descendente nos preços das ações, estimulando assim as empresas a tomarem uma atitude para contornar esta situação. (LOPES, 2002). Segundo LINDOW (2002), tal mudança de atitude dos gestores frente aos fatos resultou na mudança de abordagem da Auditoria, de mera relatora de desconformidades a posteriori para promotora da eficácia da gestão. Isto se dá por meio de mecanismos de monitoramento que assegurem um relativo grau de certeza quanto ao estado dos controles internos, conforme detalha o quadro abaixo, transcrito do Artigo Beyond Traditional Audit Techniques. Papel e Envolvimento da Auditoria Interna Tradicional Progressiva (melhores práticas) Foco na Auditoria Foco no Negócio Baseada em Transações Baseada em Processos Focada em Contas Financeiras Focada no Cliente Objetiva Conformidade Objetiva identificação de risco e melhoria de processos Foco em Políticas e procedimentos Foco em Gerenciamento de Riscos Cobertura plurianual de auditoria Cobertura de monitoramento contínuo do risco Aderente às Políticas Facilitadora de mudanças
  • 50 Papel e Envolvimento da Auditoria Interna Tradicional Progressiva (melhores práticas) Orçamento por centro de custos Prestação de Contas por resultados e melhoria de desempenho Auditores de carreira Oportunidades para outras posições gerenciais Metodologia: Foco sobre Políticas, Metodologia: Foco sobre metas, transações e conformidade estratégias e processos de gerenciamento de riscos TABELA 2: AUDITORIA: ABORDAGEM TRADICIONAL VERSUS PROGRESSIVA Conquanto já se tenha no Brasil a perspectiva das mudanças necessárias para a migração da concepção tradicional do papel da Auditoria Interna para a tendência progressista, conforme demonstrado na tabela acima, na prática ainda se esbarra em dificuldades estruturais, culturais e tecnológicas de toda ordem, tornando penoso, senão utópico, o requerido processo de mudança. Sem prioridades claramente definidas e o patrocínio de fato da administração superior, é praticamente impossível, no curto prazo, auferir os benefícios decorrentes da almejada transição. Em suas análises, Rasmussen16 constatou que as corporações gastam muito dinheiro com a implantação de processos de Governança, Risco e Compliance (GRC) sem uma visão holística da empresa. As equipes não se comunicam. Por isso, criam projetos diferentes e desperdiçam recursos. Como resultado disso, faz-se os mesmos questionamentos para projetos de SOX, Basiléia II, planos de continuidade de negócios, avaliações de riscos de TI e outros. 16 RISK MANAGEMENT REVIEW pág. 11 Apud Modulo News Nº. 489.
  • 51 A proposta do modelo de GRC é criar uma única plataforma com sistemas automatizados para que todos possam trocar informações, sem que precisem levantar as mesmas questões semanalmente. A integração fará com que todos adotem políticas comuns, além de eliminar dúzias de sites para documentar procedimentos diferentes. Rasmussen reforça que GRC forma uma rede de comunicação entre os vários setores da companhia, avaliando os riscos a que a organização está sujeita. Assim, por meio dessa infra-estrutura única todos trabalham afinados e em sintonia. Há cooperação entre as áreas como auditoria, finanças, departamento jurídico, TI e negócios. Ganhos do Modelo Num primeiro momento, são as corporações pressionadas pelas regulamentações que estão adotando GRC com o objetivo de simplificar os processos de Governança, Riscos e Conformidade (Compliance). Entre as que estão nesse movimento, Rasmussen menciona bancos e as que atuam no segmento de ciência da vida, que engloba laboratórios farmacêuticos, indústrias químicas, fabricantes de cosméticos e de produtos alimentícios entre outras. Porém, ele frisa que essa não é uma filosofia que lida apenas com questões de adequação. “Muitas organizações estão adotando GRC porque perceberam que é um modelo que traz benefícios para o negócio”, afirma o consultor, salientando o fato das corporações terem muito a ganhar com GRC, pois a visão integrada sinaliza que procedimentos precisam ser mudados para aumentar a competitividade delas. Outra vantagem é que a padronização de processos e de plataformas automatizadas reduz custos com auditorias e correção de falhas, além de acelerar adequações às regulamentações. O guru de GRC ressalta que essa prática exige mudanças da gestão de processos e investimento em tecnologia. Por isso, ele sugere que os projetos sejam bem definidos e que adotem software para automação de funções que sejam flexíveis.
  • 52 “É importante entender o que é melhor para sua organização, estabelecer bem os papéis das áreas envolvidas e ter certeza de que a tecnologia atende às questões de GRC”, afirma o consultor. O segredo para o sucesso dessa nova prática, segundo ele, é a colaboração dos envolvidos com a iniciativa. Papel do Responsável pela Segurança de Informações (CSO17) A nova cultura vai exigir alteração na forma dos CSOs trabalharem, já que o lema é a integração. “A segurança não pode operar sozinha e terá um assento na mesa de colaboração de GRC”, afirma o consultor Rasmussen. Para Alberto Bastos18, a mudança que o novo movimento traz é positiva para os profissionais de Segurança da Informação. Sua recomendação é que eles procurem compreender a empresa não como partes isoladas e incomunicáveis, mas como um único conjunto que apresenta interatividade entre os setores. Esse entendimento pode ser mais complexo para alguns por causa da formação acadêmica do CSO, geralmente focada na parte técnica, mas não impossível. 2.2.1 EVOLUÇÃO DA FUNÇÃO DE TI DENTRO DAS ORGANIZAÇÕES Em treinamento para obtenção da certificação COBIT Foundations19, foi informado que as áreas de Tecnologia da Informação (TI) atuam desde o seu surgimento como provedores de tecnologia, ajudando o negócio a realizar suas atividades de forma mais eficiente. Estas áreas se tornaram suportes estratégicos para o negócio, realizando funções que, sem o seu concurso, seriam impossíveis e constituíram-se em elemento essencial para as organizações. 17 Chief Security Officer 18 Sócio-fundador da Módulo Security 19 Treinamento preparatório para certificação CobIT Foundations – ISACA/QualiLog/ECT, agosto/2007.
  • 53 A atuação das áreas de TI nas organizações evoluiu da condição de provedoras de tecnologia para a de verdadeiros parceiros estratégicos envolvendo toda a sofisticação requerida neste novo perfil, objetivando a geração de valor para o negócio e implementando modelos de governança. As áreas de suporte tecnológico começaram a se transformar em parcerias estratégicas, alavancando novas oportunidades de negócios, a partir da integração dos processos de TI com os processos do ciclo de vida do negócio, melhorando a qualidade dos serviços e conferindo maior agilidade aos negócios. A continuidade dos negócios tradicionais ocorria em um ambiente ainda com pouco apoio da TI. Nesta fase de transição, várias metodologias têm sido desenvolvidas e hoje a Tecnologia da Informação é um fator crítico de sucesso para a organização. Com o maior peso da TI dentro da organização, estas áreas passaram a ter os seguintes desafios: 1. Manutenção da disponibilidade dos serviços de TI; 2. Geração de valor nos projetos de TI; 3. Otimização de custos; 4. Mitigação dos riscos; 5. A administração dos ambientes de TI de maior complexidade; 6. Aumento da pressão para a agregação de tecnologia nas estratégias de negócio; 7. Requerimento de conformidade com normas regulatórias; 8. Manutenção da segurança sobre as informações. A disponibilidade dos serviços é extremamente crítica, pois contribui para a produtividade dos usuários, afetando diretamente a continuidade dos negócios. Sua descontinuidade pode acarretar os seguintes problemas: 1. Processos críticos do negócio são interrompidos. Ex.: processamento de pedidos; 2. Comprometimento da execução de atividades de rotina. Ex.: envio de e-mails ou acesso a documentos;
  • 54 3. Quebra da comunicação com os clientes e conseqüente perda de negócios, redução de lucros e prejuízos à imagem institucional. Ex.: falta de acesso aos call centers. Ainda conforme o ISACA, a maioria dos projetos de TI ultrapassa o orçamento inicial ou o prazo de entrega por dificuldades gerenciais decorrentes de: a) Requisitos mal definidos; b) Complexidade dos sistemas a serem desenvolvidos; c) Falta de pessoas capacitadas; d) Avaliação subestimada do esforço necessário; e) Falta de gerenciamento sistematizado do projeto. A título de contextualização e como evidência da relevância do tema em face do volume de investimentos em TI, reproduz-se abaixo o artigo: “Empresas investem 5,7% do faturamento em TI”, publicado na newsletter Módulo News. Empresas investem 5,7% do faturamento em TI O investimento médio das empresas brasileiras em TI foi de 5,7% do faturamento líquido em 2007. 08 Mai 2008| FONTE - Info Corporate O número é resultado da 19ª Pesquisa Administração de Recursos de Informática, realizada pela FGV (Fundação Getúlio Vargas) com 1700 grandes e médias empresas brasileiras. O estudo mostra que o gasto das companhias do Brasil com tecnologia tem aumentado. Em 1988, o primeiro ano da pesquisa, o percentual de investimento era de 1,3%. Em 2002 chegou a 4,7% e hoje está na casa de 5,7%. A maior parte desse investimento é direcionada para serviços. quot;As empresas têm terceirizado a maior parte da gestão de TI, inclusive hardware e software, por isso o maior gasto fica com os serviçosquot;, diz Fernando Meirelles, professor responsável pelo levantamento. Os bancos são os maiores investidores, gastando 12,3% do faturamento em TI. O setor de Serviços aparece com um gasto de 8,2% das receitas em TI. A Indústria investe um percentual de 3,8% e o comércio tem um investimento médio de 2,6% em tecnologia. Considerando a venda de 10,5 milhões de PCs no ano passado, o estudo conclui que a base instalada de computadores nas empresas do país é de 45 milhões de máquinas, o que equivale a 1,1 micro por
  • 55 usuário. O número era de 18 milhões em 2002 e de 1 milhão em 1988. A maior parte das máquinas, 81%, são Pentium 4. Mas computadores com configurações mais obsoletas não saíram de uso. Ainda estão na ativa 12% de Pentium III, 4% de Pentium II, 1% de Pentium e x86 e 2% de outros processadores. No mundo de sistemas operacionais para servidores a Microsoft lidera com 65% do market share. A seguir vem o Unix e seus derivados, com 31%. A Novell tem 2% e outros programas 2% do mercado. O Netware da Novell foi o que mais perdeu espaço nos últimos 20 anos: diminuiu de 30% para 2% sua presença. Já entre os micros dos usuários, o Windows tem uma maior hegemonia, com 97% de presença, contra 3% de outros sistemas operacionais. Entre os bancos de dados a Microsoft não tem a liderança. A Oracle é a número 1, com 35% do mercado. O SQL Server tem 28%. A seguir vêm Access (7%), Progress (7%), xbase (5%), DB2 (5%) e outros (13%). É nos pacotes de ERP que a presença nas empresas está mais disputada. Os quatro primeiros colocados têm 81% do mercado, com participações muito parecidas. O Grupo Totvs tem 24% de penetração nas companhias brasileiras. A SAP fechou 2007 com 23%, a Oracle soma 17% e a Datasul, 16%. Outros pacotes têm uma fatia de 20%.
  • 56 2.3 OS PADRÕES NACIONAIS E INTERNACIONAIS DE CONFORMIDADE EM TI A tabela abaixo contempla as principais referências em normas, padrões e melhores práticas testadas e validadas internacionalmente. Referência Objectivo Audiência Alvo Entidade Emitente Objectivos de Controlo de Gestores de Topo, CobiT IT Governance Institute Governação de TIC (uso Gestores de TIC, diário) Utilizadores e Auditores Abordagem para Pessoas Responsáveis British Office of Government ITIL Fornecedores de Serviços por Serviços de Gestão Commerce (OCG) UK. de Gestão de TIC de TIC International Organizational for Standardization and Orientações para Pessoas Responsáveis ISO/IEC International Electrotechnical Implantação da Segurança pela Segurança da 17799:2000 Comission Joint Technical da Informação Informação Committee (ISO/IEC JTC 1), Switzerland International Organizational for Standardization and Gestores Seniores e Orientações sobre ISO/IEC TR Pessoas Responsáveis International Electrotechnical aspectos da Gestão da 13335 pela Medição da Comission Joint Technical Segurança de TIC Segurança de TIC Committee (ISO/IEC JTC 1), Switzerland International Organizational for Standardization and Definição de Critérios para Consumidores, ISO/IEC International Electrotechnical Avaliação da Segurança Programadores e 15408 Comission Joint Technical da Informação Avaliadores Committee (ISO/IEC JTC 1), Switzerland Sistemas de Gestão da Qualidade para Clientes, Fornecedores e TickIT Office, British Standards TickIT Desenvolvimento de Auditores Institute (BSI), UK Software e Critérios de Certificação Terceiras Partes Computer Security Resource quot;Baselinequot; para o Responsáveis pela Centre (CSRC), National Estabelecimento e NIST 800-14 Segurança de TIC para Institute of Standards and Revisão de Planos de Organizações Technology (NIST), US Segurança de TIC Governamentais Department of Commerce, USA CIO, CEO, CFO, CxOs, Committee of Sponsoring Gestão e Controlo do COSO Utilizadores e Auditores Organizations of the Tradeway Risco das Organizações Internos Comission (COSO), USA TABELA 3: REFERÊNCIAS INTERNACIONAIS E PRINCIPAIS CARACTERÍSTICAS ASSOCIADAS20 A seguir serão detalhadas algumas dessas referências. 20 Disponível em: http://www.sinfic.pt/SinficNewsletter/sinfic/Newsletter15/Dossier3.COBIT.html Acesso em 15/05/2008.
  • 57 2.3.1 OS PADRÕES PARA DESENVOLVIMENTO DE SOFTWARE FIGURA 6: RELACIONAMENTOS ENTRE ISO/IEC 12207, ISO/IEC 15504, CMMI E MPS.BR21 O Manual de Auditoria do TCU (1998) traz, a partir da página 29, um ROTEIRO PARA AVALIAÇÃO DOS CONTROLES DE SISTEMA, aparentemente aderente aos padrões ilustrados na figura acima, pois está subdividido em controles: gerais, organizacionais, de projeto, desenvolvimento e modificação de sistemas, de segurança, aplicativos, da entrada de dados, de processamento de dados, da saída de dados, e nas avaliações abaixo: extensiva dos controles de sistema, 21 Alves (2007)
  • 58 moderada dos controles de sistema e reduzida dos controles de sistema. Segundo Machado [MACHADO01], a globalização da economia vem influenciando as empresas produtoras e prestadoras de serviços de software a alcançar o patamar de qualidade e produtividade internacional para enfrentarem a competitividade cada vez maior. A norma internacional NBR ISO/IEC 12207 – Tecnologia da Informação – Processos de Ciclo de Vida de Software [ISO12207: 97] é usada como referência em muitos países, inclusive no Brasil, para alcançar esse diferencial competitivo. (NOGUEIRA, 2003). A Empresa Brasileira de Correios e Telégrafos (ECT), por meio do Programa de Software Padrão da Organização (PSPO), também incorporou os requisitos propostos nestes padrões e normas e os vem implantando nos novos desenvolvimentos internos, bem como nos testes de homologação das novas aquisições de software. 2.3.2 LEI SARBANNES-OXLEY A Lei Sarbanes-Oxley, elaborada pelos senadores norte-americanos que lhe deram o nome, se propõe a permitir ao investidor a possibilidade de confiar nas companhias em que investe. Isso exige que as empresas pratiquem (e demonstrem) boas práticas corporativas, que envolvem três componentes principais: a) Procedimentos efetivos de Governança Corporativa; b) Penalidades por mau comportamento por parte da companhia e por parte do mercado, imposição de leis civis e criminais; c) Cultura de ética profissional. Principais Seções a) Seção 404 – Avaliação dos Controles Internos; b) Seção 302 – Comunicação de Irregularidades e Atos Ilegais; c) Seção 208 – Restrição a Serviços Prestados pela Auditoria. Também no Brasil, o problema da fraude afetou, entre outros inclusive, o patrimônio dos fundos de pensão que, atraídos pela oferta de elevada rentabilidade das
  • 59 aplicações, investiram com risco excessivo e viram suas expectativas de ganhos virarem fumaça, no caso do Banco Santos, que pagava juros acima da média do mercado (marcação ao mercado) para assegurar um bom retorno para as aplicações. 2.3.3 O PADRÃO FINANCEIRO - BASILÉIA Especificamente no contexto bancário (BCB, 1997), há o padrão consensado pelos representantes das principais instituições financeiras mundiais, na cidade de Basiléia, na Suíça, cujo escopo consiste basicamente em 25 Princípios básicos indispensáveis para um sistema de supervisão realmente eficaz. Os Princípios referem-se a: Precondições para uma supervisão bancária eficaz - Princípio 1; Autorizações e estrutura - Princípios 2 a 5; Regulamentos e requisitos prudenciais - Princípios 6 a 15; Métodos de supervisão bancária contínua - Princípios 16 a 20; Requisitos de informação - Princípio 21; Poderes formais dos supervisores - Princípio 22, e Atividades bancárias internacionais - Princípios 23 a 25. O Comitê de Supervisão Bancária da Basiléia (Basle Committee on Banking Supervision) congrega autoridades de supervisão bancária e foi estabelecido pelos Presidentes dos bancos centrais dos países do Grupo dos Dez (G-10), em 1975. É constituído por representantes de autoridades de supervisão bancária e bancos centrais da Bélgica, Canadá, França, Alemanha, Itália, Japão, Luxemburgo, Holanda, Suécia, Suíça, Reino Unido e Estados Unidos. Normalmente se reúne no Banco de Compensações Internacionais, na Basiléia, Suíça, onde se localiza sua Secretaria permanente.
  • 60 Adicionalmente, o documento contém explanações sobre os vários métodos que os supervisores podem adotar para implantação dos Princípios. As agências nacionais devem aplicar os Princípios na supervisão de todas as organizações bancárias dentro de suas jurisdições. Os Princípios são requisitos mínimos e, em muitos casos, poderão requerer suplementação mediante outras medidas definidas para atender a condições e riscos particulares nos sistemas financeiros de cada país, individualmente. Os Princípios Essenciais da Basiléia se apresentam como referência básica para órgãos supervisores e outras autoridades públicas em todos os países e internacionalmente. As autoridades supervisoras, muitas das quais buscam ativamente fortalecer seus atuais sistemas de supervisão, devem usar o documento anexo para revisar seus atuais procedimentos e para iniciar um programa voltado para reduzir quaisquer deficiências, com a agilidade que a competência formal de cada um permitir. Os Princípios foram concebidos para serem amplamente seguidos por supervisores locais, por grupos regionais de supervisão e pelo mercado. O papel do Comitê da Basiléia, juntamente com outras organizações interessadas, será o de monitorar o progresso dos países na implantação dos Princípios. Sugere-se que o FMI, o Banco Mundial e outras organizações interessadas usem os Princípios na assistência individual aos países, para o fortalecimento de seus procedimentos de supervisão, combinando com ações que visem promover, sobretudo, a estabilidade macroeconômica e financeira. A implantação dos Princípios será revista e avaliada na Conferência Internacional de Supervisores Bancários, em Outubro de 1998, e, a partir daí, a cada dois anos.
  • 61 2.3.4 O PADRÃO DE AVALIAÇÃO DOS CONTROLES INTERNOS Em 1992, o Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO®)22 emitiu o documento Controle Interno: uma metodologia integrada (Internal Control - Integrated Framework), cujos objetivos eram estabelecer uma definição comum de controle interno e prover um padrão para ajudar os profissionais de auditoria a acessar sistemas de controle e determinar como melhorá-los. O COSO definiu controle interno como sendo: Um processo, efetuado pelo corpo diretivo de uma entidade, seus gestores e demais colaboradores, designados para prover razoável segurança relativamente ao atingimento dos objetivos nas seguintes categorias: Efetividade e Eficiência das operações, Confiabilidade dos relatórios financeiros e Conformidade com leis e regulamentos aplicáveis. (LINDOW, 2002). O COSO afirma que o controle interno consiste de cinco componentes inter- relacionados que derivam da maneira como os gestores tocam o negócio e estão integrados no processo gerencial: 1. Ambiente de Controle O tom da organização influencia a consciência de controle de seu pessoal. Exemplos incluem a integridade, os valores éticos e a competência dos empregados; a filosofia gerencial e estímulos do corpo diretivo. 2. Gerenciamento de Risco Identificação e análise de riscos relevantes para o atingimento dos objetivos corporativos, determinação de como tais riscos devem ser gerenciados e implantação de um processo de endereçamento de riscos associado à mudança. 3. Atividades de Controle Políticas, procedimentos e processos que ajudem a assegurar que uma companhia concretize diretrizes gerenciais. Exemplos incluem aprovações, verificações, 22 Copyright © 2006 by ISACA
  • 62 reconciliações, revisões do desempenho operacional, segurança dos ativos e segregação de funções. 4. Informação e Comunicação A comunicação se dá dentro da companhia e com partes externas relacionadas, tais como: clientes, órgãos reguladores e acionistas. Por exemplo: relatórios que contenham dados operacionais, de conformidade ou financeiros, ou que compartilhem idéias ou eventos por meio de linhas de negócios são gerados a partir de sistemas de informação. FIGURA 7: RELACIONAMENTOS ENTRE INFORMAÇÃO E ATORES INTERESSADOS23 5. Monitoramento Acessando a qualidade dos sistemas de controle interno da companhia por meio de monitoramento contínuo das atividades dentro das unidades de negócio e de uma avaliação independente pelos auditores dos controles existentes. Este aspecto do acesso continuado ao estado dos controles é especialmente relevante ao tema desta monografia. 23 Ferreira, L. E. A et. al. Entendendo o COSO. GRA Campinas - SP
  • 63 É neste contexto que se inserem as possibilidades reais de automatização do processo de auto-auditoria, a partir das ferramentas (algumas já citadas) de: • Business Intelligence (BI), • Balance ScoreCard (BSC) ; e • Extração, Transformação e Carga (ETL) de dados. Tal acesso deverá ser provido, preferencialmente, a partir do repositório Data Warehouse (DW) disponível no escopo da arquitetura dos sistemas integrados de informações gerenciais (ERP). Business Intelligence é uma solução em que todos os dados importantes armazenados na empresa são filtrados e distribuídos de uma forma mais adequada e de fácil acesso, para diversos componentes da organização. Em outras palavras, através do Business Intelligence, os dados transacionais da empresa, geralmente espalhados por vários sistemas, são transformados em informação útil para tomada de decisões. A solução em BI trabalha em conjunto com todas as ferramentas de Gestão de Negócio, como ERP, CRM, SUPPLY CHAIN, E- COMMERCE, E-BUSINESS e outras, além de envolver conceitos de tratamento de base de dados como data WAREHOUSE, DATA MART, e também conceitos voltados à gestão empresarial, como BALANCED SCORECARD e custo baseado em atividades24. O DW é um repositório dos dados da organização e tem um enorme potencial, quando colocado à disposição dos gestores, em geral, e dos auditores, em particular. Devidamente explorado, com o auxílio de tecnologias e métodos adequados, este instrumento propiciará o tratamento seletivo e qualitativo das informações críticas da organização. Paralelamente, metodologias consagradas de gerenciamento de projetos, tais como PMBoK©25, estabelecem a necessidade de definição de pontos de controle (milestones) que devem ser continuamente monitorados, com vistas a assegurar o cumprimento de prazos e a correta precedência entre as atividades, por meio da definição de prioridades via caminho crítico (PERT/CPM), além de várias 24 http://www.prosperi.com.br/paginas/bus.htm Acesso em 07/02/2008 às 10h40min. 25 Marca registrada do Project Management Institute (PMI)
  • 64 informações adicionais indispensáveis à tempestiva intervenção gerencial rumo à eficácia empresarial. 2.3.5 O PADRÃO PARA GOVERNANÇA DE TI FIGURA 8: O CUBO COBIT®26 O padrão Control Objectives for Information Technology (CobIT) define 34 áreas de PROCESSOS de TI, agrupados em quatro DOMÍNIOS: PO - Planejamento e Organização; • o A estratégia dos negócios e a TI estão alinhadas? o A empresa alcança o uso ótimo dos seus recursos? o Todos na organização compreendem os objetivos de TI? o Os riscos são compreendidos e gerenciados? o A qualidade dos sistemas é apropriada às necessidades dos negócios? AI - Aquisição e Implantação; • o Os novos projetos são adequados para entregar soluções que atendam às necessidades dos negócios? 26 Copyright © by ISACA.
  • 65 o Os novos projetos são adequados em termos de prazos e orçamento? o Os novos sistemas funcionarão adequadamente quando forem implantados? o As mudanças serão feitas sem atrapalhar a operação dos negócios atuais? DS - Entrega e Suporte • o Os serviços de TI são entregues alinhados aos requisitos e prioridades dos negócios? o Os custos de TI são otimizados? o A força de trabalho está apta a utilizar os sistemas de TI de forma produtiva e segura? o Os requisitos de qualidade estão adequados: confidencialidade, integridade e disponibilidade? M – Monitoramento • o O desempenho da TI pode ser mensurado e os problemas podem ser detectados antes que seja demasiado tarde? o A vigilância independente é necessária para assegurar que áreas críticas estejam operando como se espera? O framework CobIT 4.0 busca orientar a implantação de um sistema padrão de 214 OBJETIVOS DE CONTROLE, adequados para o ambiente de TI, ou seja, o ferramental para a implantação, a execução e o acompanhamento da GOVERNANÇA DE TI nas organizações. Adota os seguintes PRINCÍPIOS: Direção e Controle • Responsabilidades (Matriz RACI27) • Prestação de Contas • Atividades • Qual é a diferença entre o COBIT e o COSO? Ambos os frameworks são instrumentos complementares na consecução da governança corporativa, cuja diferença básica consiste principalmente na finalidade: COBIT: tem por finalidade o controle das atividades pelo gestor de TI. • 27 R=Report to A=Accountable to C=Check I=Inform to.
  • 66 COSO: tem por finalidade sistematizar os processos de Auditoria, inclusive • remetendo ao COBIT os processos de Auditoria de TI. FIGURA 9: PROCESSO GERAL DE AUDITORIA Na figura acima, em termos gerais, tem-se um diagrama esquemático do processo de auditoria, partindo-se da definição dos requisitos de auditoria, da estrutura dos controles e da observação de como estes controles são implantados, para uma diretriz genérica de auditoria. Tal diretriz genérica contempla etapas tais como a identificação, avaliação e testes dos processos, de seus controles internos e a definição de responsabilidades. São reportadas as respectivas oportunidades de auditoria utilizando, em combinação, diretrizes detalhadas e testes substantivos tanto mais quanto os controles forem considerados insuficientes, precários ou mesmo inexistentes. Conforme FERNANDES (2004), o framework COBIT tem, ainda, como ESCOPO sistematizar o instrumental que viabilize respostas às seguintes questões: a) Quão longe se deve ir ao controle da TI?
  • 67 b) O custo do controle justifica os benefícios? c) Quais os fatores críticos de sucesso da organização? d) Quais os riscos de não alcance dos objetivos? e) Quais as melhores práticas? f) Como nos comparamos com outras organizações? g) Qual estratégia de melhoria adotar? Para tanto, busca-se priorizar: a) alinhamento estratégico; b) entrega de valor; c) gerenciamento de riscos; d) gerenciamento de recursos; e) monitoração de desempenho (performance); f) estrutura (framework) de controle – características; g) foco no negócio; h) orientado aos processos; i) padrão aceito (realidades práticas); j) linguagem (terminologia) comum; k) requisitos regulatórios; l) benefícios da governança; m) confiança da alta administração; n) TI + comprometimento com o negócio; o) retorno sobre os investimentos (ROI) maior; p) serviços confiáveis; q) mais transparência. Os Critérios de Informação ou Requisitos de Negócio são: a) Processos: conjunto de atividades correlatas aos insumos ofertados com vistas à consecução dos resultados demandados; b) Recursos: insumos necessários como pessoal, matéria prima, dinheiro, etc.; c) Aplicações: sistemas específicos para automatização de uma determinada função ou atividade; d) Informação: significado relevante obtido a partir de um ou mais dados relacionados;
  • 68 e) Infra-estrutura: conjunto de elementos físicos (hardware) necessário a determinadas operações; f) Pessoas: indivíduos com perfis habilitados ao desempenho profissional adequado às atribuições pertinentes. Os Critérios de Informação são: a) Requisitos de qualidade; b) Qualidade; c) Custo; d) Entrega. Os Requisitos Fiduciários são: a) Eficácia e eficiência: Eficácia tem a ver com os fins e é o atingimento assertivo do resultado almejado no prazo. Eficiência tem a ver com os meios e é a utilização ótima dos recursos, ou seja, fazer mais com menos; b) Confiabilidade: grau de segurança de que o dado ofertado corresponde ao dado demandado; c) Conformidade: grau de adesão às Leis, normas, orientações, etc. Os Requisitos de Segurança são: a) Confidencialidade: controle do acesso, conferindo-o apenas àqueles usuários formalmente autorizados; b) Integridade: grau de completude e de unicidade da informação; c) Disponibilidade: grau de estabilidade do acesso à informação. Os Requisitos de Negócio são: a) Eficiência; b) Eficácia; c) Confidencialidade; d) Conformidade; e) Confiabilidade; f) Integridade; g) Disponibilidade.
  • 69 Conforme GHERMAN, O Modelo de Governança é constituído por componentes associados, que tornam TI um habilitador do negócio. Componentes do modelo: Fatores Críticos de Sucesso (CSFs - Critical Success Factors) - O que há de mais importante a ser feito para permitir que uma tarefa ou processo sejam concluídos; Indicadores de Meta (KGIs - Key Goal Indicators) - São os parâmetros utilizados para reconhecer se o Processo alcançou as metas definidas (associadas aos objetivos); Indicadores de Desempenho (KPIs - Key Performance Indicators) - Definem quão bem é o desempenho do Processo, em direção ao que foi definido como objetivo. A figura abaixo correlaciona esses elementos. FIGURA 10: TI COMO HABILITADOR DO NEGÓCIO
  • 70 2.3.6 OS PADRÔES DE SEGURANÇA DA INFORMAÇÃO Ao longo da história, desde a mais remota antigüidade, o ser humano vem buscando controlar as informações que julga importantes. Conforme relaciona SCHNEIER (2001), na antiga China a própria linguagem escrita era usada como uma forma de criptografia na medida em que somente as classes superiores podiam aprender a ler e a escrever. Outros povos, como os egípcios e os romanos deixaram registrado na história sua preocupação com o trato de certas informações, especialmente as de valor estratégico e comercial. Com a Segunda Guerra Mundial, a questão da segurança ganhou uma nova dimensão, na medida em que sistemas automáticos, eletromecânicos foram criados tanto para criptografar como para efetuar a cripto-análise e quebrar a codificação. Já SOLMS, (1998) apud CASANAS (2001), explicita o esforço do qual resultaram a ISO17799 e a Norma ABNT, que remontam a 1987 quando o departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações, o CCSC (Commercial Computer Security Centre). O CCSC tinha entre suas atribuições a tarefa de criar uma norma de segurança das informações para companhias britânicas que comercializavam produtos para segurança de TI (Tecnologia da Informação) através da criação de critérios para avaliação da segurança Outro objetivo do CCSC era a criação de um código de segurança para os usuários das informações. Com base nesse segundo objetivo, em 1989 foi publicada a primeira versão do código se segurança, denominado PD0003 - Código para Gerenciamento da Segurança da Informação. Em 1995, esse código foi revisado e publicado como uma norma britânica (BS), a BS7799:1995. Em 1996, essa norma foi proposta ao ISO para homologação mas foi rejeitada (...)
  • 71 HEFFERAN, 2000 apud CASANAS et al, 2001, afirma que uma segunda parte desse documento foi criada posteriormente e publicada em novembro de 1997 para consulta pública e avaliação. Em 1998, esse documento foi publicado como BS7799- 2:1998 e, após revisado, foi publicado junto com a primeira parte em abril de 1999 como BS7799:1999. Novamente CASANAS cita SOLMS relatando que, em 1998, a lei britânica, denominada “Ato de Proteção de Dados”, recomendou a aplicação da norma na Inglaterra, o que viria a ser efetivado em 1o de março de 2000. Ao longo de seu desenvolvimento, a norma foi sendo adotada não só pela Inglaterra como também por outros países da Comunidade Britânica, tal como Austrália, África do Sul e Nova Zelândia. A ABNT (Associação Brasileira de Normas Técnicas), operando em sintonia com a ISO e atenta às necessidades nacionais quanto à segurança da informação, disponibilizou o projeto na versão brasileira da norma ISO para consulta pública e posterior votação e publicação. A parte “1” desse documento foi levada à ISO e proposta para homologação pelo mecanismo de quot;Fast Trackquot; para um trâmite rápido, pois normalmente, uma norma leva até cinco anos para ser avaliada e homologada pela ISO. Em outubro de 2000, na reunião do comitê da ISO em Tóquio, a norma foi votada e aprovada pela maioria dos representantes. Os representantes dos países do primeiro mundo, excetuando a Inglaterra, foram contrários à homologação, mas, sob votação, venceu a maioria, e a norma foi homologada como ISO/IEC 17799:2000 em 01 de dezembro de 2000. Objetivos e Abrangência O objetivo fundamental da norma ISO e da norma brasileira, nela baseada, é assegurar a continuidade e minimizar o dano empresarial, prevenindo e minimizando o impacto de incidentes de segurança. (ISO/IEC 17799:2000). Percebe-se que, antes mesmo da publicação do documento oficial, as empresas brasileiras se anteciparam no sentido de preparar suas estruturas para implantação dos itens que compõem a norma.
  • 72 Tal procedimento justificava-se na medida em que as empresas mudavam seu comportamento quanto à questão da segurança da informação, premidas pelo risco crescente de roubos e ataques a seus sistemas. Por outro lado, compreenderam que as normas ISO e ABNT eram o resultado de um esforço internacional que consumiu anos de pesquisa e desenvolvimento para se obter um modelo de segurança eficiente e universal. Os Capítulos que compunham a Norma original eram os seguintes: 1 – Objetivo; 2 - Termos e definições; 3 - Política de segurança; 4 - Segurança organizacional; 5 - Classificação e controle dos ativos de informação; 6 - Segurança em pessoas; 7 - Segurança ambiental e física; 8 - Gerenciamento das operações e comunicações; 9 - Controle de acesso; 10 - Desenvolvimento de sistemas e manutenção; 11 - Gestão de continuidade do negócio; 12 – Conformidade. A ISO17799 cobria os mais diversos tópicos da área de segurança, possuindo mais de 100 controles que deveriam ser atendidos para assegurar a segurança das informações de uma empresa, de forma que a obtenção da certificação pode ser um processo demorado e muito trabalhoso, consistindo num desafio para as empresas. Em contrapartida, a certificação é uma forma bastante clara de mostrar à sociedade que a empresa dá à segurança de suas informações e de seus clientes a importância que merecem, de tal forma que se espera que em poucos anos todas as grandes empresas terão aderido à norma e obtido suas certificações como forma de não só assegurar sua sobrevivência, mas também como parte do marketing de suas imagens junto ao público e como mais um fator diferencial de competitividade no mercado. (...)
  • 73 Segurança da Informação conforme definido pela ISO/IEC 17799:2000, é a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades. A segurança da informação é caracterizada pela preservação dos seguintes atributos básicos: Confidencialidade: segurança de que a informação pode ser • acessada apenas por quem tem autorização. Integridade: certeza da precisão da informação. • Disponibilidade: garantia de que os usuários autorizados • tenham acesso a informação e aos recursos associados, quando necessário. A preservação desses atributos constitui no paradigma básico da Norma Internacional para Gerenciamento da Segurança da Informação, a ISO17799 e de toda a ciência da Segurança da Informação. (CASANAS et al, 2001). Na seqüência, a nova Norma28 ABNT NBR ISO/IEC 27002:2005 (antiga ABNT NBR ISO/IEC 17799:2005) apresenta um Código de Prática para a Gestão da Segurança da Informação e a Norma ABNT NBR ISO/IEC 27001:2006 Sistemas de Gestão de Segurança da Informação: Requisitos é bem abrangente, pretendendo contemplar todos os aspectos da segurança da informação. ISO 27002 (BS17799): Code of Practice for Information Security Management; ISO 27001: Information Security Management Systems – Requirements. Como sugerem os títulos originais29, a ISO 27002 é um quot;código de práticasquot; e a ISO 27001 é um conjunto de quot;requisitos para sistemas de gestão de segurança da informaçãoquot;. Na primeira, não há obrigatoriedade de serem seguidas as recomendações. Para a outra (ISO 27001), no entanto, todos os itens do item 4.2 são obrigatórios. Outra questão é a certificação, pois não é possível certificar ISO 17799, apenas ISO 27001. Há a certificação BS 7799 (part1) que é a versão inglesa (British Standard) e fonte da ISO 17799. No entanto, não há certificação BS 7799 (part2), mas há a certificação ISO 27001. 28 Disponível em: http://www.abnt.org.br/m3.asp?cod_pagina=1132 Acesso em 10/02/2008. 29 Disponível em: http://www.istf.com.br/vb/archive/index.php?t-10162.html Acesso em 12/05/2008.
  • 74 A ISO 27001 é uma norma para gerenciar segurança na corporação, ou seja, criar um sistema de segurança (SGSI) dentro da empresa, o que em nenhum momento garante segurança. Com um sistema desses implantado consegue-se visualizar o problema de segurança muito mais facilmente. Nesta norma estão contidos controles de segurança. Por exemplo, o controle: a.9.1.1 é perímetro de segurança física, o que quer dizer que as áreas de segurança que o Security Officer, o gestor, e/ou o diretor definirem como sendo de segurança devem ser protegidas por meio de barreiras lógicas ou físicas. Para restringir as possibilidades de interpretações díspares, a ISO 17799 contem todos os controles que tem na ISO 27001, enriquecidas com explicações e exemplos de implantação. Interessante acrescentar também que os controles não são correlacionados, ou seja, um controle que na ISO 27001 é o número 10, não tem correspondência direta na ISO 17799, até porque as duas normas tem revisão em times diferentes. Pode-se dizer que a ISO 17799 está contida na ISO 27001 que, porém, a sobrepuja por abranger outras normas ISO. Por exemplo: a ISO 15408 (segurança no desenvolvimento). O que não quer dizer que ao ser atendida a norma ISO 27001, em 100%, será atendida a ISO 15408 ou o ITIL, que também é contemplado nessa ISO, onde essas metodologias quot;emprestamquot; seus controles. Por exemplo, na ISO 27001, o controle a.10.3.2 (aceitação de sistemas), ou seja, homologação, não tem todas as informações que se encontram na ISO 15408. Isso indica uma nova tendência das normas ISO, que é a convergência em um ponto, resultado de várias interseções (com outras ISO). Portanto, audita-se Segurança com base na ISO 27001, o que não quer dizer que um serviço de auditoria não utilize a ISO 17799 como referência ou quot;tira-dúvidasquot; do controle.
  • 75 O selo 27001, contem um descritivo do escopo, ou seja, quando uma empresa fala que é certificada ISO 27001. Portanto leia-se o selo, pois a Empresa pode ser certificada apenas no CPD, ou na sala de XEROX. Quanto aos custos, a obtenção do selo 27001 varia de acordo com o órgão certificador. Não há nada tabelado e tudo é acordado. Por exemplo, a empresa certificadora (que emite o selo) pode não arcar com os custos de viajem ou hospedagem do Auditor, porém se acordado, tudo é negociável. 2.3.7 PADRÃO MATURIDADE ORGANIZACIONAL GERENCIAMENTO PROJETOS DE EM DE (OPM3) 30 OPM3® é um padrão distinto de outros modelos de maturidade contemporâneos. O sítio WEB combinado com o livro oferecem uma abordagem abrangente, ajudando as organizações a avaliar e desenvolver sua habilidade para entregar projetos com êxito, de forma coerente e previsível. OPM3 oferece a chave para a maturidade no gerenciamento de projetos organizacionais com três elementos inter-relacionados: a) conhecimento; b) avaliação; c) aprimoramento. O elemento CONHECIMENTO, encontrado no sítio WEB e no livro que acompanha os Fundamentos de Conhecimento do OPM3, permitirá às organizações a descoberta de centenas de melhores práticas e lhes mostrará como usar a informação disponível em OPM3. O elemento AVALIAÇÃO é uma ferramenta de base de dados interativa acessível no sítio WEB que permitirá às organizações avaliarem sua situação atual e identificar áreas que precisem ser melhoradas. 30 Tradução livre a partir da URL http://opm3online.pmi.org/Overview.aspx acessada às 17h: 40min em 17/10/2007.
  • 76 Se uma organização decidir embarcar no caminho para uma maturidade superior, o elemento APERFEIÇOAMENTO, também acessível no sítio WEB como uma base de dados, ajudará a mapear os passos necessários para o alcance de seus objetivos. Além da metodologia PRINCE referida anteriormente, o Guia para o Corpo de Conhecimento de Gerenciamento de Projetos (PMBOK® Guide) também oferece valiosos recursos, dos quais nenhuma organização deve prescindir. OPM3 ajudará as organizações a alinhar a conclusão de projetos bem sucedidos aos seus objetivos estratégicos e compreenderá seu nível de maturidade organizacional em gerenciamento de projetos. O mais importante para as organizações que desejam aperfeiçoar seu nível de maturidade organizacional em gerenciamento de projetos, é que OPM3 provê orientação para ajudar as organizações a planejar seus projetos, no sentido de aprimorar sua maturidade, enquanto preserva recursos. Benefícios do Padrão OPM3 1. Avançar objetivos estratégicos OPM3 provê um caminho para o avanço dos objetivos estratégicos de uma organização por meio da aplicação dos princípios e práticas de gerenciamento de projetos, ligando o abismo entre a estratégia e os projetos individuais. 2. Compreensão das Melhores Práticas OPM3 provê um corpo abrangente de conhecimento recomendando o que constitui as Melhores Práticas dentro do gerenciamento dos projetos organizacionais. 3. Identificar a maturidade: OPM3 assiste uma organização com a identificação de qual é a situação atual da maturidade organizacional em gerenciamento de projetos e, ainda, forma uma base de decisão quanto a perseguir ou não o aprimoramento por Estágio e Domínio.
  • 77 4. Planejar atividades de aprimoramento: OPM3 assiste às organizações com a priorização e planejamento das atividades que devem suportar o processo decisório. Possibilidades OPM3 1. Gerenciamento de Desempenho OPM3 facilitará o desenvolvimento de capacidades que ajudarão os usuários e suas organizações a navegar o processo de gerenciamento de desempenho ao longo do tempo. 2. Expansão da Linguagem O conceito de maturidade organizacional em gerenciamento de projetos expandirá o léxico da ciência de gerenciamento. 3. Oportunidades para o diálogo OPM3 criará novas oportunidades para diálogo entre os profissionais de gerenciamento. 2.3.8 O PADRÃO PARA GERENCIAMENTO DE RISCOS (ERM) Além do M_o_R referido anteriormente, o modelo Evaluation Risk Management (ERM) do ISACA/ITGI também documenta a abordagem de gerenciamento de riscos da organização. Há cinco principais componentes do Modelo: 1. Fundamentação dos Riscos (Risk Foundation): a) articular e abordar a política ERM da organização; b) determinar e atualizar as orientações de risco; c) estabelecer papéis e responsabilidades de alto nível; d) prover relatórios e diretrizes de comunicação dos riscos.
  • 78 2. Identificação dos Riscos (Risk Identification): a) identificar e monitorar riscos emergentes e existentes que tenham algum impacto na estratégia da organização; b) executar entrevistas, supervisão, etc. para identificar riscos; c) atualizar o modelo de riscos e suas definições; d) identificar e comunicar oportunidades disponíveis. 3. Controle de Riscos (Risk Assessment): a) priorizar riscos baseado em impacto e semelhança; b) identificar riscos de elevada prioridade confrontados pela organização; c) reportar os riscos de elevada prioridade ao CEO e ao Conselho. 4. Resposta aos Riscos (Risk Response): a) identificar o proprietário do risco; b) determinar a abordagem de resposta aos riscos; c) executar análise da resposta aos riscos; d) identificar as recomendações de resposta aos riscos; e) obter aprovação para os planos de ação de resposta aos riscos. 5. Avaliação e Monitoramento (Evaluation & Monitoring): a) monitorar o estado de implantação dos itens de ações de resposta aos riscos; b) atualizar as respostas aos riscos, quando necessário; c) avaliar periodicamente a efetividade do modelo ERM; d) atualizar o modelo ERM, quando necessário. 2.3.9 O PADRÃO PARA GESTÃO DO CONHECIMENTO (GED E WORKFLOW) A gestão do conhecimento é uma abordagem fundamental para a retenção do capital intelectual das organizações, especialmente aquelas dependentes da tecnologia da informação, cujos profissionais são sujeitos a um alto índice de
  • 79 rotatividade (turnover), o que torna tais instituições altamente vulneráveis à perda de conhecimento técnico específico e relevante à continuidade de seus processos. Segundo BALDAM (2007), os principais benefícios da adoção das ferramentas de Gestão Eletrônica de Documentos (GED) e Workflow são: Agrega valor de fato aos objetivos da organização. Possui maior aceitação, apoio e fluidez para expandir a solução. Possui aderência imediata para que todos os colaboradores ajudem na gestão e ainda sejam beneficiados com isso. Estar alinhado ao propósito das organizações. Estar informado de como proceder para garantir recursos. Poder auditar processos para saber se o Gerenciamento de Documentos atende à demanda ou se há falhas a serem corrigidas ou ainda melhorias a propor. Neste sentido, além dos citados até aqui como essenciais, convém considerar padrões internacionais de referência em termos de documentação. Portanto, não menos importantes são os padrões relativos à documentação das bibliotecas eletrônicas, cuja referência internacional segue abaixo: A combinação destes dois fatores torna o ambiente propício à elaboração e à publicação da Norma Internacional ISO 11620 - Indicadores de Desempenho para bibliotecas tradicionais (ISO, 1998, 2003a) e, posteriormente, da Norma Internacional ISO 20983 – Indicadores de Desempenho para bibliotecas eletrônicas (ISO, 2003b). Salienta-se aqui o fato de que, após o surgimento da Norma Internacional ISO 11620, ficou muito claro o fato de que a referida norma não atendia as exigências impostas por uma nova ordem de bibliotecas: as bibliotecas eletrônicas. Para amenizar este problema, a União Européia auspiciou o denominado Projeto EQUINOX (EQUINOX, 1999; BROPHY et al, 2000; BROPHY et al, 2001 Apud ROZADOS, 2005). Ainda conforme BALDAM, os fatos atestam que: Parece ser consenso, tanto dentro como fora do Brasil, que há escassez de recursos para arquivos permanentes.
  • 80 A maioria do pessoal que trabalha somente com arquivos não trabalha em nível de visão de negócio. Os investimentos para este serviço não tem retorno financeiro, salvo exceções. Os investidores preferem outro tipo de abordagem. A maioria dos documentos de que precisamos são recentes. Conseqüências desta abordagem no gerenciamento de arquivos intermediários e permanentes: Haverá folga de equipamentos, pois os equipamentos têm de ser projetados para períodos de pico. As tecnologias envolvidas “engolem”, com muita sobra de características técnicas, as soluções de arquivos intermediários e permanentes. A maior preocupação do passado que era custos com mídias digitais e a perenidade das mesmas não tem mais fundamentos hoje. Os trabalhos já possuirão aceitabilidade e mesmo documentos ainda não digitalizados dos arquivos permanentes podem ser feitos sob demanda. Ou seja, o usuário sempre terá seu documento de forma eletrônica.
  • 81 3. CONTEXTO ATUAL 3.1 TENDÊNCIAS TECNOLÓGICAS Segundo Artigo assinado por SOARES, E. (2007), os investimentos em segurança da informação apresentam-se crescentes, assegurando maior confiabilidade aos usuários da Internet: O aumento da confiança dos brasileiros nas transações pela internet contribui para o avanço das vendas on-line. Em 2006, mais de 6,5 milhões de pessoas compraram pela internet. Atualmente, são altos os investimentos realizados em segurança. A utilização de eficazes sistemas contra fraudes aumentou o índice de confiabilidade na rede de tal maneira que, até mesmo, o governo estimula a transferência de dados sigilosos pela internet. (SOARES, E., 2007). Por fim, o trabalho dos Correios também pode ser considerado um dos propulsores do comércio on-line nacional. Em entrevista à revista Época, de 16/6/2007, o presidente da Câmara Brasileira de Comércio Eletrônico, Sr. Manuel Mattos, afirmou: Os Correios deixaram de ser uma empresa que só entrega correspondências para virar uma das mais importantes empresas de logística do mundo. (ECT, 2007). Em tal contexto, ainda segundo nos relata SOARES, E. (2007), as tendências tecnológicas do cenário para o futuro próximo são identificadas a partir do aumento das ameaças cibernéticas e as necessidades de adequação às novas regulamentações que pedem adoção das melhores práticas de gestão em TI, obrigando as organizações a investir mais em sistemas de Segurança da Informação (SI). Entre as novidades estão os sistemas integrados dotados de maior inteligência para controlar a rede de ponta a ponta e barrar visitantes estranhos logo na porta de entrada, evitando que eles se espalhem pelos computadores da empresa. A nova safra traz ainda aplicações para colocar lacre nas portas USB e autenticar dispositivos sem fio (Wireless) que acessam a companhia remotamente.
  • 82 As seis tendências apontadas por uma pesquisa da IDC, que revelou que a América Latina gastaria US$ 42 bilhões em TI só em 2007, representando um aumento de 12,8% sobre o montante de 2006, ou seja, quase o dobro da média mundial de investimento projetada (6,7%), são: 3.1.1 VIRTUALIZAÇÃO A América Latina caminha para o modelo Dynamic IT para aprender a usar melhor sua infra-estrutura de hardware, software e serviços. Por isso a virtualização, que permite processar vários sistemas operacionais em uma mesma máquina, é uma das prioridades das companhias para 2007. 3.1.2 CONVERGÊNCIA A tecnologia Voz sobre Internet Protocol (VoIP) ganhará espaço nas empresas de médio porte. Outro serviço que terá destaque é o triple play, pacote que une banda larga e telefonia fixa e móvel; Arquitetura Orientada a Serviços (SOA) – Projetos saem da gaveta para suportar aplicações de missão crítica dentro das grandes empresas. 3.1.3 OFFSHORE DE TI A América Latina é considerada uma das opções das empresas internacionais para prover serviços de tecnologia por causa do custo de mão-de-obra competitivo. O Brasil é um dos candidatos a exportar serviços, principalmente para o segmento financeiro, que é uma de suas habilidades. 3.1.4 INFORMAÇÃO INTELIGENTE As empresas vão recorrer mais aos programas de Business Intelligence (BI) e Business Process Management (BPM) para integrar informações que ajudam na tomada de decisão.
  • 83 3.1.5 SERVIÇOS GERENCIADOS Estão em alta e estimou-se que iriam movimentar US$ 1 bilhão na América Latina em 2007. O segmento será disputado pelas operadoras de telefonia, os fornecedores de tecnologia e os provedores de rede. Mais especificamente relacionadas a TI, afloram as seguintes tendências preferenciais: Quando perguntados para quais aspectos da gestão global de riscos de negócios as redes IP terão o papel mais crítico, 45,9% dos executivos brasileiros escolheram a alternativa ‘Assegurar o fluxo contínuo de informações operacionais para gerentes seniores em importantes áreas de risco’. Para 32,4% deles a opção mais relevante é ‘Viabilizar a monitoração contínua das atividades globais de logística, precavendo-se contra interrupções na cadeia de suprimento’. Em terceiro lugar, com 27% das respostas, vem ‘Dar suporte a planos de continuidade de negócios no caso de emergências.’ (AT&T, 2007). Relativamente ao BI, o diretor de manufatura do SAS Institute, Ivan Pezzolli, diz que a demanda por projetos de pesquisa operacional começa a ressurgir com a consolidação do ciclo dos sistemas de gestão empresarial (ERPs). Isso porque as empresas possuem todas as informações necessárias para determinar as variáveis a serem estudadas. O Business Intelligence (BI) também já é realidade em muitas empresas, então nós já temos relatórios prontos e datawarehouses com informações ricas a serem utilizadas. (...) A pesquisa operacional, mais o conceito que chamamos de Business Analytics é a evolução do BI (Pezzolli Apud LOPES, F., 2007). Ainda, segundo PEZZOLLI, um grande problema é que, em muitas empresas, alguns processos ainda estão somente na cabeça do programador, o que pode impedir, inclusive, a continuidade do negócio. Com a implantação de uma solução de pesquisa operacional, essa questão acaba se resolvendo, porque se cria uma formalização dos processos de decisão para que tudo fique devidamente exposto dentro da modelagem dos dados que precisa ser utilizada nas previsões e simulações. Isso acaba deixando a gestão da empresa muito mais transparente (Pezzolli Apud LOPES, F., 2007).
  • 84 3.2 INTEGRAÇÃO DE FRAMEWORKS Os Modelos Integrados de Gestão tem por objetivo possibilitar as diversas visões da empresa nos níveis estratégico, tático e operacional, a saber: Organização, Dados, Processos e Funções. Consideradas as tendências e os padrões internacionais elencados anteriormente, o Estado da Arte em Governança Corporativa será alcançado quando for possível, de fato, a integração entre os diversos frameworks (COSO, COBIT, SOX, etc.) e sua correspondência com os normativos internos e com os requisitos da legislação local aplicável. O IT Governance Institute (ITGI) já está atuando nessa direção, conforme se depreende do cubo a seguir, cujo escopo busca justamente integrar os frameworks COSO, COBIT e SOX: INTEGRATING FRAMEWORKS (ITGI, 2007) FIGURA 11: INTEGRAÇÃO DOS FRAMEWORKS
  • 85 Conforme o ITGI (2007) a intenção é explicar, aos usuários de negócios e aos gerentes de alto nível, o valor das melhores práticas de TI e como sua harmonização, implantação e integração podem ser feitas de modo mais fácil. Os direcionadores de Negócio e o uso das melhores práticas As melhores práticas de TI tornaram-se significativas devido a um número de fatores: a) Os gestores de negócios e os Corpos Diretivos demandam melhores retornos dos investimentos em TI, i.e., que a TI entregue o que os negócios precisam para agregar valor para os acionistas; b) Concernentes ao nível geralmente crescente das despesas com TI; c) A necessidade de atender aos requisitos regulatórios para os controles de TI em áreas como privacidade e relatórios financeiros (por exemplo: a Lei Sarbannes- Oxley) e em setores específicos como finanças, farmacêuticos e de cuidados com a saúde; d) A seleção de provedores de serviço e do gerenciamento dos serviços terceirizados e de aquisição; e) Riscos crescentes e complexos relacionados a TI, como a segurança de redes; f) Iniciativas de governança de TI que incluem a adoção dos frameworks de controle e as melhores práticas para monitorar as atividades críticas de TI, com vistas a aumentar o valor e reduzir riscos para os negócios; g) A necessidade de otimizar custos pela adoção, onde seja possível, de padrões, mais do que de abordagens especialmente desenvolvidas; h) A maturidade crescente e a conseqüente aceitação dos frameworks melhor recomendados como ITIL®, CobIT®, ISO® 17799, ISO 9002, CMM®, Project in Controlled Environments (PRINCE), Managing Succesful Programs (MSP), Management of Risk (M_o_R®) and Project Management Body of Knowledge (PMBOK®);31 COPYRIGHT NOTICE. Copyright © 1997 CPA Journal's and/or its suppliers, 530 Fifth Avenue, New York, 31 NY 10036 U.S.A. All rights reserved. Vide também Aligning COBIT®, ITIL® and ISO 17799 for Business Benefit A Management Briefing from ITGI and OGC TRADEMARKS. Microsoft, Windows, Windows NT, MSN, The Microsoft Network and/or other Microsoft products referenced herein are either trademarks or registered trademarks of Microsoft.
  • 86 i) A necessidade das organizações acessarem o status do seu desempenho em relação aos padrões geralmente aceitos em referência aos seus pares (benchmarking); j) Declarações de analistas recomendando a adoção das melhores práticas, por exemplo: ferramentas frameworks fortes são essenciais para assegurar que os recursos de TI estão alinhados com os objetivos de negócio da empresa, e que os serviços e as informações atendem às necessidades de qualidade, fiduciárias e de segurança. CobIT e ITIL não são mutuamente exclusivos e podem ser combinados para prover poderosas governança, controles e estruturas de melhores práticas no gerenciamento dos serviços de TI. As empresas que queiram colocar seu programa ITIL dentro do contexto de uma estrutura de governança e de controle mais abrangentes devem usar CobIT. Desafios Atuais O crescimento no uso dos padrões e melhores práticas cria novos desafios e demandas para guiar a sua implantação: a) Criação da vigilância dos propósitos do negócio e dos benefícios dessas práticas; b) Suporte ao processo decisório em que práticas usar e como integrá-las com as políticas e procedimentos internos; c) Formatação para atender a requisitos específicos da organização (GARTNER, 2002). Melhores Práticas provêm muitos benefícios Conforme o ITGI (2003), a adoção efetiva das melhores práticas pode prover muitos benefícios, especialmente na área da tecnologia avançada e isto inclui: Evitar reinvenção da roda; Reduzir dependência dos especialistas em tecnologia; Outros nomes de produtos e de empresas mencionados podem ser marcas registradas de seus respectivos proprietários, pelo que todos os direitos são reservados. Quaisquer direitos não expressamente liberados no contexto são reservados.
  • 87 Incrementar o potencial para utilizar pessoal menos experiente, se propriamente treinado; Tornar mais fácil a elevação da assistência externa; Superar feudos verticais e comportamentos de inconformismo; Reduzir riscos e erros; Aumentar a qualidade; Aumentar a habilidade para gerir e monitorar; Aumentar padronização levando a redução de custos; Aumentar a confiabilidade e a confiança dos gestores e parceiros; Criar respeito dos reguladores e outros revisores externos; Salvaguardar e prover valor. A Aderência às melhores práticas também ajuda a fortalecer as relações entre fornecedores e clientes, torna as obrigações contratuais mais fáceis de monitorar e exigir e aumenta a posição de Mercado daqueles provedores de serviço vistos como conformes com os padrões aceitos, tais como a BS 15000. Estruturas Hierárquico-Funcionais As empresas Estatais brasileiras, herdeiras de um legado autocrático militar, mantêm-se ainda atreladas ao modelo funcional hierárquico e, embora pressionadas pela realidade das mudanças conjunturais que exigem agilidade e flexibilidade nas decisões, ainda são fortemente acopladas a uma cultura de defensividade funcional. Esta postura tradicional tem se prestado como um recurso de manutenção de pessoas representativas de interesses corporativos em estruturas organizacionais hierarquizadas e burocratizadas, conseqüentemente, lentas e ineficientes, inclusive na conclusão de importantes processos de apuração de responsabilidades.
  • 88 A cultura organizacional é, também, fator determinante no resultado das ações e projetos empresariais, pois pode comprometer ou viabilizar a estratégia empresarial adotada. Há, portanto, necessidade de se aferir o grau de maturidade em gerenciamento de projetos, bem como o estilo estrutural da organização, previamente à implantação de um Escritório de Projetos e à introdução de Soluções Integradas de Gestão Empresarial. Uma estrutura organizacional pode ser: funcional, matricial (que possui variações) e por projeto. De acordo com o tipo de estrutura funcional, a disponibilidade de recursos será limitada, bem como a autoridade do gerente de projetos. (PMA®32, 2005). Pode-se fazer um paralelo metafórico da evolução tecnológica (especialmente a telemática) com as diferentes estruturas organizacionais, posto que ambas refletem a adoção da Teoria Geral de Sistemas, concebida inicialmente por Ludwig Von Berthalanfy como um modelo pedagógico do funcionamento biológico. Para tanto e a título ilustrativo, abordaremos a seguir alguns conceitos básicos sobre a arquitetura das redes e dos sistemas computacionais. A evolução tecnológica e a conseqüente diminuição dos custos dos computadores tornou cada vez mais atraente a distribuição do poder computacional em módulos processadores localizados em diversos pontos de uma organização. A necessidade de interconexão desses módulos processadores, de forma a permitir o compartilhamento de recursos de hardware e software e a troca de informações entre seus usuários, criou o ambiente propício para o desenvolvimento das Redes de Computadores. (SOARES, 1995). Como no processo de evolução tecnológica, também nos modelos organizacionais as ferramentas estão disponíveis. O que falta, no mais das vezes, é vontade política dos gestores para “virar a própria mesa” (SEMLER,1988) e fazer as coisas acontecerem, ou seja, atuar proativamente ao invés de reativamente. 32 Professional Management.
  • 89 Ferramentas de Suporte Automatizado Sistemas de Gerenciamento dos Processos de Negócio em Rede (BPMNS ARIS®33, INTALIO®34) Uma visão integrada: O nível estratégico da organização visualiza, “fica de olho” no negócio, o nível tático pensa o negócio e o nível operacional “põe a mão na massa” e operacionaliza o negócio. Business Process Excellence - Arquitetura © IDS Scheer AG www.ids-scheer.com FIGURA 12: ARQUITETURA DE EXCELÊNCIA DOS PROCESSOS DO NEGÓCIO Outro aspecto extremamente importante na relação do PMO com a gestão do conhecimento, além da própria sedimentação de boas práticas e processos na condução dos projetos em si, diz respeito a uma avaliação da maturidade da empresa no gerenciamento de projetos. Da mesma forma que o envolvimento da alta gerência é condição mandatária para que se desenvolva a gestão do conhecimento, vale o mesmo raciocínio para o desenvolvimento da maturidade no gerenciamento de projetos. Uma das formas explícitas de manifestação desse apoio é através do estabelecimento (ou até do empoderamento) de um Escritório de Projetos, que será competente para avaliar o estágio atual da empresa e conduzir o seu processo de amadurecimento, por exemplo, promovendo e 33 IDS Scheer AG, quot;ARISquot;, quot;IDSquot; and the quot;Yquot; Symbol are registered trademarks of IDS Scheer AG, Saarbrücken: 2006. 34 Intalio, Intalio|BPMS, Intalio|Designer, Intalio|Server, Intalio|Workflow, are trademarks or registered trademarks of Intalio, Inc. BPML is a trademark of the Business Process Management Initiative. Java is a trademark of Sun Microsystems, Inc. XML is a registered trademark of the World Wide Web Consortium. All other names are trademarks or registered trademarks of their respective owners.
  • 90 coordenando a aplicação de um modelo de maturidade (CMMI, PMMM, OPM3, etc). (NEGREIROS, 2007). 3.3 O CASO ECT No site institucional dos correios, tem-se um interessante relato histórico da ECT, do qual se reproduz abaixo um extrato, com vistas a situar o leitor no contexto da organização postal brasileira. Com o desenvolvimento dos setores produtivos do Brasil tornou-se necessária a reorganização do serviço postal em torno de um modelo mais moderno que o do antigo Departamento de Correios e Telégrafos (DCT), que não apresentava infra-estrutura compatível com as necessidades dos usuários. Nesse sentido foi criada, em 20 de março de 1969, pela Lei nº. 509, a Empresa Brasileira de Correios e Telégrafos (ECT), como empresa pública vinculada ao Ministério das Comunicações. O surgimento da ECT correspondeu a uma nova postura por parte dos poderes públicos com relação à importância das comunicações e, particularmente, dos serviços postais e telegráficos, para o desenvolvimento do País. O ciclo de desenvolvimento ocorrido na década de 70 correspondeu a novas necessidades de uma clientela que, pouco a pouco, viu as distâncias serem encurtadas e percorridas graças ao serviço postal, que se estruturou e passou a desenvolver e oferecer produtos e serviços de acordo com a realidade do mercado e as necessidades de sua clientela. Ao mesmo tempo, nesse período a ECT consolidava seu papel como importante agente da ação social do Governo, atuando no pagamento de pensões e aposentadorias, na distribuição de livros escolares, no transporte de doações em casos de calamidade, em campanhas de aleitamento materno, no treinamento de jovens carentes e em inúmeras outras situações em que se demonstra sua preocupação com o bem-estar da sociedade. Paralelamente, a partir de 1980 se intensificava a preocupação com a ação cultural e o desenvolvimento de ações voltadas à preservação do patrimônio cultural do Brasil, sobretudo no que se refere à memória postal. (ECT, 2007). Diante de tantos desafios, a instituição Correios no Brasil necessita ajustar continuamente seus processos empresariais às demandas sociais e de mercado, de modo a balancear rentabilidade e responsabilidade social, sem o que seu desempenho estará comprometido.
  • 91 Em palestra proferida no Centro de Informática do Exército (CITEX), por ocasião da MOSTRA DE SOLUÇÕES EM INFRA-ESTRUTURA DE TI (agosto de 2007), o representante da Empresa Brasileira de Correios e Telégrafos (ECT) descreveu o processo de implantação da Governança de TI nos Correios Brasileiros. Na ocasião, mencionou-se o ponto de partida a partir do CobIT como tendo derivado de iniciativa de vanguarda da área de auditoria, embora levado a efeito pela área de tecnologia, cujo principal viés tem sido a conscientização e o treinamento, incluindo as demais áreas da organização. 3.3.1 ESTRUTURA ORGANIZACIONAL A questão da renovação mostra como é arriscado para uma empresa ficar presa aos seus modelos mentais, a sua atual base de conhecimentos, e depender de um único conjunto de competências essenciais. Para a inclusão da renovação estratégica nos projetos de Balanced Scorecard, a formulação de algumas questões pode ser de grande utilidade, como é mostrado na Tabela constante na página a seguir:
  • 92 Estabilidade: A Estratégia Atual Renovação: A Estratégia Emergente Foco no Curto Prazo Horizonte de 5 a 10 anos Que segmentos de clientes a Que novos segmentos de clientes • • empresa está servindo a empresa estará servindo no atualmente? futuro? Qual é a atual proposição de Que inovações serão introduzidas • • valor para os clientes? na futura proposição de valor? Qual é a base da vantagem Qual será a nova base da • • competitiva da empresa hoje? vantagem competitiva da empresa no futuro? Quem são os concorrentes de Quem serão os concorrentes de • • sua empresa hoje? sua empresa e os prováveis novos entrantes no mercado, no futuro? Que competências essenciais Que competências essenciais • • tornam a empresa diferenciada precisarão ser desenvolvidas para no mercado? tornar a empresa única no mercado, no futuro? Através de que canais a empresa Através de que canais a empresa • • atinge os clientes hoje? atingirá os novos clientes no futuro? De que rede de valor a empresa De que novas redes de valor a • • participa hoje? empresa irá participar no futuro? Fonte: Adaptado de Gary Hamel e C.K. Prahalad (APUD HERRERO, 2005). TABELA 5: FOCO ESTRATÉGICO E ESTRUTURA ORGANIZACIONAL
  • 93 Até agosto de 2007, a empresa pública detentora do monopólio postal no Brasil, a ECT, esteve estruturada em três níveis decisórios (estratégico, tático e operacional), respectivamente representados pelas seguintes unidades organizacionais: Diretoria, Departamento e Divisão. Subsidiariamente, havia ainda um nível consultivo, representado pelas Assessorias e Consultorias, e um nível de apoio técnico-administrativo, representado pelas Coordenações técnico-administrativas. A conseqüência mais emblemática era que cerca de 30 pessoas se reportavam diretamente ao Presidente da Empresa. Em setembro de 2007, a Diretoria e o Conselho de Administração da ECT aprovaram um ajuste organizacional focado estrategicamente na Administração Central, que redirecionou seus recursos na busca de expansão auto-sustentável, fazendo frente às pressões pela valorização dos seus profissionais, inovação de seus produtos e processos. No raciocínio Lean35, o cerne é saber quem é o cliente e como se pode atendê-lo. Organizações como o Handelsbanken e a American Express estão diminuindo as camadas na empresa. Isso é importante para o trabalho fluir. Quanto menos camadas, mais produtividade. Todas as organizações podem ser divididas em cinco ou seis grandes processos, como produção, serviço de pós-venda, processamento de dados e outros, segundo ele. Para isso, de acordo com HOPE, temos de pensar quais os produtos, clientes e processos são lucrativos. As atividades que não agregam valor devem ser terceirizadas. E para saber quais são essas atividades, é necessário saber se elas não vão prejudicar a produção de seus produtos se eliminadas. (HOPE, 2007). A posteriori, a Empresa comunicou o conjunto de medidas preliminarmente adotadas, quais foram: 1. Fortalecimento dos princípios de governança corporativa a) Diretoria focada em atividades estratégicas: liderando a busca da sustentabilidade da Empresa; o “O Lean Seis Sigma (Six Sigma) é uma poderosa metodologia para melhorar o desempenho através da eliminação do 35 desperdício e das causas de defeitos nos processos administrativos, processos de produção ou processos de manufatura.” Disponível em: http://www.can.com.br/p_lss.asp Acesso em 06/05/2008.
  • 94 o concentrando grande parte dos seus esforços no futuro; o identificando oportunidades de alianças estratégicas, trabalhando no sentido de os profissionais representarem uma vantagem competitiva. b) Delegação de responsabilidades para demais níveis hierárquicos, de tal forma que cada um possa atuar diante das competências que a eles forem estabelecidas em todos os níveis: estratégico, tático e operacional. 2. Redirecionamento das atividades da Administração Central da ECT para ações predominantemente estratégicas e táticas. a) Implantação do conceito de Centros de Serviço. b) Separação das atividades transacionais e operacionais das táticas e estratégicas, preparando-as para realocação futura. Neste contexto, a imprensa (SINOPSE, 2007) tem divulgado medidas, ainda em estudo, no sentido da abertura de capital com lançamento de ações no mercado, criação de uma empresa de logística de transporte aéreo e terrestre e uma parceria público-privada para absorção do Banco Postal. 3. Inserção da inovação como elemento-chave de gestão, iniciando este processo com a criação de um órgão corporativo de inovação empresarial. a) Foco no horizonte de longo prazo. b) Busca de novas oportunidades e novas soluções em gestão e em negócios. 4. Adequação do modelo remuneratório, com a implantação de um modelo de carreira técnica. a) Organização da carreira técnica paralelamente à carreira gerencial. b) Criação de horizontes de desenvolvimento profissional dentro da organização, com inserção de mecanismos no novo Plano de Carreiras, Cargos e Salários (PCCS) e nas demais normas internas. 5. Modelo organizacional mais leve e ágil nas decisões. a) Redução de níveis hierárquicos;
  • 95 b) Redução do número de órgãos; c) Redução de custos decorrentes da gestão de conflitos e demora nas decisões. 6. Estrutura organizacional mais flexível, permitindo maior liberdade para adaptação às mudanças e às estratégias da Empresa. a) Cada área definirá sua estrutura para responder à sua função diante da missão da ECT; b) A estrutura proposta deverá limitar ao orçamento de funções de cada área e aos parâmetros estabelecidos. 3.3.2 GOVERNANÇA DE TI NA ECT MERCADO / GOVERNO CIDADÃO GOVERNANÇA DA EMPRESA FORNECE- DORES CLIENTES GOVERNANÇA DA TI OBJETIVOS CONFORMIDADE ESTRATÉGICOS INFRA- INTEGRAÇÃO ESTRUTURA E E ATENDIMENTO SISTEMAS NEGÓCIOS GESTÃO DE RISCOS SEGURANÇA ALINHAMENTO ERM ÓRGÃOS REGULA- DORES FIGURA 13: CONTEXTO DA GOVERNANÇA DE TI NA ECT (SOUZA N., 2007) A estrutura da Diretoria de Tecnologia e de Infra-estrutura (DITEC), criada em 2004, foi desenvolvida, tendo a Governança de TI (CobIT) como um dos seus pilares. O trabalho iniciou-se com palestras de sensibilização e conscientização, a partir do apoio da alta administração, cuja percepção era de que a solução de certos problemas só viria com uma abordagem sistêmica e integrada. Consoante o depoimento colhido (ANEXO B) do gestor da então Coordenação de Integração de Projetos com suporte de TI na ECT, a DITEC tem como missão
  • 96 coordenar as ações de tecnologia da informação e as ações de engenharia, objetivando dar o devido suporte tecnológico ao modelo de negócios e ao modelo operacional da Empresa, bem como propor a inserção de novas tecnologias, como fruto de um trabalho de prospecção, identificação e adaptação dessas tecnologias para o ambiente da ECT. FIGURA 14: ESTRUTURA DE TI NA ECT Dos 50 colaboradores certificados em CobIT e ITIL na DITEC, 25 eram CobIT e 30 ITIL em 2007, porém ainda era difícil dizer o percentual de “implantação” dos frameworks, visto que eles não são estruturas que ditam regras, mas apenas sugestões de melhores práticas que devem ser adaptadas à realidade da empresa. Embora os sistemas mais antigos e os legados não estejam ainda conformes, a DITEC segue a metodologia interna do Programa de Software Padrão da Organização (PSPO) para o desenvolvimento de sistemas, aderente à Norma internacional NBR ISO/IEC 12207: Tecnologia da Informação, Processos de Ciclo de Vida de Software.
  • 97 O estágio atual de implantação das melhores práticas ITIL na ECT contempla: Projeto de Serviços e Gerenciamento de Processos: • Service Level Agreement (SLA), • Gerência de segurança, • Gerência de disponibilidade e contingência, • Relatórios de serviço, • Gerência de capacidade e gerência financeira, Processos de Controle: • Gerência de ativos; e • Gerência de configuração, Processos de Liberação (Gerência de Mudanças) Processos de Suprimento: • Gerência de relacionamento com clientes; e • Gerência de suprimentos, Processos de Resolução: • Gerência de incidentes; e • Gerência de problemas. Atualmente, a Empresa está em fase de implantação das Gerências de Incidentes, Problemas, Configuração e Mudanças, além da função Service Desk. Quanto ao COBIT, todos os 34 processos e respectivos objetivos de controle, que têm observância nas atividades da ECT, estão implantados na DITEC. Alguns processos tem maior maturidade, outros menor, porém esses controles ainda não são monitorados de forma automatizada e o grau de integração dos sistemas com o ERP é incipiente, embora haja uma iniciativa em disponibilizar os processos operacionais das áreas em Data Warehouse (DW).
  • 98 FIGURA 15: CONTEXTO DA GOVERNANÇA DE TI NA ECT Os principais benefícios da implantação da Governança de TI nos Correios são a melhoria dos controles internos e o efetivo alinhamento das ações da Área de Tecnologia com a gestão empresarial e os negócios da ECT. As metodologias e os modelos só têm aplicabilidade quando interpretados à luz da cultura da organização (Souza Neto, 2007). O alinhamento de todos os processos e atividades relevantes aos objetivos estratégicos da organização deverá ser monitorado mediante a utilização de um painel de indicadores para cada dimensão do Balanced ScoreCard, integrando os domínios do CobIT como o padrão da Governança de TI.
  • 99 FIGURA 16: MAPEAMENTO BSC CORPORATIVO-COBIT-BSC DA TI 3.3.3 AUTO-AUDITORIA NA ECT Consiste na verificação dos controles por parte dos próprios gestores das atividades e contempla as Interseções entre o processo de Macroavaliação de Riscos e o Planejamento Estratégico, assegurando o alinhamento entre processos e atividades com os objetivos estratégicos da instituição. Para uma abordagem que induza ao sucesso, como decorrência da natureza precípua do empreendedorismo, faz-se necessário avaliar cenários, prospectar mercados, identificar oportunidades e ameaças, e mensurar fatores críticos de sucesso, bem como os riscos inerentes às atividades do ramo de negócio em que se pretende atuar. Neste sentido, técnicas, metodologias e práticas são componentes indispensáveis ao curso de ação dos administradores, tendo em vista o grau de incerteza em que se desenvolve o processo decisório, em ambiente crescentemente competitivo e, não raro, hostil à livre iniciativa dos que ousam amealhar fatias ou nichos de mercado onde há pluralidade de interesses, nem sempre conciliáveis. O Cronograma de Atividades de Auditoria é a peça do Plano Estratégico de Auditoria Interna que relaciona, em ordem temporal,
  • 100 as auditorias a serem realizadas dentro do período compreendido pelo Ciclo de Auditoria. (SOUZA, 2006). Como peça importante deste ferramental, no contexto da Auditoria Interna, a técnica de macroavaliação de riscos tem como ponto de partida o planejamento estratégico da organização, pois deriva dos objetivos organizacionais e busca um constante alinhamento com estes ao longo de todo o processo de identificação, classificação e priorização dos riscos a serem mitigados por meio de mecanismos de controle específicos. O processo de Macroavaliação de Risco visa subsidiar o Plano Estratégico de Auditoria, dando ao auditor meios para alocação sistemática dos seus recursos em segmentos da organização que mais se beneficiariam com a realização de auditorias. Importante lembrar que uma das características fundamentais do planejamento como função administrativa é a flexibilidade. Portanto, o Plano Estratégico de Auditoria não deve ser tomado como uma peça imutável. Pelo contrário, deve ser constantemente ajustado ao longo do Ciclo de Auditoria quando da elaboração dos planos tático e operacional. (SOUZA, 2006). A dinamicidade do ambiente empresarial, do mercado e da própria sociedade é a razão pela qual a flexibilidade dos instrumentos utilizados no planejamento das atividades deve conferir rápida adaptabilidade e a conseqüente exeqüibilidade ao planejamento traçado, tangenciando todos os seus desdobramentos: estratégico, tático e operacional. Isto posto, percebe-se que há íntima correlação entre a Macroavaliação de Risco e o Planejamento Estratégico, no sentido de viabilizar o alinhamento de todas as atividades, especialmente as táticas e operacionais, à consecução dos objetivos empresariais, mitigando riscos e potencializando oportunidades. Há, no entanto, um equívoco muito comum quando se atribui essa tarefa a um órgão de auditoria interna ou de compliance, desonerando os gestores da responsabilidade imediata na verificação e instituição de controles sobre os processos e atividades de sua competência. A auto-auditoria consiste na iniciativa primária do próprio gestor em verificar e instituir controles que lhe assegurem o alinhamento de seus processos e atividades aos objetivos da organização.
  • 101 Conforme o depoimento do Auditor responsável pela coordenação das auditorias de TI (ANEXO A), detentor de Certificação DNV de Auditor Lider em BS-7799, estão em processo de certificação CobIT Foundation três dos cinco colaboradores da área de Auditoria Interna na ECT. Foi contratada uma consultoria pela área de TI que trabalhou na identificação dos processos e no tratamento da maturidade de cada um dos processos em TI, porém ainda não existem processos nem mecanismos de avaliação de controles internos na área de auditoria com relação ao framework COSO. No entanto, a partir do ano 2000 foram envidados esforços no sentido de estruturar a auditoria de Tecnologia da informação na Empresa. Foram treinados auditores para viabilizar a empreitada. Os treinamentos foram baseados no framework CobIT. No ano de 2001, foi feito um planejamento de auditoria que previu a realização de auditorias utilizando-se dos domínios do CobIT. As auditorias foram realizadas com sucesso no ano de 2002. Posteriormente, coube à auditoria alavancar, junto à área técnica, a necessidade da utilização do framework CobIT como a estrutura que prevê as melhores práticas em nível mundial para o tratamento dos processos de TI. Ratificando informação anterior, a área técnica “comprou” a idéia e, a partir do ano de 2004, aproximadamente, contratou-se uma consultoria para o levantamento e identificação de todos os processos de TI e a classificação do nível de maturidade de cada um dos processos identificados. Para avaliação dos processos a serem auditados não é utilizado um framework ERM, as análises são feitas a partir das orientações da Chefia da Auditoria, quando da elaboração do Plano Anual de Atividades de Auditoria (PAAAI, atual PAINT). Na fase de planejamento das auditorias, é elaborada uma macro-avaliação dos riscos. Objetiva-se a realização da micro-avaliação de riscos após a fase de trabalho de campo. Na Auditoria Interna da empresa, os processos são divididos em Planejamento, Trabalho de Campo, Relatório e Acompanhamento (follow-up).
  • 102 Todos os relatórios são elaborados a partir do editor de textos MS Word, podendo migrar futuramente para a suíte BROFFICE em Software Livre, não sendo possível precisar em termos percentuais o atual grau de automatização dos processos da área. Está em fase de levantamento para desenvolvimento interno com suporte da DITEC, uma aplicação que poderá automatizar em torno de 95% dos processos e atividades na Auditoria Interna. Porém tal iniciativa sofreu solução de continuidade com o ajuste organizacional que fundiu as áreas de auditoria e inspeção em um só Departamento. Constatou-se a existência de funcionalidades comuns aos sistemas em uso na nova área, os quais não estão integrados, requerendo esforços (Projeto de integração) da área de Tecnologia e de Auditoria nesse sentido. A empresa dispõe da ferramenta de análise de dados ACL, porém as versões do software estão defasadas e o contrato de manutenção está vencido, comprometendo o uso eficaz deste recurso para a execução de testes substantivos de auditoria, principalmente por não haver suporte técnico disponível. 3.3.4 GESTÃO DE PROCESSOS NA ECT No contexto da ECT, a Governança Corporativa traduz-se na efetiva viabilização de “procedimentos utilizados pelos representantes dos proprietários (por exemplo, acionistas etc.) para atribuir responsabilidades sobre riscos e processos de controle administrados pelas gerências” (DITEC, 2006). ‘Os processos de negócio são definidos como um conjunto de tarefas logicamente relacionadas e executadas para alcançar um determinado resultado. ’ (Davenport and Short, 1990). Como os vultosos investimentos em sistemas ERP indicam, os processos de negócio são considerados hoje como elementos atômicos fundamentais para a formatação de uma companhia, tanto quanto o inventário de seus ativos físicos ou os empregados o foram anteriormente. A criação de processos de negócios baseada em benchmarks requer dados irrestritos em um nível altamente desagregado, bem abaixo do nível dos balanços contábeis que são usados na maioria dos procedimentos analíticos de hoje, tais como a análise de taxas ou comparações com os exercícios financeiros anteriores. O teste do conteúdo do fluxo de dados de uma determinada firma contra
  • 103 benchmarks focaliza-se no exame tanto de transações excepcionais quanto de resultados de transações excepcionais. Idealisticamente, os softwares de Auditoria Contínua monitorarão contínua e automaticamente as transações da companhia, comparando suas características genéricas com benchmarks observados e esperados, identificando situações anômalas. Quando discrepâncias significativas ocorrerem, alarmes serão registrados e remetidos aos interessados apropriados. O objetivo deste projeto é então explorar os benefícios de se usar procedimentos analíticos baseados em processos de negócios para criar um sistema de auditoria contínua ao nível dos dados. (ALLES, 2006). A Diretoria de Tecnologia e Infra-Estrutura (DITEC) da ECT, na vanguarda das atuais tendências de governança corporativa e em sintonia com as atuais políticas de integração dos sistemas de informação do Programa Governo Eletrônico, adquiriu, em 1997, a ferramenta de gerenciamento de processos de negócios ARIS Tool Manager, com o objetivo de mapear os processos de TI. A Assessoria de Planejamento (APLAN, atual DPLAN) da Presidência da empresa assumiu posteriormente essa atividade com o objetivo de padronizar o uso em todas as áreas da empresa, sendo que a metodologia, a ferramenta BPM ARIS e o pessoal a ela alocado foram transferidos da DITEC para aquela APLAN. A representação dos objetos, então definidos como padrão para serem utilizados na elaboração dos Modelos, foi elaborada em consonância com a estrutura organizacional anterior, refletindo uma perspectiva funcional e não a atual orientação aos processos, recentemente implementada com a adoção do COBIT. Uma das poucas constantes, no mundo atual, é a transformação tecnológica e organizacional. Hoje mais do que nunca, a rentabilidade e capacidade competitiva de uma organização são determinadas por seus processos. Processos são a fonte de uma gestão transparente, eficiente e inovadora. (IDS SCHEER, 2006) To decrease unplanned downtime, service-oriented architecture applications need strong life cycle management. There are three aspects of this: organization, process and technology. (GOVEKAR, 2007) A DITEC emitiu a Portaria PRT/DITEC-13/2006, de 01/06/2006, com vistas à implantação do Gerenciamento de Serviços de TI por processos, para o que designou um Grupo de Trabalho composto por um Gerente de Projeto e cinco gestores de nível tático (Chefes de Departamento), suportados por quatro Equipes Técnicas, sendo três compostas de sete técnicos cada, e uma por oito
  • 104 colaboradores. Foi, ainda, definido o padrão ITIL como a metodologia a ser seguida no mapeamento dos processos de gerenciamento de serviços de TI. Post-project evaluations provide essential feedback for process improvement, yet few organizations successfully complete them on a regular basis. Many organizations struggle to establish the criteria for the review. The solution can be found in the business case and the project plan (SMITH, 2007). FIGURA 17: PROCESSO
  • 105 Uma das ferramentas de análise de risco do processo, que podem ser utilizadas para identificar oportunidades de melhoria, é a Matriz de Pontuação – GUT. GRAVIDADE URGÊNCIA TENDÊNCIA PONTOS G U T Os prejuízos Se nada for feito, ou dificuldades É necessária haverá um grande 5 são uma ação e imediato imediata. extremamente agravamento do graves problema. Se nada for feito, É necessária Os prejuízos haverá um uma ação o 3 ou dificuldades agravamento do mais cedo são graves problema em possível. médio prazo. Se nada for feito, Os prejuízos não haverá ou dificuldades Não há pressa agravamento do 1 para agir. não são problema, graves podendo até melhorar. TABELA 6: MATRIZ G U T Ferramentas como esta matriz GUT e outras similares, como a matriz RACI, se convenientemente aplicadas, podem facilitar o planejamento das auditorias, por meio da identificação daqueles processos mais relevantes, cujos riscos justifiquem a alocação das equpes de auditoria, bem como dos responsáveis pela implantação de controles e da correspondente auto-auditoria em níveis tático-operacionais.
  • 106 Estratégias Corporativas Especificação da Cadeia de Valor Decomposição MP/Identificação e seleção de processo Modelagem de processo Indicadores estratégicos Definição de indicadores de desempenho Indicadores de processos Implantação de processo Análise crítica de processo Melhoria de processo Realinhamento Estratégico FIGURA 18: MODELO (SISTEMOGRAFIA) DE IMPLANTAÇÃO DE PROCESSO NA ECT
  • 107 Melhoria de Processo Com base nas informações resultantes da análise critica de processo (diagnóstico, a identificação de oportunidades de melhoria e a definição das intervenções a serem implementadas), serão desencadeadas as ações e iniciativas de melhoria de processos na Empresa. As intervenções de melhoria em processos devem ser precedidas por um planejamento bem elaborado no sentido de orientar as pessoas envolvidas e definir os recursos metodológicos e tecnológicos a serem empregados na ação, com base no ciclo PDCA (Plan, Do, Check e Act.) As intervenções de melhoria de processos serão apoiadas pelas ferramentas disponíveis na Empresa [Gerenciamento de Rotinas e Gerenciamento de Melhorias (GRGM), SEIS SIGMA©, etc.], bem como as demais soluções de mercado que se apliquem às necessidades e interesses da ECT. As intervenções de melhoria serão focadas em aumentar os ganhos de produtividade, eficácia, e redução de tempo e custos de processos. Um processo que passou pela fase de análise crítica pode, de acordo com as informações geradas anteriormente e a avaliação da equipe responsável pelo estudo, ser ou não redesenhado. Remete o redesenho à formatação de um processo novo, objetivando projetar uma visão futura ideal para substituir ou aprimorar a solução que estava funcionando antes. A solução de redesenho é aplicada a um determinado processo visando melhorar a sua produtividade, eficiência, eficácia e adaptabilidade, definir uma nova forma de executar as atividades e analisar as demandas de recursos existentes. Como exemplo, este autor elaborou uma Proposta de Automatização Piloto, Via MS Outlook, do Processo de Cadastro das Comunicações Internas (CIs) no Departamento de Rede Corporativa (DERCO) em 2004
  • 108 Gerenciamento de processos Depois de implantado, o processo deve ser tratado como um recurso valioso da organização. O seu desempenho deve ser medido, monitorado, acompanhado e avaliado, e, periodicamente, deverão ser feitas revisões e averiguações para levantamento de necessidade evidenciadora de ações de manutenção. Estas iniciativas abrangem a verificação e análise contínua do andamento do processo, medindo e avaliando sua capacidade, identificando pontos de folga e gargalos. A gestão de processos empresariais é uma ferramenta de gestão que permite, após implantação dos processos identificados, mapeados e modelados, avaliá-los e acompanhá-los no âmbito da organização, visando à excelência nos resultados e garantia de satisfação ao cliente (gerar excelência para o cliente). O processo após ser implantado será gerenciado pelo seu dono (responsável) e sua equipe, previamente designados, apoiados tecnicamente pelo Gestor de Processo e suporte metodológico. Os processos depois de implantados passarão a ser gerenciados continuamente com foco nas variáveis a seguir relacionadas: a) monitoramento; b) acompanhamento; c) avaliação; d) desempenho (indicadores); e) melhoria e redesenho de processos.
  • 109 Podemos classificar as ferramentas (aplicativos) de apoio à gestão de processos como: a) ferramentas de auxílio gráfico sem referencial metodológico e não baseadas em banco de dados (Visio, Flowchart, Powerpoint, etc); b) ferramentas com referências metodológicas, não baseadas em banco de dados (Flowcharter, Ithink, Microsaint e Visio); c) ferramentas com referências metodológicas e, ainda, baseadas em banco de dados (Meta software; KBSI; ARIS© TOOL SET; System Architect, etc). Os objetos e informações modelados são armazenados de forma organizada em um banco de dados, garantindo consistência e unicidade. Ferramentas que atualmente vem sendo utilizadas pela Empresa para suportar iniciativas vinculadas a processos (mapeamento, modelagem, melhoria, etc.): a) ARIS© Tool Set; b) Gerência da Rotina e Gerenciamento de Melhorias - GRGM; c) SEIS SIGMA©36; d) Gestão de Produtividade Aplicada aos Correios - GPAC; e) Sistema de Melhorias de unidades de tratamento - SMEL. Estas ferramentas serão utilizadas de acordo com a necessidade e a incorporação da gestão de processo na Empresa. 36 Artigo Os Seis Mitos do Seis Sigma por Celerant Consulting.
  • 110 Implantação da Gestão de Processos Especificação Decomposição, Definição de Modelagem da Cadeia Identificação e indicadores de processo de Valor seleção processos de desempenho Análise Implantação Melhoria crítica de de processo de processo processo Gerenciamento de Processos Processo com problema Averiguação/ Monitora- Acompanha- Análise e Medição de mento mento Avaliação desempenho Processo sem problema FIGURA 19: PROCESSO DE IMPLANTAÇÃO DA GESTÃO DE PROCESSOS NA ECT
  • 111 4. POSSIBILIDADES A Auditoria Interna (AUDIT) da ECT está se preparando para automatizar seus processos internos, com vistas ao máximo aproveitamento das facilidades de acesso on-line às informações de seu interesse. Dos demais gestores, em todos os níveis, a partir de suas unidades e processos, vislumbram-se iniciativas como a da DITEC e da Diretoria Administrativa (DIRAD), no sentido de implantarem procedimentos automatizados de auto-auditoria e gestão de processos, que minimizem a necessidade de testes substantivos e agreguem valor ao negócio multifacetado, especialmente no contexto dos Correios brasileiros, com o fim de se prepararem e aculturarem seu pessoal para um novo estágio do controle interno nas organizações. Do que foi exposto, o que se presume como possibilidades a serem incorporadas de imediato, guardadas as devidas proporções com a realidade de cada Regional e Diretoria de Área, é: 4.1 AUDITORIA REMOTA A empresa ECT dispõe da tecnologia Data Warehouse (DW) e de um Sistema Integrado de Informações Gerenciais (ERP), potencializando a realização remota de procedimentos de auditoria, pela via de ferramentas de extração, transformação e Carga de dados (ETL) que dispensem o deslocamento físico dos auditores, minimizando custos com tempo (H/H), passagens, hospedagem e diárias. Além disso, já estão disponíveis soluções no mercado que foram formatadas para atender aos requisitos do Sistema de Controle Interno do Governo Federal, inclusive uma aplicação recentemente desenvolvida em plataforma cliente-servidor, por um
  • 112 renomado Auditor junto ao TST37 em parceria com a TechSupply, representante do software de análise de dados ACL - Audit Command Language. De acordo com um relatório de pesquisa do American Institute of Certified Public Accountants (CICA/AICPA), a Auditoria Contínua (AC) consiste em: ‘uma metodologia que habilita auditores independentes a proverem uma declaração escrita sobre um assunto usando uma série de relatórios emitidos simultaneamente com, ou em um curto período de tempo após, a ocorrência de eventos subliminares ao assunto relevante. ’ A Auditoria Contínua (AC) depende fortemente da Tecnologia da Informação. Enquanto o conceito de AC já tem mais de uma década, os rápidos avanços em tecnologia tem agora tornado a AC mais factível. Exemplos dessa tecnologia incluem banda larga, tecnologia de servidores de aplicações WEB, soluções de WEB scripting e onipresentes sistemas de banco de dados com conectividade padrão. A AC alavanca tecnologia e abre a arquitetura dos bancos de dados para permitir aos auditores monitorarem os sistemas da companhia via Internet, usando sensores e agentes digitais. Quaisquer discrepâncias entre os registros e as regras definidas nos agentes digitais são transmitidas via e-mail ao cliente e ao Auditor, ao ponto de o Auditor poder determinar a ação apropriada a ser tomada. Por exemplo: um agente digital executando procedimentos analíticos sobre as contas enviaria um e-mail ao Auditor contendo um relatório de exceção sobre aquelas contas que flutuassem fora dos parâmetros definidos no agente digital. (...) Relatórios de exemplo podem ser acessados em: acctnt.bus.utk.edu/ld/default2.cfm. (SEARCY, 2003). A assimilação e incorporação de fato da cultura de gerenciamento por processos, viabilizando controles automatizados de forma integrada, a partir das ferramentas disponíveis, possibilitará a realização de auditorias e inspeções remotas em quaisquer dos processos organizacionais relevantes. 4.2 APROVEITAMENTO DE SOLUÇÕES TECNOLÓGICAS A empresa detém know-how privilegiado na formatação de soluções tecnológicas próprias, cuja expertise pode ser também aproveitada na customização e absorção 37 Informação dada pelo Professor André Cavalcanti da Universidade Católica durante palestra na Embaixada do Canadá em Dezembro/2007.
  • 113 de tecnologias de mercado, com vistas ao uso otimizado dos recursos tecnológicos disponíveis, fomentando a tempestividade nas ações gerenciais e uma maior efetividade na governança corporativa. Contudo, é extremamente recomendável que sejam elaborados estudos cada vez mais consistentes de viabilidade técnico-econômica para as aquisições e desenvolvimentos pretendidos. 4.3 IMPLANTAÇÃO DO FRAMEWORK ERM A empresa dispõe de uma massa crítica capaz de desenvolver e implantar a cultura de gerenciamento de riscos, objetivando a identificação daqueles riscos mais representativos ao negócio e assegurando a atuação tempestiva com vistas à continuidade da instituição. Torna-se indispensável a disseminação destes conceitos e instrumentos de alavancagem de eficácia, economicidade e efetividade por toda a organização, porém a configuração atual do negócio precisa ser adaptada aos novos tempos sem que se comprometa o potencial já desenvolvido e a ser incrementado. Ações como o recente ajuste organizacional apontam nesta direção e precisam ser aperfeiçoados sob o foco em processos em lugar de funções, especialmente no tocante ao status da Auditoria Interna na estrutura organizacional, assegurando a necessária independência ao trabalho dos auditores internos, bem como permitindo- lhes auferir os benefícios da automatização dos processos e do gerenciamento de riscos em todas as etapas de seu trabalho, especialmente na fase de planejamento. 4.4 APROVEITAMENTO DA CAMADA DE INTEGRAÇÃO NA AUTOMATIZAÇÃO DOS PROCESSOS DE AUDITORIA INTERNA A empresa está desenvolvendo uma camada de integração (CICS) de suas aplicações corporativas, iniciativa que associada a um modelo automatizado de gestão orientado a processos via Intranet, poderá viabilizar a integração corporativa
  • 114 e o monitoramento contínuo das auto-auditorias localizadas nas diversas áreas da organização. Os principais processos da área de contratações, na Diretoria Administrativa (DIRAD), já foram mapeados com o suporte de uma consultoria especializada e da ferramenta BPMN ARIS, servindo como uma implantação piloto da gestão orientada por processos automatizados a serem disseminados pelas demais áreas. A convergência tecnológica agregada às técnicas de auditoria, especialmente aquelas relacionadas à auto-auditoria (self-assessment), apresentam-se como uma oportunidade viável de reversão de tendências históricas de ineficácia gerencial, pelo concurso do monitoramento contínuo e on-line. 4.5 ALINHAMENTO AO PROGRAMA NACIONAL GESTÃO PÚBLICA DESBUROCRATIZAÇÃO DE E (GESPÚBLICA) O Programa Nacional de Gestão Pública e Desburocratização (GESPÚBLICA) visa contribuir para a melhoria da qualidade dos serviços públicos prestados aos cidadãos e para o aumento da competitividade do País, formulando e implementando medidas integradas em agenda de transformações da gestão, necessárias à promoção dos resultados preconizados no plano plurianual, à consolidação da administração pública profissional voltada ao interesse do cidadão e à aplicação de instrumentos e abordagens gerenciais, foi instituído pelo Decreto nº 5.378, de 23 de fevereiro de 2005. Referencial Estratégico Missão Promover a excelência em gestão pública, visando contribuir para a melhoria da qualidade dos serviços públicos prestados ao cidadão e para o aumento da competitividade do País.
  • 115 Visão Até 2015, a excelência em gestão pública deverá ser um valor preservado pelas instituições públicas e requerido pelo cidadão. Estratégia Mobilizar pessoas e organizações voluntárias para atuarem como agentes transformadores da gestão pública brasileira. Havia um total de 66 organizações públicas participantes do GesPública em 2007.
  • 116 5. CONCLUSÃO Retomemos o Objetivo Geral deste trabalho, qual seja: caracterizar soluções de Tecnologia da Informação que viabilizem a obtenção tempestiva de resultados consistentes das auto-auditorias setoriais, conferindo maior efetividade às auditorias de TI e à Governança Corporativa na ECT. Neste sentido, desde a introdução foram elaborados os conceitos básicos indispensáveis à contextualização do tema. Foram também enumerados os principais padrões e melhores práticas aplicáveis, bem como se abordou o estágio atual de sua implantação na ECT, como um estudo de caso. Identificaram-se, ainda, as várias possibilidades disponíveis em termos de soluções tecnológicas, padrões e melhores práticas a serem integradas ao escopo da Governança Corporativa na Empresa. A partir das entrevistas e levantamentos realizados, no entanto, constatou-se que tais recursos e controles ainda não são monitorados de forma automatizada e que o grau de integração dos sistemas com o Sistema Integrado de Informações Gerenciais (ERP) ainda é incipiente. Contudo, identificou-se que há uma iniciativa em estudo, no sentido de disponibilizar os processos operacionais das diversas áreas a partir do repositório Data Warehouse (DW). Portanto, retomemos o Problema identificado para esta monografia, qual seja: Se haveria alternativas de automatização do processo de auto-auditoria (self- assessment) que diminuíssem o fosso (gap) existente entre a ocorrência do fato em desconformidade, a constatação de suas conseqüências e a adoção tempestiva de providências, preventivas ou corretivas, que minimizem os danos e prejuízos suportados pela organização.
  • 117 Conclui-se que existem de fato as várias possibilidades mencionadas na unidade anterior, caracterizando oportunidades potencialmente positivas de melhoria, se convenientemente implantadas. No entanto, diante dos fatos de domínio público envolvendo a tradicional instituição Correios em denúncias de corrupção, a Presidência da ECT, como Autoridade instauradora de dezenas de sindicâncias, se vê a braços com o enfrentamento do enorme desafio de saneamento da empresa, o que vem se dando de forma sistemática por meio da Auditoria Interna, também encarregada da apuração de responsabilidades. Tal enfrentamento conta com o suporte logístico do Ministério Público da União, via Procuradoria Geral da República no Distrito Federal, inclusive com o concurso de cerca de uma dezena de auditores da empresa cedidos para composição de uma Força Tarefa, bem como pela Controladoria Geral da União (CGU), via Secretaria de Fiscalização e Controle. Em face das dificuldades inerentes ao processo de contratação nas empresas públicas, a aversão ao risco acentuou-se muito e os gestores estão resistentes a assumir os riscos da aquisição de soluções disponíveis no mercado e, quando o fazem, vêem-se diante de excessivos entraves burocráticos e formalidades legais (Lei 8.666/93). No entanto, convém observar que tais restrições não servem como justificativa para a omissão, atitude igualmente sujeita à imputação de responsabilidade pelos Órgãos de Controle Interno e Externos. Relativamente ao desenvolvimento de soluções internas, há uma recorrente descontinuidade e falta de integração das iniciativas em curso, comprometendo os resultados preconizados e postergando a adoção das alternativas evolutivas eventualmente propostas. Ademais, a atuação da área de TI como fábrica de software foge ao core business da instituição e, por concorrer com as prioridades demandadas pelas demais áreas, pode inviabilizar o cumprimento tempestivo da missão de coordenação e suporte às demandas do negócio. Por outro lado, como salientamos, o papel desempenhado pela DITEC como habilitadora do negócio é vital à manutenção dos sistemas em uso na organização, bem como ao desenvolvimento ou aquisição de novas soluções.
  • 118 Quanto aos resultados esperados, agregando-se a presente contribuição na divulgação interna das oportunidades e possibilidades identificadas, presume-se promover a conscientização dos interessados (stakeholders) quanto à real possibilidade de realização remota de procedimentos de auditoria, bem como quanto à relevância e conveniência de assim proceder. A partir do acesso on-line às auto-auditorias e às bases de dados corporativos, ainda que as condições de contorno não sejam imediatamente favoráveis, objetiva- se minimizar custos de deslocamento, traduzidos em tempo (H/H), passagens, hospedagem e diárias, bem como atuar mais tempestivamente e por exceção na identificação dos riscos mais relevantes à consecução dos objetivos organizacionais. Como oportunidades, buscam-se ações no sentido de estimular o uso otimizado dos recursos tecnológicos disponíveis, fomentando a tempestividade nas ações gerenciais e maior efetividade na governança corporativa, como resultado decorrente das atitudes assumidas diante do que se apresenta no cenário delineado neste e em outros trabalhos citados na seção de referências. A relevância do trabalho se traduz em fomentar a identificação dos riscos mais representativos ao negócio, assegurando a atuação tempestiva com vistas à continuidade da instituição, o que é uma questão de sobrevivência em face da possibilidade iminente de privatização ou flexibilização do monopólio postal no Brasil. Portanto, a incorporação de modelos orientados por processos automatizados via Intranet para a integração corporativa e o monitoramento contínuo das auto- auditorias localizadas nas diversas áreas da organização, bem como a adoção de padrões e melhores práticas, dentre as várias aqui citadas, há de se constituir em diferenciais competitivos importantes no cenário de incertezas que ronda as atividades da empresa e a continuidade de seus negócios. As lacunas aqui deixadas poderão ser preenchidas nos desdobramentos internos e externos, inclusive em eventuais extensões deste estudo ao nível de Mestrado ou Doutorado, haja vista a relevância do tema para o aperfeiçoamento das instituições.
  • 119 6. REFERÊNCIAS ABRAMO, Cláudio Weber. COM AS TRIPAS DE FORA. Caderno Opinião do Diário do Comércio, edição 01 a 03/06/2007. ACL, Manual 105 – Básico: FUNDAMENTOS DO ACL – Conceitos e Práticas. Tech Supply. São Paulo: 2005. ALLES, Michael G. et. al. CONTINUOUS DATA LEVEL AUDITING: Business Process Based Analytic Procedures in an Unconstrained Data Environment. Rutgers University, Newark: 2006. ALMEIDA, J.F. BÍBLIA SAGRADA. Versão revisada de acordo com os melhores textos em Hebraico e Grego. Imprensa Bíblica Brasileira, Rio de Janeiro: 1986. ALMEIDA, Maria da Conceição de. UM ITINERÁRIO DO PENSAMENTO DE EDGAR MORIN. Palestra no Ciclo de Estudos sobre 'O Método' de Edgar Morin, promovido pelo Instituto Humanitas UNISINOS. São Leopoldo, RS: 2004. ALVES, Ana Paula B. MAPEAMENTO DO MODELO CMMI À NORMA ISO/IEC 12207. Centro de Informática. Graduação em Ciência da Computação. Universidade Federal de Pernambuco. Outubro de 2007. AT&T Pesquisa. Economist Intelligence Unit. Set/2007. Disponível em: http://www.e- thesis.inf.br/index2.php?option=com_content&do_pdf=1&id=1974. Acesso em 09/02/2008. BALDAM, R. Tendências no Gerenciamento Integrado Documentos e Processos. Baldam et al (2007). Disponível em: http://www.gpntecnologia.com.br/downloads/palestras/040_Tendencias_no_Gerencia Acesso em 13/05/2008. mento_Integrado_de_documentos_e_processos.pdf Laboratório de Sistemas Avançados de Gestão. UFRJ. 2008 BARROS, Sarah. PETISTAS VÃO DISCUTIR FIM DE INDICAÇÃO POLÍTICA PARA JUDICIÁRIO. Site Último Segundo, Santafé Idéias, 25/05/2007.
  • 120 BUENO, F. Silveira. Minidicionário da Língua Portuguesa. Ed. revista e atualizada Helena Bonito C. Pereira e Rena Signer, São Paulo: FTD: LISA, 1996. CARDOSO, Rafael Cunha et al. UTILIZAÇÃO DE ONTOLOGIAS PARA PROSPECÇÃO DE OFERTAS NA WEB. Centro de Informática – Universidade Federal de Pernambuco (UFPE): Disponível em: http://inf.unisul.br/~ines/workcomp/cd/pdfs/2875.pdf Acesso em: 14/12/2007. CASANAS, Alex e MACHADO, Cesar. O IMPACTO DA IMPLANTAÇÃO DA NORMA NBR ISO/IEC 17799 – CÓDIGO DE PRÁTICA PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO - NAS EMPRESAS, UFSC/Módulo Security, Florianópolis: 2001. Celerant Consulting. Artigo Os Seis Mitos do Seis Sigma. Disponível em: Acesso em www.qualitas.com.br/noticias/doc/artigo_mitos_6_sigma.doc 10/02/2008. CHAUÍ, Marilena de Souza. O QUE É IDEOLOGIA. Brasiliense, 27ª Edição, São Paulo: 1988. COELHO, E. M. PROPOSTA DE METODOLOGIA PARA AVALIAÇÃO DOS WEBSITES DO GOVERNO FEDERAL. Brasília: maio/2001. EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS. PLANO ANUAL DE ATIVIDADES DE AUDITORIA INTERNA (PAAAI/PAINT). DAUDI/ECT, Brasília: versões 2006 e 2008. _________Boletim Técnico – nº. 160 e 169/2007 de 03 e 17/09/2007, respectivamente. Disponíveis na INTRANETECT. _________Boletim Técnico - 118/2007 – Participação dos Correios no crescimento do comércio eletrônico brasileiro. Disponível na INTRANETECT. FERNANDES, Jorge Cabral. COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes (jhcf@cic.unb.br), 2004.
  • 121 GALIMI, Joanne; ROSSER, Bill. A LACK OF LEADERSHIP, CULTURE, SKILLS AND GOVERNANCE STRUCTURES ARE HINDERING BPM SUCCESS FOR HEALTHCARE INSURERS. Gartner, April 2007. GHERMAN, Marcelo. COBIT – Integrando TI aos negócios – partes I e II. Apud Módulo Security Magazine DATA: 2005. GONÇALVES, Elisa. CONVERSAS SOBRE INICIAÇÃO À PESQUISA CIENTÍFICA. 4ª Edição, Alínea: 2005, 80p. GOVEKAR, Milind. USE FULL LIFE CYCLE MANAGEMENT TO REDUCE SOA DOWNTIME. Gartner: 2007. HERRERO, Emílio – BALANCED SCORECARD E A GESTÃO ESTRATÉGICA: Uma abordagem prática. Elsevier, Rio de Janeiro: 2005. HOPE, Jeremy. GESTÃO DE PROCESSOS COMO IMPULSIONADORA DO LUCRO. Disponível em: http://www.hsm.com.br/canais/coberturadeeventos/smpjeremy_hope2007/jerem yhope_pg01_190907.php?. Acesso em 09/02/2008. ISACA/QualiLog. TREINAMENTO PREPARATÓRIO PARA CERTIFICAÇÃO COBIT FOUNDATIONS. Agosto/2007. ITGI. INFORMATION TECHNOLOGY GOVERNANCE INSTITUTE. CONTROL OBJECTIVES, MANAGEMENT GUIDELINES, MATURITY MODELS FROM COBIT 4.0, ISBN 1-933284-37-4, 2007. _________Aligning COBIT, ITIL and ISO 17799 for Business Benefit. ITGI, Board Briefing on IT Governance, 2nd Edition, 2003. Artigo Disponível em: http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/AligningC OBIT,ITIL.pdf Acesso em: 09/02/2008. JANSSEN, Luis. FALTA TEMPO PARA CUIDAR DE TUDO. Processos & TI, pág.14, Informática Hoje, Ano 23, julho/2007. KANITZ, Stephen. A ORIGEM DA CORRUPÇÃO. Artigo publicado à página 21 da Revista VEJA, edição 1600, ano 32, nº 22, junho/1999.
  • 122 KAPLAN, R.; NORTON, David. MAPAS ESTRATÉGICOS: convertendo ativos intangíveis em resultados tangíveis. Ed. Elsevier / Campus, Rio de Janeiro: 2007. KIMURA et. al. AVALIAÇÃO DE DESEMPENHO EMPRESARIAL EM NOVOS AMBIENTES COMPETITIVOS ATRAVÉS DO BALANCED SCORECARD. IV SEMEAD. FEA/USP: 1999. LINDOW, Paul; RACE, Jill. BEYOND TRADITIONAL AUDIT TECHNIQUES, Journal AICPA, July 2002. Disponível em: of Accountancy On-Line. http://www.aicpa.org/pubs/jofa/jul2002/lindow.htm. Acesso em: 09/02/2008 LOPES, Cícero. O QUE É GOVERNANÇA CORPORATIVA. Revista iMASTERS, 2007. LOPES, Fabiana. A MATEMÁTICA DOS NEGÓCIOS. Revista B2B, ano 6, nº. 78, págs. 54 a 59, agosto/2007. MONTEIRO, Elaine da Silva. UM ESTUDO SOBRE MODELAGEM ORIENTADA A ASPECTOS BASEADA EM ASPECTJ E UML. Centro Universitário Luterano de Palmas: 2004. MORA, M. GOVERNO ELETRÔNICO E ASPECTOS FISCAIS: A Experiência Brasileira. Texto para discussão nº. 1089. IPEA/MPOG, Rio de Janeiro: maio/2005. MORELAND, J.P. e CRAIG, William Lane. FILOSOFIA E COSMOVISÃO CRISTÃ. Vários tradutores, São Paulo: Vida Nova, 2005. MOURÃO, Alice Diniz. SISTEMAS DE INFORMAÇÃO: Auditoria e Segurança de Sistemas. Faculdade Cenecista de Varginha: 2005. Disponível em: http://www.faceca.br/bsi/documentos/sas_completa.doc Acesso em: 14/12/2007. NEGREIROS, Luis. O PAPEL DO PMO NA GESTÃO DO CONHECIMENTO. PMInforma, Edição No. VI Brasília: Junho de 2007. NOGUEIRA, Marcelo. QUAL A IMPORTÂNCIA DA ADOÇÃO DA NORMA ISO 12207 NAS EMPRESAS DE DESENVOLVIMENTO DE SOFTWARE?
  • 123 Universidade Paulista (UNIP). X SIMPEP – Simpósio de Engenharia de Produção 10 a 12/11/2003. PAGLIARES, Rodrigo Martins. Apresentação Slides. Mestre em Ciência da Computação pela Universidade Federal de Santa Catarina – UFSC. Disponível em: http://www.pagliares.com.br/disciplinas/engSoftwareI/capitulo2/slides/slidesCapi tulo02.pdf Acesso em 06/02/2008, às 09h32min. PIMENTEL, Graça et al. CONCEITOS FUNDAMENTAIS DA ESTRUTURA DE ARQUIVOS (IV). Instituto de Ciências Matemáticas de São Carlos. Disponível em: http://www.icmc.usp.br/~sce183/Fsc5.htm. Acesso em: 09/02/2008. PINHEIRO, Walfrido Brito; MAGALHÃES, Ivan Luizio. GERENCIAMENTO DE SERVIÇOS DE TI NA PRÁTICA: Uma abordagem com base na ITIL. Editora Novatec, Brasília: 2007, 672 páginas. PMA. PROFESSIONAL MANAGEMENT. “GERENCIAMENTO DE PROJETOS: Utilizando PMBOK”. Nível básico, pág.20, 3ª edição: 2005. ROZADOS, Helen Beatriz Frota. USO DE INDICADORES NA GESTÃO DE RECURSOS DE INFORMAÇÃO. Revista Digital de Biblioteconomia e Ciência da Informação, ISSN: 1678-765X, Campinas, v. 3, n. 1, p. 60-76, jul./dez. 2005. SINOPSE RADIOBRAS. RESUMO DOS JORNAIS: Valor Econômico, Gazeta Mercantil e Jornal do Brasil, setembro/2007. SANTANA, Danilo. DAQUI A DEZ ANOS. Belo Horizonte: 1999. Disponível em http://www.jurisway.org.br/v2/verartigo_N.asp?idmodelo=976 Acesso em: Sete de dezembro 2006. SANT’ANNA, Silvio. A COSMOVISÃO DIALÉTICO-MATERIALISTA DA HISTÓRIA. IN: MARX, Karl; ENGELS, Friedrich. A Ideologia Alemã. São Paulo: Martin Claret, 2006, p.11-31. SANTOS, Marco Aurélio Gois dos. INTEGRAÇÃO NO SETOR PÚBLICO. DISPONÍVEL em: http://www.b2bmagazine.com.br/web/noticias_imprimir.asp?id_noticia=19462. Acesso às 15h20min de 27/06/2007.
  • 124 SEARCY, DeWayne L.; WOODROOF, Jon B. CONTINUOUS AUDITING: Leveraging Technology. The CPA Journal: May 2003. SEMLER, Ricardo. VIRANDO A PRÓPRIA MESA. ISBN: 85-7123-016-1. Ed. Best Seller, 21ª Edição. São Paulo: 1988. SILVA, Raul Corrêa da. FALTA ÉTICA OU AUDITORIA?. Artigo publicado no caderno A, Pág.3 da Gazeta Mercantil de 20/07/2005. SMITH, Michael. START PREPARING FOR POST-PROJECT EVALUATIONS WHEN DEVELOPING YOUR BUSINESS CASE, 2007. SOARES, Edileuza. PROTEÇÃO COM INTELIGÊNCIA. Security Review – Ano III, número 11 - 2007, pág.21 e 27. SOARES, Luiz. et al. REDES DE COMPUTADORES: Das LANs, MANs e WANs às Redes ATM. EMBRATEL, Campus, RJ, 1995. SOUZA, Silas Roberto de. Apostila MACROAVALIAÇÃO DE RISCO EM AUDITORIA INTERNA. ICAT-UniDF, Brasília: 2006. TCU. AVALIAÇÃO DO PROGRAMA GOVERNO ELETRÔNICO. Sumários Executivos. Nova Série. Disponível em: http://www2.tcu.gov.br/pls/portal/docs/PAGE/TCU/CONTROLE_EXTERNO/FIS CALIZACAO/TI/SUMARIO_GOVERNO_ELETRONICO.PDF Acessado em 19/11/2007 às 17:47h. _________Relatório Anual de Atividades TCU - 2007. Disponível em: http://www2.tcu.gov.br/pls/portal/docs/PAGE/TCU/PUBLICACOES/RELATORI OS_INSTITUCIONAIS/RELATORIOS_ATIVIDADE/RELATORIOS_ANUAIS/20 07_RELAT%C3%93RIO_ANUAL_DE_ATIVIDADES.PDF Acesso em:18/05/2008. THE INSTITUTE OF INTERNAL AUDITORS (IIA). NORMAS INTERNACIONAIS PARA O EXERCÍCIO PROFISSIONAL DA AUDITORIA INTERNA. Tradução autorizada para o Instituto dos Auditores Internos do Brasil – AUDIBRA, 2004, do original The Professional Practices – Framework, 1ª edição, Flórida (USA): 2002.
  • 125 YANCEY, Philip; BRAND, Paul. À IMAGEM E SEMELHANÇA DE DEUS: uma analogia entre o corpo humano e o corpo de Cristo. Tradução: James Monteiro dos Reis. Título original: In His image – ISBN 85-7367-7034, Editora Vida, São Paulo: 2003. WEILL, Peter; ROSS, Jeanne W. GOVERNANÇA DE TI: Tecnologia da Informação. ISBN:85-89384-78-0, Makron Books, 2005, 296 páginas.
  • 126 7. ANEXOS ANEXO A - Entrevista Sistematizada (Questionário – AUDIT). ANEXO B - Entrevista Sistematizada (Questionário – TI)
  • 127 ANEXO A - ENTREVISTA SISTEMATIZADA - AUDIT Disponibilidade de Acesso On-Line para monitoramento de Controles Internos na ECT (Self-Assessment) O propósito deste roteiro é coletar informações relevantes com alguns dos gestores-chave de TI e da Auditoria Interna da ECT para a elaboração de estudo de caso, objetivando compor a monografia de conclusão do curso de Pós-graduação em Auditoria Interna e Externa no ICAT/UniDF. Versão 4.0 11 de outubro de 2007 Qualquer informação confidencial deve ser preservada, devendo ser compartilhado apenas o que puder ser publicado e divulgado externamente à ECT. Havendo informações ou esclarecimentos adicionais que julgue relevante, favor anexar ao questionário.
  • 128 ANEXO A – Questionário - AUDIT Preenchido pelo gestor: as Coordenar as atividades de auditoria em Sumarize e Tecnologia da Informação Atribuições Passo 2 Responsabilidades de sua área: Relação % dos colaboradores certificados COSO, COBIT, CISA, ERM, etc. 0% COSO 0% COBIT 0% CISA de 0% ERM. versus total colaboradores da área. Obs.: Estão em processo de certificação CobIT Foundation 3 colaboradores da área de Auditoria Qual o % de implantação por 0% COSO 25% COBIT 0% CISA framework? 0% ERM Obs.: Foi contratada uma consultoria pela área de TI que trabalhou na identificação dos processos e no tratamento da maturidade de cada um dos processos em TI. (ver anexos) Passo 3 Como gestor V.Sa. (X) Estratégico • classifica sua atuação ( ) Tático • em que nível ( ) Operacional • organizacional? ( ) Outro (Especificar) • (Marque com um X a
  • 129 opção correspondente) Maturidade A área foi objeto de avaliação de Passo 4 Nível de maturidade? ( ) SIM (n ) NÂO. CMM: (Marque com um X a opção correspondente) Qual foi o diagnóstico + recente? ( ) 0 ( ) 1 ()2()3()4()5 do (Descrever os mecanismos de avaliação Quais processos framework e de controles para cada processo abaixo) COSO quais mecanismos de avaliação de controles estão Ambiente de Controle: internos implantados em sua Avaliação e Gerenciamento de Riscos: área/atividade? Atividade de Controle: Informação e Comunicação: Monitoramento:
  • 130 Obs.: Não existem processos nem mecanismos de avaliação de controles internos na área de auditoria com relação ao framework COSO. No entanto, a partir do ano 2000 foram envidados esforços no sentido de estruturar a auditoria de Tecnologia da informação na Empresa. Foram treinados auditores para viabilizar a empreitada. Os treinamentos foram baseados no framework CobIT. No ano de 2001 foi feito um planejamento de auditoria que previsse auditorias utilizando-se dos domínios do CobIT (Planejamento e Organização, Aquisição e Implantação, Entrega dos Serviços e Suporte e Monitoração). As auditorias foram realizadas com sucesso no ano de 2002. Posteriormente, coube à auditoria alavancar, junto à área técnica, a necessidade da utilização do framework CobIT como a estrutura que prevê a melhores práticas em nível mundial para o tratamento dos processos de TI. A área técnica comprou a idéia e, a partir do ano de 2004, aproximadamente, contratou-se uma consultoria para o levantamento e identificação de todos os processos de TI e a classificação do nível de maturidade de cada um dos processos identificados. do (Descrever os mecanismos de avaliação Quais processos framework ERM e quais de controles para cada processo abaixo) mecanismos de avaliação de controles estão Fundamentos de Risco: internos implantados em sua Identificação de Riscos: área/atividade? Controle de Riscos: Resposta aos Riscos: Avaliação e Monitoramento:
  • 131 Obs.: Para avaliação dos processos a serem auditados não é utilizado um framework ERM, as análises são feitas a partir das orientações da Chefia da Auditoria, quando da elaboração do Plano Anual de Atividades de Auditoria (PAAAI). Essas informações são Sim / Não Por que meios? processadas e ( X ) Relatórios impressos comunicadas às partes com Sim ( ) Hot site interessadas adequação e ( ) Outros (especificar) tempestividade? relatórios Sim / Não Especificar: Há gerenciais relativos ao framework ERM que da Não permitem revisão auditoria interna/externa? Obs.: Na fase de planejamento das auditorias, é elaborada uma macro-avaliação dos riscos. Objetiva-se a realização da micro- avaliação de riscos após a fase de trabalho de campo. de Planejamento __% Execução __% Passo 5 Qual o grau automatização de seus Relatórios __% Follow-up % 80 processos/atividades Outras__% internos? Obs.: Os processos na Auditoria são divididos em Planejamento, Trabalho de Campo, Relatório e Acompanhamento (follow-up). Todos os relatórios são elaborados a partir do editor de textos Word. Não posso precisar em termos percentuais tal grau de automatização. Existe fase de levantamento uma aplicação que acredito irá automatizar em torno de 95% dos processos/atividades internos na Auditoria.
  • 132 solução Sim / Não Especificar e detalhar os Há alguma resultados obtidos: automatizada que permita o acesso aos dados de interesse da Sim Tais ferramentas, entretanto, auditoria de forma não estão integradas. Devem integrada? (Ex.: ERP, existir esforços (Projeto de DataMining, Business integração) da área de Objects, etc.) Tecnologia e de Auditoria nesse sentido. A Auto-auditoria (Self- Sim / Não Especificar e detalhar os Passo 6 Assessment) resultados obtidos: em sua área utiliza ferramentas de Não automatizadas Temos a ferramenta ACL, (Ex.: ACL, suporte? porém não é utilizada para RiskManager, etc.) Auto-auditoria
  • 133 ANEXO B - ENTREVISTA SISTEMATIZADA - TI Disponibilidade de Acesso On-Line para monitoramento de Controles Internos na ECT (Self-Assessment) O propósito deste roteiro é coletar informações relevantes com alguns dos gestores-chave de TI e da Auditoria Interna da ECT para a elaboração de estudo de caso, objetivando compor a monografia de conclusão do curso de Pós-graduação em Auditoria Interna e Externa no ICAT/UniDF. Versão 4.0 08 de outubro de 2007 Qualquer informação confidencial deve ser preservada, devendo ser compartilhado apenas o que puder ser publicado e divulgado externamente à ECT. Havendo informações ou esclarecimentos adicionais que julgue relevante, favor anexar ao questionário.
  • 134 ANEXO B – Questionário - TI Preenchido pelo gestor: (Sumarize as Atribuições e Área/Organização: Responsabilidades de sua área) DITEC/ECT A Diretoria Tecnologia e de Infra-estrutura tem como missão coordenar as ações de tecnologia da informação e as ações de engenharia, objetivando dar o devido suporte tecnológico ao modelo de negócios e ao modelo operacional da Empresa, bem como propor a inserção de novas tecnologias, como fruto de um trabalho de prospecção, identificação e adaptação dessas tecnologias para o ambiente da ECT. possui Sim / Não Seu pessoal certificação COBIT, ITIL, Passo 2 etc. Sim Relação % dos colaboradores Quantidade de colaboradores com certificados COBIT, ITIL, certificação na DITEC: etc. versus total de colaboradores da área. 25 COBIT 30 ITIL Qual o % de implantação por 20 % COBIT 20 % ITIL framework?
  • 135 Obs.: Difícil dizer o percentual de “implantação” dos frameworks, visto que eles não são frameworks que ditam regras, mas apenas sugestões de melhores práticas que devem ser adaptadas à realidade da empresa. Como gestor V.Sa. ( ) Estratégico • classifica-se em que ( ) Tático • nível organizacional? ( ) Operacional • ( ) Outro (Especificar) • (Marque com um X a opção correspondente) Maturidade A área foi objeto de avaliação de Passo 3 Nível de maturidade? ( ) SIM (X) NÂO. CMM: (Marque com um X a opção correspondente) Qual foi o diagnóstico + recente? ( ) 0()1()2()3()4()5 Obs.: A DITEC segue a metodologia interna do PSPO para Sistemas. Passo 4 Descreva o estágio atual de implantação das melhores práticas ITIL em sua organização: Projeto de Serviços e Gerenciamento de Processos (SLA, gerência de segurança, gerência de disponibilidade e contingência, relatórios de serviço, gerência de capacidade e gerência financeira) Processos de Controle (Gerência de ativos e de configuração) Processos de Liberação (Gerência de Mudanças) Processos de Suprimento (gerência de relacionamento com clientes e gerência de suprimentos) Processos de Resolução (gerência de incidentes e de problemas)
  • 136 Obs.: Estamos em fase de implantação das Gerências de Incidentes, Problemas, Configuração e Mudanças, além da função Service Desk. Quais dos 34 Processos (Descrever cada processo do COBIT 4.0 e quais os implantado e os controles internos correspondentes) controles respectivos estão implantados em sua Planejamento e Organização área/atividade, para Aquisição e Implantação cada perspectiva? Entrega e Suporte Monitoração e Avaliação Obs.: Todos os 34 processos e respectivos objetivos de controle que têm observância nas atividades da ECT estão implantados na DITEC. Alguns com maior, outros com menor maturidade. Esses controles utilizam Sim / Especificar o grau de de Não integração com ERP: algum tipo ferramenta automatizada de Não Há uma iniciativa em monitoramento? disponibilizar os processos operacionais das áreas em DW. Há relatórios gerenciais Sim / Especificar (inclusive a que permitem revisão Não periodicidade): da auditoria?