"Não acredito em auto-auditoria. Isso é coisa de Comunista."
Foi o que me disse o general, novo coordenador do curso, ao conceder-me o autógrafo de aprovação.
Respondi-lhe que o Apóstolo Paulo, bem antes do advento do comunismo, já havia escrito em I Corintios 11:31, o seguinte: "Porque, se nós nos julgássemos a nós mesmos, não seríamos julgados."
3. Adauto da Costa Santos
A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE
CONTROLE INTERNO:
O CASO CORREIOS
Trabalho de final de curso apresentado à
Coordenadoria de Pós-Graduação do
Instituto de Cooperação e Assistência
Técnica, da Associação de Ensino
Unificado do Distrito Federal, para obtenção
do grau de Especialista.
Área de concentração:
Auditoria Interna e Externa
Orientador
Prof. Alfram Rodrigues Albuquerque
Coordenador
Prof. Luciano Phaelante Casales
Brasília
2008
i
4. SANTOS, Adauto da Costa.
A auto-auditoria integrada como ferramenta eficaz de controle interno: O
caso Correios / Adauto da Costa Santos.
Brasília: 2008.
150 f.; 30 cm.
Orientação: Alfram Rodrigues Albuquerque.
Trabalho de conclusão de curso apresentado à Coordenadoria de Pós-
Graduação do Instituto de Cooperação e Assistência Técnica, da
Associação de Ensino Unificado do Distrito Federal, para obtenção do grau
de Especialista. ICAT / UniDF Brasília, DF. 2008.
Inclui anexos e bibliografia.
1. Auditoria Interna e Externa 2. Tecnologia da Informação 3.
Governança Corporativa. 4. Auto-auditoria. 5. Processo. 6.
Conformidade. 7. Correios do Brasil. I. Título.
ii
5. Adauto da Costa Santos
A AUTO-AUDITORIA INTEGRADA COMO FERRAMENTA EFICAZ DE CONTROLE
INTERNO:
O CASO CORREIOS.
TERMO DE APROVAÇÃO
Trabalho de final de curso considerado
adequado para obtenção do grau de
Especialista Docente, apresentado à
Coordenadoria de Pós-Graduação do
Instituto de Cooperação e Assistência
Técnica, da Associação de Ensino
Unificado do Distrito Federal.
Área de concentração:
Auditoria Interna e Externa
____________________________________________
Prof. Alfram Rodrigues Albuquerque (Orientador)
____________________________________________
Prof. Luciano Phaelante Casales (Coordenador)
____________________________________________
Profª Elizabeth Danziato Rego
____________________________________________
Prof. Geraldo Magela Lopes de Freitas
Brasília
2008
iii
6. Agradecimentos
Ao Deus Criador, ao seu filho Jesus Cristo: o Senhor, e ao Espírito Santo:
Consolador; Trindade que, em perfeita simbiose, preserva-me com saúde,
disposição e inteligência, dons estes aplicados na aquisição de, mais que mero
conhecimento, sabedoria para conviver bem e servir cada vez melhor.
A minha família, cuja renúncia e compreensão permitiram-me a tranqüilidade
necessária a mais esta realização. Homenageio especialmente a minha mãe Ruth
da Costa Santos, conduzida ao Paraíso a dois dias de completar 73 anos de total
dedicação à família e à prática da fé e dos valores cristãos que me legou.
À Empresa Brasileira de Correios e Telégrafos (ECT), na pessoa do seu Auditor-
Chefe, Prof. Silas Roberto de Souza, cujo patrocínio tornou possível esta
capacitação.
Aos Professores Alfram Rodrigues Albuquerque, Elizabeth Danziato Rego e Geraldo
Magela Lopes de Freitas, cuja disponibilidade e competente orientação apuraram,
além deste trabalho acadêmico, a própria percepção deste estudante quanto à
relevância do objeto em estudo e suas implicações acadêmicas e profissionais.
Aos demais mestres, colegas e pessoal de apoio do ICAT/UniDF, cuja convivência
por cerca de um ano e meio proporcionou-me oportunidades preciosas de
crescimento pessoal.
iv
7. ABSTRACT
It deals with self-assessment1 as being the primary tool to evaluate the managers’
achievement of their first commitment, which is to implement controls over
organizational processes, by using Information Technology resources in an
integrated and convergent approach, to assure the effectiveness on reaching the
strategic objectives of the Institution. Those resources, if selectively incorporated to
the organizational environment, can give automatic feedbacks with relevant risk
assessment inputs to those managers in general and, particularly, to Internal Auditors
at the Institution, due to build up the risk matrix, which is the main feature of the
auditing planning process. The problem to solve is to know if there are alternatives
available for the self-assessment process automatization to shorten the gap between
non-compliance audit findings, its consequences and the timely required actions
(preventive or corrective) to mitigate the hazards and losses suffered by the
organization. The objective is to characterize IT solutions which fulfill timely
achievement of consistent results of on-site self-assessment, giving greater
assurance to IT auditing and corporative governance at Brazilian Post Office (ECT).
The adopted methodology starts with descriptive bibliographic quotations, evolves to
field work supported by semi-structured interviews and questionnaires applied to key
managers of IT and Internal Auditing areas of ECT, as well as related data collected
on specialized bibliography like: technical magazines, folders, prospects,
presentations, courses and events concerned to the subject.
Descriptors: Internal and External Auditing. Information Technology. Corporative
Governance. Self-assessment. Process. Compliance. Brazilian Post.
1 Self-assessment noun [C or U] a judgment, sometimes for official purposes, which you make about
your abilities, principles or decisions. Assess verb [T] to judge or decide the amount, value, quality or
importance of something: (from Cambridge Advanced Learner's Dictionary).
v
8. RESUMO
Aborda-se a auto-auditoria como um instrumento de avaliação do compromisso
prioritário dos gestores: implantar controles sobre os processos organizacionais, por
meio da utilização dos recursos tecnológicos de modo integrado e convergente, com
vistas a assegurar a consecução dos objetivos estratégicos da instituição. Tais
recursos, se seletivamente incorporados ao ambiente organizacional, podem ofertar
retornos automáticos com informações de risco aos próprios gestores em geral e,
em particular, aos auditores internos da instituição, subsidiando a elaboração da
matriz de risco, que é o principal elemento do processo de planejamento de
auditoria. O problema a resolver é saber se há alternativas de automatização do
processo de auto-auditoria2 que diminuam o fosso existente entre a ocorrência do
fato em desconformidade, a constatação de suas conseqüências e a adoção
tempestiva de providências, preventivas ou corretivas, que minimizem os danos e
prejuízos suportados pela organização. O objetivo é caracterizar soluções de
Tecnologia da Informação que viabilizem a obtenção tempestiva de resultados
consistentes das auto-auditorias setoriais, conferindo maior efetividade às auditorias
de TI e à Governança Corporativa na ECT. A metodologia adotada parte da
pesquisa bibliográfica descritiva e contempla levantamentos de campo por meio de
entrevistas semi-estruturadas, suportadas por questionários dirigidos aos gestores-
chave das áreas de TI e de Auditoria Interna da ECT, bem como informações
colhidas em bibliografia especializada tais como: revistas técnicas, apostilas, folders,
prospectos, palestras, cursos e eventos relacionados ao tema.
Palavras-chave: Auditoria Interna e Externa. Tecnologia da Informação. Governança
Corporativa. Auto-auditoria. Processo. Conformidade. Correios do Brasil.
Auto-auditoria é um julgamento, algumas vezes para propósitos oficiais, que você faz acerca de
2
suas próprias habilidades, princípios ou decisões (Tradução livre do Dicionário Cambridge do
Aprendiz Avançado).
vi
9. Na Auditoria conhecemos a empresa ‘como realmente é, não
como nos dizem que é’ (informação verbal). 3
A palavra Imagem é hoje conhecida de todos nós, mas o
significado se perdeu de tal forma que agora significa
praticamente o oposto do significado original, ‘semelhança’.
Hoje, um político contrata um consultor de imagem, um
candidato a emprego se veste para ter uma boa imagem, uma
empresa procura a imagem certa. Em todos esses casos, o
termo ‘imagem’ significa a ilusão de algo que aparenta ser, em
lugar da essência do que realmente é. (BRAND, 2003).
3
Citação do Prof. Silas Roberto de Souza, Auditor-Chefe da ECT, durante aula no ICAT/UniDF,
parafraseando MARX, Karl; ENGELS, Friedrich. A Ideologia Alemã. São Paulo: Martin Claret,
2006.
vii
10. Sumário
1. INTRODUÇÃO................................................................................................................ 1
1.1. OBJETIVO GERAL ............................................................................................................. 7
1.2. OBJETIVOS ESPECÍFICOS .................................................................................................. 8
1.3. PROBLEMA....................................................................................................................... 8
1.4. HIPÓTESE......................................................................................................................... 8
1.5. METODOLOGIA ................................................................................................................. 9
1.5.1. RESULTADOS ESPERADOS ..................................................................................................... 9
2. FUNDAMENTAÇÃO TEÓRICA.................................................................................... 11
2.1 CONCEITOS BÁSICOS....................................................................................................... 11
2.1.1 CATEGORIAS:......................................................................................................................... 12
2.1.2 ONTOLOGIAS ......................................................................................................................... 12
2.1.3 ORIENTAÇÃO AO OBJETO – UMA APLICAÇÃO DAS CATEGORIAS ........................................... 14
2.1.4 ANÁLISE DE DADOS ............................................................................................................... 15
2.1.5 GOVERNANÇA CORPORATIVA................................................................................................ 17
2.1.6 AUDITORIA E AUTO-AUDITORIA.............................................................................................. 20
2.1.7 GOVERNANÇA DE TI .............................................................................................................. 26
2.1.8 BALANCED SCORECARD (BSC®) ......................................................................................... 28
2.1.9 A MÉTRICA E OS SISTEMAS DE MENSURAÇÃO ...................................................................... 32
2.1.10 OUTROS CONCEITOS (ITIM, ITSM, ITIL®, PRINCE, MSP, M_O_R)................................. 34
2.2 CONTEXTO HISTÓRICO E EVOLUÇÃO PROGRESSIVA DA GOVERNANÇA ............................... 49
2.2.1 EVOLUÇÃO DA FUNÇÃO DE TI DENTRO DAS ORGANIZAÇÕES................................................. 52
2.3 OS PADRÕES NACIONAIS E INTERNACIONAIS DE CONFORMIDADE EM TI ............................. 56
2.3.1 OS PADRÕES PARA DESENVOLVIMENTO DE SOFTWARE ........................................................ 57
2.3.2 LEI SARBANNES-OXLEY......................................................................................................... 58
2.3.3 O PADRÃO FINANCEIRO - BASILÉIA ..................................................................................... 59
2.3.4 O PADRÃO DE AVALIAÇÃO DOS CONTROLES INTERNOS ....................................................... 61
2.3.5 O PADRÃO PARA GOVERNANÇA DE TI .................................................................................... 64
2.3.6 OS PADRÔES DE SEGURANÇA DA INFORMAÇÃO.................................................................... 70
2.3.7 PADRÃO DE MATURIDADE ORGANIZACIONAL EM GERENCIAMENTO DE PROJETOS (OPM3) 75
viii
11. 2.3.8 O PADRÃO PARA GERENCIAMENTO DE RISCOS (ERM).......................................................... 77
2.3.9 O PADRÃO PARA GESTÃO DO CONHECIMENTO (GED E WORKFLOW) .................................. 78
3. CONTEXTO ATUAL ..................................................................................................... 81
3.1 TENDÊNCIAS TECNOLÓGICAS ........................................................................................... 81
3.1.1 VIRTUALIZAÇÃO ..................................................................................................................... 82
3.1.2 CONVERGÊNCIA..................................................................................................................... 82
3.1.3 OFFSHORE DE TI ................................................................................................................... 82
3.1.4 INFORMAÇÃO INTELIGENTE.................................................................................................... 82
3.1.5 SERVIÇOS GERENCIADOS ..................................................................................................... 83
3.2 INTEGRAÇÃO DE FRAMEWORKS........................................................................................ 84
3.3 O CASO ECT................................................................................................................... 90
3.3.1 ESTRUTURA ORGANIZACIONAL.............................................................................................. 91
3.3.2 GOVERNANÇA DE TI NA ECT................................................................................................. 95
3.3.3 AUTO-AUDITORIA NA ECT ..................................................................................................... 99
3.3.4 GESTÃO DE PROCESSOS NA ECT ....................................................................................... 102
4. POSSIBILIDADES...................................................................................................... 111
4.1 AUDITORIA REMOTA ...................................................................................................... 111
4.2 APROVEITAMENTO DE SOLUÇÕES TECNOLÓGICAS........................................................... 112
4.3 IMPLANTAÇÃO DO FRAMEWORK ERM ............................................................................ 113
4.4 APROVEITAMENTO DA CAMADA DE INTEGRAÇÃO NA AUTOMATIZAÇÃO DOS PROCESSOS DE
AUDITORIA INTERNA....................................................................................................... 113
4.5 ALINHAMENTO AO PROGRAMA NACIONAL DE GESTÃO PÚBLICA E DESBUROCRATIZAÇÃO
(GESPÚBLICA)........................................................................................................... 114
5. CONCLUSÃO............................................................................................................. 116
6. REFERÊNCIAS .......................................................................................................... 119
7. ANEXOS..................................................................................................................... 126
ANEXO A - ENTREVISTA SISTEMATIZADA - AUDIT............................................................... 127
ANEXO B - ENTREVISTA SISTEMATIZADA - TI ...................................................................... 133
ix
12. Lista de Siglas
ASL - Application Services Library.
BI - Business Intelligence.
BPMNS – Business Process Management Network System.
BSC – Balanced ScoreCard.
ECT – Empresa Brasileira de Correios e Telégrafos.
CIO – Chief Information Officer.
CITEX - Centro de Informática do Exército.
COBIT - Control Objectives for Information and related Technology.
COSO - Comitê das Organizações Patrocinadoras da Comissão Treadway.
CMM – Capability Maturity Model.
CMMI – Capability Maturity Model on Information.
CRM – Costumer Relationship Management.
DCT - Departamento de Correios e Telégrafos.
DIS – Decision Information System.
DSDM - Dynamic Systems Development Method.
DW – Data Warehouse.
ERM – Enterprise Risk Management.
ERP – Enterprise Resource Planning.
GESPÚBLICA - Programa Nacional de Gestão Pública e Desburocratização
H/H – Hora-Homem.
IIA – Institute of Internal Auditors.
x
13. IDC – Instituto de Defesa do Consumidor
IP – Internet Protocol.
ISACA - Information Systems Audit and Control Association
ISPL - Information Services Procurement Library.
ITGI – Information Technology Governance Institute.
MIS – Management Information System.
ONU – Organização das Nações Unidas.
OPM3 - Organizational Project Management Maturity Model.
PAAAI - Plano de Atividades de Auditoria Interna.
PI - Propriedade Intelectual.
PMI – Project Management Institute
PMMM – Project Management Maturity Model
PMO – Project Management Office.
ROI – Return over Inversion.
SI - Segurança da Informação.
Sintegra - Sistema Integrado de Informações Fiscais sobre Operações Interestaduais
com Mercadorias e Serviços.
SPB - Sistema de Pagamentos Brasileiro.
SRF/MF – Secretaria da Receita Federal do Ministério da Fazenda.
SOA – Service Oriented Architecture.
SOX – Sarbanes-Oxley.
TI – Tecnologia da Informação.
VoIP – Voice over Internet Protocol.
xi
14. Lista de TABELAS
TABELA 1: PRINCIPAIS BENEFÍCIOS (TCU, 2007)
TABELA 2: AUDITORIA: ABORDAGEM TRADICIONAL VERSUS PROGRESSIVA
TABELA 3: REFERÊNCIAS INTERNACIONAIS E PRINCIPAIS CARACTERÍSTICAS ASSOCIADAS
TABELA 4: FOCO ESTRATÉGICO E ESTRUTURA ORGANIZACIONAL
TABELA 5: MATRIZ GUT
xii
15. Lista de FIGURAS
FIGURA 1: CLASSE, OBJETOS E ATRIBUTOS (PIMENTEL, 2007)
FIGURA 2: FISCALIZAÇÕES CONCLUÍDAS POR INICIATIVA (TCU, 2007)
FIGURA 3: HISTÓRICO DOS MONTANTES DAS COBRANÇAS EXECUTIVAS ENCAMINHADAS AOS
ÓRGÃOS EXECUTORES (TCU, 2007).
FIGURA 4: DIAGRAMA BALANCED SCORECARD (KAPLAN, 2007)
FIGURA 5: DIAGRAMA ITIL (OGC, 2007)
FIGURA 6: RELACIONAMENTOS ENTRE ISO/IEC 12207, ISO/IEC 15504, CMMI E MPS.BR
(ALVES, 2007)
FIGURA 7: RELACIONAMENTOS ENTRE INFORMAÇÃO E ATORES INTERESSADOS
FIGURA 8: O CUBO COBIT
FIGURA 9: PROCESSO GERAL DE AUDITORIA
FIGURA 10: INTEGRAÇÃO DOS FRAMEWORKS
FIGURA 11: TI COMO HABILITADOR DO NEGÓCIO
FIGURA 12: ARQUITETURA DE EXCELÊNCIA DOS PROCESSOS DO NEGÓCIO
FIGURA 13: CONTEXTO DA GOVERNANÇA DE TI NA ECT (SOUZA N., 2007)
FIGURA 14: ESTRUTURA DE TI NA ECT
FIGURA 15: CONTEXTO DA GOVERNANÇA DE TI NA ECT
FIGURA 16: MAPEAMENTO BSC CORPORATIVO-COBIT-BSC DA TI
FIGURA 17: PROCESSO
FIGURA 18: MODELO (SISTEMOGRAFIA) DE IMPLANTAÇÃO DE PROCESSO NA ECT
FIGURA 19: PROCESSO DE IMPLANTAÇÃO DA GESTÃO DE PROCESSOS NA ECT
xiii
16. 1
1. INTRODUÇÃO
É de domínio público que os brasileiros, historicamente, estão vulneráveis aos
desvios éticos e à impunidade de prepostos políticos em todos os níveis, sem que os
cidadãos e as instituições disponham de instrumentos que viabilizem um Controle
Social efetivo.
Embora o Estado já disponha de uma infra-estrutura tecnológica de vanguarda, cujo
potencial pode favorecer a transparência na gestão dos recursos auferidos da
sociedade, a inclusão digital ainda é um recurso disponível apenas a uma parcela
ínfima da sociedade brasileira, de acordo com estimativa do IBOPE (Instituto
Brasileiro de Opinião Pública e Estatística)/NetRatings (IBOPE, 2004).
O número de internautas brasileiros cresceu significativamente nos
últimos anos – de 14,3 milhões para 20,5 milhões de usuários
domiciliares potenciais (pessoas que moram em domicílios que
possuem pelo menos um computador com acesso à Internet)4.
Apesar disso, sua densidade ainda é baixa em comparação aos
países mais avançados, mesmo sendo similar à dos países vizinhos
(Apud TCU, 2006).
Neste contexto, várias iniciativas de governança eletrônica vêm sendo
implementadas desde o final da década de 1980, nas esferas Federal, Estadual e
Municipal, apresentando resultados plenamente favoráveis para o lado da
administração das origens e fontes de recursos, tais como:
Sistema de Pagamentos Brasileiro (SPB);
Programa de Reestruturação Fiscal da Secretaria da Receita Federal do
Ministério da Fazenda;
Sistema Integrado de Informações Fiscais sobre Operações Interestaduais
com Mercadorias e Serviços (Sintegra);
Além do desenvolvimento de aplicativos afins, peculiares às prefeituras municipais e
distritais, há também o advento do Governo Eletrônico (e-Gov), cujos pontos
4
Essa estimativa é feita com base em ‘um conjunto de indicadores, incluindo levantamentos
telefônicos trimestrais sobre o uso da Internet no Brasil, assim como outras pesquisas do Grupo
IBOPE e dados governamentais, combinando a penetração de linhas telefônicas nos domicílios,
posse de computadores, número médio de usuários por computadores e número médio de
residentes em casas com linhas telefônicas fixas’ (IBOPE, 2004 Apud TCU, 2006).
17. 2
positivos revelaram-se um importante instrumento no processo de modernização do
Estado.
De acordo com o Terceiro Fórum Global em Reinvenção do Governo
[ONU/ASPA (2001)], ocorrido em 2001, há um consenso quanto ao
potencial do governo eletrônico no sentido de melhorar a qualidade
de vida dos cidadãos (com uma redução de custos e tempo
despendidos), fortalecer a capacidade institucional (com a melhora
na oferta de serviços, a redução da corrupção através de maior
transparência e controle social) e desempenhar o papel de
disseminador das novas tecnologias entre a sociedade civil e a
empresarial (COELHO, 2001).
No entanto, a conscientização e o aparelhamento do cidadão para o controle efetivo
dos usos e abusos financeiros e orçamentários, por via de instituições públicas ou de
organizações não governamentais, ainda é um dos desafios para a promoção e a
democratização da justiça social no Brasil.
Conquanto as questões da problemática nacional já ocupem as mentes de
estudiosos e os espaços midiáticos do cotidiano, os desafios propostos por um
horizonte global de incertezas multiplicam-se no contexto prático carente de
instrumentos efetivos de controle, especialmente na esfera da Administração
Pública.
[...] No plano administrativo, que é quase sempre esquecido quando
se discute a corrupção, em grande parte das instituições falta quase
tudo, de carreiras estáveis a gente qualificada e a sistemas
gerenciais minimamente organizados. Quando se desce do plano
federal aos planos estadual e municipal, o que mais se encontra são
desertos em que nada floresce e a incompetência domina,
juntamente com sua aliada mais natural, a picaretagem. O que os
escândalos mostram é que o Estado brasileiro carece urgentemente
de reforma, tanto institucional quanto gerencial. Quais serão as
chances de isto acontecer? Infelizmente, não parecem muito
grandes. Não falta quem afirme que tudo se resolverá com uma
reforma política. Essa é conversa fiada [...] (ABRAMO, 2007).
Em face do recrudescimento de necessidades complexas e plurais, há limitação de
recursos que permitam real incremento de produtividade e satisfação profissional, o
que requer o uso otimizado do potencial das ferramentas disponíveis.
No contexto da atividade de auditoria, salvo melhor juízo, a análise dos riscos das
organizações ainda é feita muito a posteriori, por meio de relatórios de auditoria cuja
palavra-chave, invariavelmente, é: constatou-se.
18. 3
Decorrido um longo tempo da constatação de ocorrências de desconformidade ou
desvios de finalidade, apontam-se fatos já consumados com pouca ou nenhuma
possibilidade de reversão de seus efeitos daninhos sobre a continuidade dos
negócios.
Neste contexto é que, referindo-se aos eventos desencadeados pelas denúncias
envolvendo agentes públicos que resultaram na instalação da CPI dos Correios, o
autor do artigo “Falta ética ou auditoria?” (SILVA, 2005) afirma que a função da
auditoria não se restringe à aferição de normas contábeis.
Segundo SILVA (2005), o conceito de auditoria envolve o acompanhamento da
administração empresarial como um todo, por meio da verificação dos fatos e seu
relato posterior a quem solicita o trabalho, do proprietário ou conselheiro da
empresa, bem como do gestor público.
Instrumentos de auditoria estão disponíveis para análise e correção, tais como
revisão analítica, análise de demonstrações financeiras, de “business plan”, de
saldos e repasses, tanto em instituições públicas quanto religiosas, com vistas a
proporcionar segurança e transparência aos interessados (stakeholders, ou seja:
empresário, clientes, investidores, instituições públicas e sociedade).
No entanto, há carência de material humano qualificado no Brasil, haja vista a
desproporção, por exemplo, entre os 12.800 auditores brasileiros (1/14.720
habitantes) e os auditores holandeses (1/1.000 habitantes) (SILVA, 2005).
A falta de fiscalização eficaz acaba por estimular o agravamento do quadro
econômico e ético da sociedade brasileira, manipulado por oportunistas públicos e
privados. Qualquer instituição que movimente recursos expressivos deveria ser alvo
de uma auditoria.
A falta de uma cultura de auditoria preventiva e recorrente favorece ações pontuais
associadas ao apontamento de problemas a posteriori, ou seja, quando já não há
como evitar o prejuízo.
É hora de aproveitar a oportunidade e utilizar os mecanismos disponíveis que
garantam o conhecimento da realidade para agir sobre ela, abandonando posturas
19. 4
laissez-faire e atuando proativamente na validação dos acertos e na correção dos
erros, bem como na incorporação das melhores práticas regulatórias, como aquelas
adotadas pela França, cuja legislação obriga a análise de balanço por duas
empresas de auditoria independentes (SILVA, 2005).
Trata-se de uma abordagem realista de quem não apenas registra, desconfiado, os
atos e os fatos ocorridos, mas assume uma postura de transformação da realidade
fática, pela incorporação do aprendizado contínuo à cultura empresarial e social.
Já para KANITZ (1999), no caso brasileiro, a corrupção é histórica e tem aval na
definição estrutural das prioridades, por exemplo, as educacionais.
Durante os anos da ditadura, quando a liberdade de imprensa e a
auditoria não eram prioridade, as verbas da educação foram
redirecionadas para outros cursos. Como conseqüência, aqui temos
doze economistas formados para cada auditor, enquanto nos
Estados Unidos existem doze auditores para cada economista
formado. Para eliminar a corrupção teremos de redirecionar
rapidamente as verbas de volta ao seu devido destino, para que
sejamos uma nação que não precise depender de dedos-duros ou
genros que ‘botam a boca no trombone’, e sim de profissionais
competentes com uma ética profissional elaborada.
Países avançados colocam seus auditores num pedestal de
respeitabilidade e de reconhecimento público que garante a sua
honestidade. Na Inglaterra, instituíram o Chartered Accountant. Nos
Estados Unidos, eles têm o Certified Public Accountant. Uma mãe
inglesa ou americana sonha com um filho médico, advogado ou
contador público. No Brasil, o contador público foi substituído pelo
engenheiro.
Bons salários e valorização social são os requisitos básicos para
todo sistema funcionar, mas no Brasil estamos pagando e falando
mal de nossos fiscais e auditores e nem ao menos treinamos nossos
futuros auditores. Nos últimos nove anos, os salários dos nossos
auditores públicos e fiscais têm sido congelados e seus quadros
reduzidos - uma das razões do crescimento da corrupção. Como o
custo da auditoria é muito grande para ser pago pelo cidadão
individualmente, essa é uma das poucas funções próprias do Estado
moderno. Tanto a auditoria, como a fiscalização, indo dos alimentos
à segurança de aviões até os direitos do consumidor e aos direitos
autorais.
O capitalismo remunera quem trabalha e ganha, mas não consegue
remunerar quem impede o outro de ganhar roubando. Há quem diga
que não é o papel do Estado produzir petróleo, mas ninguém discute
que é sua função fiscalizar e punir quem mistura água ao álcool. Não
serão intervenções cirúrgicas (leia-se CPI), nem remédios potentes
(leia-se códigos de ética), que irão resolver o problema da corrupção
no Brasil. Precisamos da vigilância de um poderoso sistema
imunológico combatendo a infecção no nascedouro, como acontece
20. 5
nos países considerados honestos e auditados. Portanto o Brasil não
é um país corrupto. É apenas um país pouco auditado (KANITZ,
1999)
Para superação deste legado fatídico, além da formação de Auditores, a tecnologia
deve ser agregada ao gerenciamento dos processos, pois tende a favorecer a
ampliação do escopo a ser avaliado, com utilização ótima dos recursos disponíveis,
potencializando ações mais abrangentes e mais tempestivas.
Para viabilizar o acesso direto, e em tempo real, às informações corporativas de
interesse da Auditoria em uma empresa do porte da Empresa Brasileira de Correios
e Telégrafos (ECT), por que não aproveitar ao máximo o advento das novas
tecnologias e a crescente tendência por integrá-las?
Considerando-se as importantes limitações à efetividade dos trabalhos realizados
em todo o território nacional, quais sejam: capilaridade e dispersão geográfica de
abrangência continental e inversamente proporcional à efetividade dos sistemas de
controle interno, bem como a precária proporção entre os cerca de 40 auditores
internos e os cerca de 100 mil colaboradores, dos quais 80% atuando em nível
operacional, este parece ser um questionamento pertinente.
Tal contexto abre a possibilidade de sondagem das alternativas de diminuição da
defasagem existente entre o fato e suas conseqüências, propiciando a adoção
tempestiva de providências, preventivas ou corretivas, que minimizem os danos e
prejuízos suportados pela organização, possibilitando maior agilidade aos processos
de Controle Interno e de Tomada de Contas Especiais.
SANTOS (2007) avalia a relevância dessa questão nos seguintes termos:
O governo tem em suas mãos informações e ativos que são de
importância vital por estarem diretamente ligados à vida dos
cidadãos. A necessidade de gerenciar todo esse universo começa a
abrir os olhos de alguns gestores para a necessidade de sistemas
integrados. Esses pioneiros começam a perceber que o investimento
num sistema desse porte, que pode ser bastante alto, tem retorno
garantido. Não só financeiro: traz benefícios em termos de agilidade
e transparência, duas características que são muito cobradas pela
população e que, sem dúvida, geram votos.
Além da carência a ser suprida, a estabilidade econômica também
faz com que se pense em investir em tecnologia para aprimorar os
processos no setor público. ‘Todas as propostas que recebemos são
de órgãos e autarquias que nunca tiveram um sistema de gestão, é
21. 6
só projeto novo’, diz Monteiro. ‘Com a estabilidade, esses órgãos
começam a direcionar verbas para atualização tecnológica’.
A mudança é bem-vinda, e chega em boa hora. Só a Totvs5 trabalha
hoje em 40 projetos de sistemas integrados para órgãos públicos,
número 30% maior do que o que havia há um ano. A empresa conta
hoje com uma equipe de quatro pessoas dedicada exclusivamente a
projetos no governo. Marcelo Monteiro vê essas mudanças na
empresa como um reflexo da mudança de mentalidade do setor
público. Ao longo dos próximos três ou quatro anos, estima o
executivo, a estabilidade e as pressões por controles mais eficazes e
maior transparência levarão o mercado cada vez mais para esse
caminho. Esperamos que assim seja. (SANTOS, 2007).
Busca-se, neste trabalho, caracterizar a viabilidade da agregação convergente dos
fatores tecnológicos disponíveis ao recém institucionalizado processo de auto-
auditoria na ECT, conforme preconizado no subitem 9 do item 1 do Plano Anual de
Atividades de Auditoria Interna (PAINT 2008).
Tais fatores são, genericamente, os seguintes:
a) os padrões e sistemas integrados de gerenciamento das informações;
b) os modelos automatizados de gestão do conhecimento (comunidades virtuais de
práticas, fóruns de discussão eletrônica, teleconferência, etc.);
c) as ferramentas automatizadas de suporte aos processos decisório e de negócios.
A questão que se apresenta é: será possível aproveitar o advento das novas
tecnologias e metodologias de governança para viabilizar a implantação de soluções
automatizadas de monitoramento contínuo das auto-auditorias?
Na busca por uma resposta positiva, serão focalizados os aspectos relacionados à
análise de métodos, práticas e ferramentas automatizadas, disponíveis na ECT, que
permitam o monitoramento contínuo dos processos gerenciais em nível corporativo.
Vislumbra-se, assim, uma oportunidade de contribuição efetiva ao processo de
controle interno da ECT, diante da veloz obsolescência do conhecimento, principal
ativo da instituição e o mais vulnerável diante da ameaça constante de evasão do
capital intelectual.
5
Fornecedor de Sistema Integrado de Informações Gerenciais (ERP), líder de mercado no Brasil,
conforme pesquisa da FGV reproduzida à página 57 deste trabalho.
22. 7
Portanto, a motivação para elaboração desta monografia, mais que o cumprimento
de um requisito curricular, apresenta-se na possibilidade da agregação de
ferramentas de qualidade ao exercício do controle interno na ECT, cujo propósito é
atuar tempestivamente na mitigação dos riscos à consecução dos objetivos
organizacionais com efetividade, eficiência e eficácia (Art. 57 da Constituição
Federal/1988).
Os auditores precisam extrapolar a síndrome do perito analista de corpus delitus que
se limita a dissecar o de cujus, identificando a causa mortis, passando a uma
postura proativa de prevenção que evite a morte do paciente, no caso: a empresa.
Tal postura decorre de uma cosmovisão progressista, não fatalista, que apreende a
realidade como um processo passível de aperfeiçoamento contínuo.
[...] A filosofia pode facilitar a disciplina espiritual do estudo. O estudo
em si mesmo é uma disciplina espiritual, e o simples ato de estudar
pode mudar o eu. Aquele que experimenta a disciplina do estudo vive
experiências que desenvolvem algumas habilidades decorrentes
desse hábito: enquadrar um tema, resolver problemas, aprender a
pesar a evidência e eliminar os fatores irrelevantes, aperfeiçoar a
capacidade de observar as distinções importantes em vez de
confundi-las, e assim por diante. A disciplina do estudo também
ajuda no desenvolvimento de certas virtudes e valores, por exemplo,
o desejo pela verdade, a honestidade com os dados, a abertura à
crítica, a auto-reflexão e a habilidade para se relacionar não
defensivamente com aqueles que são de opinião contrária
(MORELAND, 2005).
Para tanto, requer-se a atualização tecnológica continuada dos instrumentos e
métodos de trabalho dos estudiosos, bem como dos gestores e colaboradores em
todos os níveis da organização.
1.1. OBJETIVO GERAL
Caracterizar soluções de Tecnologia da Informação que viabilizem a obtenção
tempestiva de resultados consistentes das auto-auditorias setoriais, conferindo maior
efetividade às auditorias de TI e à Governança Corporativa na ECT.
23. 8
1.2. OBJETIVOS ESPECÍFICOS
a) Caracterizar as tecnologias disponíveis no âmbito corporativo da ECT,
potencialmente convergentes com a necessidade de controle efetivo sobre as
ações gerenciais, e seu alinhamento aos objetivos estratégicos da
organização;
b) Propor a inclusão ou o aproveitamento de soluções disponíveis de TI, ou de
módulos de auto-auditoria automatizada, nos Sistemas e Modelos Integrados
de Informações Gerenciais (ERP, DW, BSC, BI);
c) Propor a incorporação de melhores práticas, padrões, modelos,
funcionalidades e trilhas de auditoria que permitam a identificação de
fragilidades, vulnerabilidades e oportunidades de melhoria dos processos de
Controle Interno da ECT.
1.3. PROBLEMA
Há alternativas de automatização do processo de auto-auditoria (self-assessment)
que diminuam o fosso (gap) existente entre a ocorrência do fato em
desconformidade, a constatação de suas conseqüências e a adoção tempestiva de
providências, preventivas ou corretivas, que minimizem os danos e prejuízos
suportados pela organização?
1.4. HIPÓTESE
Há uma contumaz e extremamente prejudicial falta de integração das informações
de suporte aos processos decisório e de negócios, comprometendo a efetividade
das ações gerenciais nas empresas.
Planos, Programas e Projetos que sofrem solução de continuidade e Estudos de
Viabilidade Técnico-Econômica que não se confirmam na prática, são algumas das
constatações decorrentes da falta de uma governança corporativa eficaz.
24. 9
Um desses projetos especiais: o pessoal de TI pretende instalar um
módulo, no sistema de gestão, para calcular o retorno do
investimento (ROI) de um projeto depois de alguns meses de
funcionamento. Nós, CIOs, temos o hábito de medir o retorno para
justificar a compra do projeto. Depois, não mais (JANSSEN, 2007).
A constatação acima, infelizmente, não se restringe aos CIOs; é generalizada em
todos os níveis de várias organizações em ambos os setores: público e privado.
1.5. METODOLOGIA
A metodologia adotada parte da pesquisa bibliográfica descritiva e contempla
levantamentos de campo por meio de entrevistas semi-estruturadas, suportadas por
questionários dirigidos aos gestores-chave das áreas de TI e de Auditoria Interna da
ECT, bem como informações colhidas em bibliografia especializada tais como:
revistas técnicas, apostilas, folders, prospectos, palestras, cursos e eventos
relacionados ao tema.
A referência a trabalhos já desenvolvidos por outros colegas, no âmbito da ECT ou
fora dela, tem a finalidade de remeter o leitor àquelas fontes, no sentido do eventual
interesse em aprofundar-se na matéria aqui estudada e demais ferramentas
pertinentes, cuja metodologia não se pretende explorar, senão na medida da
necessidade específica desta monografia.
1.5.1. RESULTADOS ESPERADOS
a) Conscientizar quanto à possibilidade de realização remota de procedimentos de
auditoria que dispensem o deslocamento físico dos auditores, minimizando
custos com tempo (H/H), passagens, hospedagem e diárias, a partir do acesso
on-line às auto-auditorias e às bases de dados corporativos;
b) Estimular o uso otimizado dos recursos tecnológicos disponíveis, fomentando a
tempestividade nas ações gerenciais e maior efetividade na governança
corporativa, de modo a identificar os riscos mais representativos ao negócio e
assegurando a atuação tempestiva com vistas à continuidade da instituição;
25. 10
c) Propor a incorporação de modelos orientados por processos automatizados via
Intranet para integração corporativa e monitoramento contínuo das auto-
auditorias localizadas nas diversas áreas da organização.
O desenvolvimento deste trabalho, a partir do Capítulo 2 - Fundamentação Teórica,
aborda os principais Conceitos Básicos, o Contexto Histórico e a Evolução
Progressiva da Governança, os Padrões Nacionais e Internacionais de
Conformidade, as principais Tendências Tecnológicas e propõe a Integração de
Estruturas (Frameworks), de Padrões e Melhores Práticas, culminando com um
Estudo de Caso aplicável à ECT.
No Capítulo 3 – Possibilidades há alternativas de automação do processo de auto-
auditoria na ECT, tais como: Auditoria Remota, Aproveitamento de Soluções
Tecnológicas, Implantação do de Gestão de Risco (ERM),
Framework
Aproveitamento da Camada de Integração na Automatização dos Processos de
Auditoria Interna. Propõe-se o Alinhamento ao Programa Nacional de Gestão
Pública e Desburocratização (Gespública).
No Capítulo 4 – Conclusão retoma-se o Objetivo e o Problema sob a luz da
discussão elaborada no escopo, avalia-se o alcance dos objetivos específicos, as
constatações e restrições encontradas, as Conclusões obtidas e os Resultados
Esperados do presente estudo, remetendo as questões deixadas em aberto aos
desdobramentos futuros, eventualmente em nível de Mestrado ou Doutorado.
26. 11
2. FUNDAMENTAÇÃO TEÓRICA
2.1 CONCEITOS BÁSICOS
A definição conceitual dos termos, a despeito da parcialmente pertinente crítica
materialista6 ao plano das idéias, é fundamental para a compreensão crítica que
deve anteceder as ações7 humanas.
Portanto, oferecer um espaço de discussão sobre idéias ao mesmo
tempo inovadoras e instigantes não se constitui um artifício de
requinte intelectual para um punhado de iluminados. Denota, mais
propriamente, a sintonia com a incerteza e a perplexidade em que
vivemos hoje, não só no domínio do conhecimento científico, mas
também no espaço do cotidiano de nossas vidas.
Para Edgar Morin, o debate sobre o conhecimento ‘não poderia
constituir um domínio privilegiado para pensadores privilegiados,
uma competência de experts, um luxo especulativo para filósofos,
mas uma tarefa histórica para cada um e para todos. A epistemologia
complexa deveria instalar-se, senão nas ruas, ao menos nas mentes,
mas isso exige, sem dúvida, uma revolução mental’ (ALMEIDA,
2004).
Neste sentido, não há isenção ideológica possível, pois cada sujeito está
subordinado por suas próprias pressuposições e a dialética própria com que as
expressa, como bem explica CHAUÍ (1988):
O conhecimento da realidade exige que diferenciemos o modo como
é concretamente produzida. Imediato, abstrato e aparência são
momentos do trabalho histórico negados pela mediação, pelo
concreto e pelo ser. Isto significa que esses termos são contraditórios
e reais. Sua síntese é efetuada pelo espírito. Essa síntese é o que
Hegel denomina: conceito.
Esses vários aspectos do pensamento hegeliano (aqui
grosseiramente resumidos) constituem a dialética, ou seja, a história
como processo temporal movido internamente pelas divisões ou
negações (contradição) e cujo Sujeito é o Espírito como reflexão.
Essa dialética é idealista porque seu sujeito é o Espírito, e seu objeto
também é o Espírito. Em última instância, portanto, a história é o
movimento de posição, negação e conservação das Idéias - unidade
do sujeito e do objeto da história, que é Espírito (CHAUÍ, 1988:34-
42).
6
“Os filósofos se limitaram a interpretar o mundo de diferentes maneiras (...), mas o que importa é
transformá-lo” (cf. a tese XI – Ad Feuerbach) (SANT’ANNA, 2006:24).
7
“Assim também a fé, se não tiver obras, é morta em si mesma”. Tiago 2:17 (ALMEIDA, J.F. 1986).
27. 12
A Tecnologia da Informação e a Auditoria, disciplinas-chave do tema desta
monografia, vêm tomando emprestada uma infinidade de termos e conceitos
oriundos de várias áreas do conhecimento, a começar da Filosofia, dentre os quais
se destacam, para o objetivo deste trabalho, os seguintes:
2.1.1 CATEGORIAS:
É notório como o conceito de categoria, por meio da decomposição, se aplica aos
processos básicos de percepção, apreensão e classificação, recursos de que
dispomos na busca pela compreensão da complexidade para organização do próprio
conhecimento, conferindo-lhe utilidade funcional concreta, pré-requisito necessário a
qualquer ação que se pretenda efetivar.
Na história da filosofia tem havido várias opiniões sobre a natureza
das categorias, ou seja, ao que corresponde um conjunto de
categorias, sendo que as duas principais escolas do pensamento
sobre categorias são representadas por Aristóteles e Immanuel Kant.
De acordo com Aristóteles, há dez categorias básicas da realidade:
substância, quantidade, qualidade, relação, lugar, tempo, posição,
estado, ação e paixão. Para Aristóteles, as dez categorias podem,
por sua vez, ser entendidas tomando-se a categoria de substância
como fundamental ou básica e as outras nove categorias como
modos diferentes pelos quais a substância pode ser modificada ou
pode ser qualificada.
O que é mais crucial na visão de Aristóteles sobre as categorias não
é, no entanto, a natureza precisa ou o número das suas
classificações. Antes, o que é mais importante na sua abordagem
sobre as categorias é que sua proposta nos proporciona divisões
reais no próprio mundo real, como existe ‘lá fora’, i.e., como ele é em
si mesmo independente do pensamento ou da linguagem humana.
Para ele, as categorias são as mais amplas e reais divisões do ser
(MORELAND, 2005).
2.1.2 ONTOLOGIAS
Conforme CARDOSO (2007), o termo Ontologia é vastamente conhecido e aplicado
em áreas como a Filosofia e Epistemologia significando respectivamente, um ‘sujeito
da existência’ e um ‘conhecimento e saber’.
28. 13
Recentemente esse termo passou a ser usado também na área de Inteligência
Artificial, visando descrever conceitos e relacionamentos utilizados por um agente ou
uma co-unidade destes. Do ponto de vista de Banco de Dados (BD), uma ontologia
é uma ‘especificação parcial de um domínio ou meta-domínio, descrevendo
entidades, relações entre elas e regras de integridade’.
Assim, uma ontologia pode ser vista como um modelo conceitual de dados. Um
modelo conceitual descreve, dentre outras coisas, a estrutura dos dados do Banco
de Dados num alto nível de abstração, enquanto que uma ontologia contém um
vocabulário de conceitos ou classes, estrutura de árvore, relacionamentos entre
conceitos.
Na busca por significado, o homem tem recorrido historicamente aos artifícios e
artefatos, inclusive de linguagem, que lhe permitam reduzir a complexidade a um
nível que lhe seja possível manipular.
Para compreender um pouco o uso de Ontologias, podemos utilizar
um exemplo de duas lojas de vendas de automóveis que mantêm
schemas próprios que descrevem as respectivas estruturas nas
quais as informações de seus produtos estão armazenadas.
Para a troca de informações entre as lojas X e Y, uma ontologia
poderia ser utilizada para explicitar formalmente que a propriedade
chamada ‘Automóvel’ na loja X é equivalente à propriedade ‘Carro’
na loja Y. Por este motivo é possível dizer que ontologias realizam
definições comuns e compartilhadas sobre domínios de
conhecimento, pois a partir dela, um agente de softwares está apto a
‘entender’ que o conceito ‘Automóvel’ tem o mesmo significado que o
conceito ‘carro’ na outra loja [CHANDRASEKARAN, 1999, apud
CARDOSO].
Por ocasião do Fórum TIC Governo, realizado em abril de 2008 em Brasília, um
representante8 da Controladoria Geral da União (CGU) apresentou um estudo de
caso sobre o uso da Tecnologia da Informação na prevenção e combate às fraudes.
Naquele contexto foi mencionado o uso do conceito de ontologia na produção de
provas judiciais a partir da identificação e análise de padrões em milhares de
transações financeiras e complexas redes de relacionamento.
8
Informação verbal de Marcelo Stopanovski Ribeiro. Disponível em: www.itec.al.gov.br/sala-de-
imprensa/noticias-nacionais/forum-apresenta-solucoes-em-t-i-para-governo Acesso em:
07/05/2008.
29. 14
2.1.3 ORIENTAÇÃO AO OBJETO – UMA APLICAÇÃO DAS CATEGORIAS
Na cronologia do desenvolvimento de sistemas, a evolução das linguagens de
programação se deu a partir das linguagens de baixo nível (Ex.: Assembler),
passando pelas estruturadas, compiladas ou interpretadas (Ex.: Pascal, COBOL e
APL), atingindo o status atual das linguagens chamadas de alto nível, cujo alto
desempenho e maior flexibilidade permitiram a implantação da metodologia de
Orientação ao Objeto.
No paradigma procedural, o software é decomposto em uma
hierarquia de procedimentos ou tarefas. No paradigma orientado a
objetos, o software é decomposto em uma hierarquia de
componentes que interagem entre si (normalmente objetos).
(PAGLIARES, 2007)
Conceitos úteis originados para além do escopo telemático, tais como os elencados
a seguir, são hoje lugar comum no cotidiano dos Analistas de Sistemas,
freqüentemente, sem que se tenha a noção de sua origem filosófica.
Sistema:
O termo sistema vem sendo utilizado desde longa data nos vários
ramos do conhecimento humano, mas passou a ser tratado de forma
mais consistente a partir da ‘Teoria Geral dos Sistemas’ (1947),
elaborada por Ludwig Von Bertalanffy, e a partir da obra de Norberto
Wiener, ‘Cibernética e sociedade’ (1950). ‘Sistema é um pacote de
energia constituinte – com uma pele limitando a faixa interna e a
faixa externa – por onde se dá o intercâmbio de energia
reconstituinte (...) regulado por auto, hetero e inter-feedback (...)’
(GREGORI, 1988:32 Apud SANT’ANNA, 2006:19).
No contexto específico de TI, segundo PAGLIARES (2007), os sistemas complexos
possuem as seguintes características:
• Possuem uma estrutura hierárquica;
• A escolha de quais componentes são primitivos no sistema é arbitrária;
• Um sistema pode ser dividido em relacionamentos intra e intercomponentes.
Esta separação de interesses permite o estudo de cada parte isoladamente.
• Sistemas complexos são normalmente compostos de poucos tipos de
componentes em diversas combinações.
30. 15
• Um sistema complexo de sucesso, de uma forma ou de outra, evolui de um
sistema simples.
O paradigma de Orientação ao Objeto (OO) é uma aplicação evoluída a partir do
conceito de categorias, resultando em uma metodologia bem sucedida de
desenvolvimento de sistemas.
FIGURA 1: CLASSE, OBJETOS E ATRIBUTOS (PIMENTEL, 2007).
2.1.4 ANÁLISE DE DADOS
Conforme o teor da Apostila do Curso Básico em ACL – Audit Command Language,
ministrado nas dependências da Tech Supply, em São Paulo, no ano de 2005, todo
projeto de análise de dados deve seguir um ciclo regular de atividades. Isto ajuda a
assegurar que seu trabalho será minucioso, preciso e realizado com eficiência. O
ciclo de análise de dados possui cinco estágios:
Planejamento (defina objetivos claros, desenvolva estratégias e estime
•
tempo e recursos necessários);
Acesso aos dados (localizar, solicitar, transferir... );
•
Verificação da integridade dos dados (correção e completude);
•
Análise dos dados (testes objetivos, combinar comandos, filtros e campos
•
calculados);
Apresentação de Resultados (criar relatórios multi-linhas, detalhados e
•
sumarizados).
31. 16
Na opinião de ALLES9 (2006), uma coisa é, para um auditor, escolher basear os
procedimentos de auditoria em dados limitados quando estes são muito
dispendiosos de serem obtidos, e outra coisa bem distinta é continuar agindo assim
quando dados ilimitados estão prontamente disponíveis.
Esta última situação é aquela em que a profissão de auditor irá crescentemente
encontrar-se envolvida, até que procedimentos e sistemas de auditoria sejam
desenvolvidos para poder explorar a disponibilidade de dados tempestivos e
altamente desagregados.
Em outras palavras, a profissão de auditor tem que responder à questão de o que
planeja fazer com todos os dados que logo estará apta a obter facilmente, dados
que provém um nível de detalhe da ordem de magnitude três, para além dos dados
amostrais e altamente agregados que são a base da metodologia de auditoria atual;
ou, então, explicar por que os dados são jogados fora sem uso.
Certamente existem desafios em lidar com tal quantidade de dados, cuja qualidade é
variável, mas os custos que o auditor enfrenta ao processá-los deve ser pesado
contra os benefícios potenciais associados com a oportunidade generalizada do
multibilionário investimento feito em dólar pelas empresas na implantação dos
sistemas ERP, o que torna a provisão daqueles dados possível, a princípio.
É incumbência dos auditores o desenvolvimento de metodologias que explorem
aquela oportunidade de modo que possam prover seus clientes com auditorias mais
efetivas, mais eficientes e de maior qualidade.
9
Tradução Livre.
32. 17
2.1.5 GOVERNANÇA CORPORATIVA
A WIKIPEDIA (2007) traz, para o verbete Governança Corporativa, que o conceito
consiste no “Sistema pelo qual as sociedades empresariais são dirigidas e monitoradas
pelo mercado de capitais, envolvendo os relacionamentos entre acionistas, conselho,
diretoria e auditoria.”
Descreve ainda o processo de tomada de decisão e de implantação ou não
implantação das decisões tomadas, em que as instituições públicas conduzem os
negócios públicos, administram recursos públicos e buscam assegurar a realização
dos direitos humanos.
Além disso, no caso de Tecnologia da Informação, condiz também com o
relacionamento entre a área de TI e o restante da organização, definindo as oito
principais características da ‘boa governança’ como:
Participação;
•
Estado de direito;
•
Transparência;
•
Responsividade;
•
Orientação por consenso;
•
Igualdade e inclusividade;
•
Efetividade e eficiência;
•
Prestação de contas (Accountability)”.
•
Tem-se, na mesma fonte, o seguinte detalhamento para uma melhor definição
destes termos:
Participação: que homens e mulheres devem participar igualmente das atividades
de governo. A participação deve contemplar a possibilidade de participação direta ou
participação indireta através de instituições ou representantes legítimos.
A participação implica a existência de liberdade de expressão e liberdade de
associação por um lado e uma sociedade civil organizada, de outro lado.
33. 18
Estado de Direito: que a boa governança requer uma estrutura legal justa que se
aplica a todos os cidadãos do Estado independentemente de sua riqueza financeira,
poder político, classe social, profissão, raça e sexo.
A boa governança deve assegurar total proteção dos direitos humanos, pertençam
as pessoas a maiorias ou a minorias sociais, sexuais, religiosas ou étnicas.
A boa governança deve assegurar que o poder judiciário seja independente do
poder executivo e do poder legislativo. A boa governança deve assegurar que as
forças policiais sejam imparciais e incorruptíveis.
Transparência: que as decisões tomadas e sua fiscalização são feitas através de
regras e regulamentos conhecidos. Toda a informação governamental é livremente
disponível e diretamente acessível para aqueles que serão afetados por tais
decisões e pelos trabalhos de fiscalização.
Responsividade: que as instituições governamentais e a forma com que elas
procedem são desenhadas para servir aos membros da sociedade como um todo e
não apenas a pessoas privilegiadas. Os processos das instituições governamentais
são desenhados para responder às demandas dos cidadãos dentro de um período
de tempo razoável.
Decisões orientadas para um Consenso: que as decisões são tomadas levando-
se em conta que os diferentes grupos da sociedade necessitam mediar seus
diferentes interesses.
O objetivo da boa governança na busca de consenso nas relações sociais deve ser
a obtenção de uma concordância sobre qual é o melhor caminho para a sociedade
como um todo. Além disso, as decisões também devem ser tomadas levando em
conta a forma como tal caminho pode ser trilhado.
Essa forma de obter decisões requer uma perspectiva de longo prazo para que
ocorra um desenvolvimento humano sustentável. Essa perspectiva também é
necessária para conseguir atingir os objetivos desse desenvolvimento.
Igualdade e inclusividade: que a boa governança deve assegurar igualdade de
todos os grupos perante os objetivos da sociedade. O caminho proposto pelo
governante deve buscar promover o desenvolvimento econômico de todos os grupos
sociais.
34. 19
As decisões devem assegurar que todos os membros da sociedade sintam que
façam parte dela e não se sintam excluídos em seu caminho para o futuro.
Esta abordagem requer que todos os grupos, especialmente os mais vulneráveis,
tenham oportunidade de manter e melhorar seu bem–estar.
Efetividade e eficiência: a boa governança deve assegurar que os processos e
instituições governamentais devem produzir resultados, os quais vão ao encontro
das necessidades da sociedade ao mesmo tempo em que fazem o melhor uso
possível dos recursos à sua disposição. Veja Lei do Ótimo de Pareto (80/20). Isso
também implica que os recursos naturais sejam usados sustentavelmente e que o
ambiente seja protegido.
Suporte à auditoria fiscalizadora: que as instituições governamentais, as
instituições do setor privado e as organizações da sociedade civil devem poder ser
fiscalizáveis pelas pessoas da sociedade e por seus apoiadores institucionais. De
forma geral, elas devem ser fiscalizáveis por todas aquelas pessoas que serão
afetadas por suas decisões, atos e atividades.
LOPES, C. (2007), em seu artigo sobre o que é governança corporativa, publicado
no site da revista iMasters10, afirma que:
Uma boa governança corporativa é importante para os investidores
profissionais. Grandes instituições atribuem à governança corporativa
o mesmo peso que aos indicadores financeiros quando avaliam
decisões de investimento. Estudos comprovam que investidores
profissionais se dispõem até mesmo a pagar um grande ágio para
investir em empresas com altos padrões de governança. Em sua
essência a governança corporativa tem como principal objetivo
recuperar e assegurar a confiabilidade em uma determinada
empresa para os seus acionistas. Tarefa esta difícil, pois como na
vida real, a confiança uma vez abalada, demora-se para se recuperar
a confiabilidade em uma determinada pessoa. Assim também é com
as empresas (LOPES, 2007).
Destaca ainda, o mesmo autor, para que haja aderência ao negócio e sua
estratégia, a existência de seis ativos principais, cujos elementos essenciais de cada
ativo incluem:
10
http://www.imasters.com.br/artigo/3941/governanca/o_que_e_governanca_corporativa/
35. 20
Ativos humanos: pessoas, habilidades, planos de carreira, treinamento,
relatório, mentoring, competências etc.
Ativos financeiros: dinheiro, investimentos, passivo, fluxo de caixa, contas a
receber etc.
Ativos físicos: prédios, fábricas, equipamentos, manutenção, segurança,
utilização etc.
Ativos de Propriedade Intelectual (PI), incluindo o know-how de produtos,
serviços e processos devidamente patenteados, registrados ou embutidos nas
pessoas e nos sistemas da empresa.
Ativos de informação e TI: contemplando dados digitalizados, informações e
conhecimentos sobre clientes, desempenho de processos, finanças, sistemas
de informação e assim por diante.
Ativos de relacionamento: relacionamentos dentro da empresa, bem como
relacionamentos, marca e reputação junto a clientes, fornecedores, unidades
de negócio, órgãos reguladores, concorrentes, revendas autorizadas etc.
A governança destes ativos ocorre por meio de um grande número de mecanismos
organizacionais (por exemplo: estruturas, processos, comitês, procedimentos e
auditorias), pelo que a maturidade na governança desses ativos varia
significativamente na maioria das empresas, com os ativos financeiros e físicos
sendo tipicamente os mais bem governados, enquanto os ativos de informação
figuram entre os piores.
2.1.6 AUDITORIA E AUTO-AUDITORIA
Conforme KIMURA et. al. (1999), grande parte das teorias de administração advoga
um processo administrativo composto pelo menos das seguintes atividades:
planejamento, execução, controle e ajustes ou feedback.
36. 21
Neste contexto, a administração deve estabelecer planos de longo, médio e curto
prazos, onde objetivos e metas devem refletir a visão e as exigências dos acionistas.
Numa perspectiva mais moderna, devem também ser levados em consideração, a
motivação dos funcionários, a satisfação dos clientes, o relacionamento com
fornecedores e com todos os demais elementos que estão envolvidos com a
empresa, como por exemplo, os credores, a comunidade, o meio ambiente, etc.
Ainda em função das atividades da administração, deve-se colocar os planos em
prática visando a busca e a efetivação das ambições e desejos estabelecidos no
processo de planejamento.
Surge naturalmente, portanto, a necessidade de monitoramento da implantação das
operações da empresa, no sentido de verificar a conformidade e consistência dos
resultados e eventualmente identificar problemas e falhas visando impulsionar ações
de ajuste e adequação de todo o processo, desde a compra de matéria-prima e
operacionalização da produção até serviços de pós-venda.
Para a atividade de monitoramento e conseqüente avaliação de desempenho, são
necessários a coleta de informação e o cálculo de indicadores que permitam a
comparação entre valores efetivos e valores planejados, a avaliação dos desvios e o
diagnóstico de pontos de melhoria.
Ainda segundo KIMURA, a mensuração do desempenho empresarial representa
tema gerador de controvérsias. Se por um lado as medidas usuais, baseadas em
modelos financeiros, propiciam a fundamentação de comparações e o fácil
entendimento, uma vez que retorno monetário e fluxo de caixa são conceitos
extremamente intuitivos, por outro lado, pode-se argumentar que aspectos distintos
devem ser considerados quando se julga o desempenho.
A ênfase excessiva na consideração de medidas inerentemente financeiras pode
distorcer a avaliação de desempenho, haja vista que muitas variáveis presentes no
contexto da empresa dificilmente podem ser apropriadamente traduzidas em termos
financeiros, principalmente quando envolvem itens intangíveis e interpretações
subjetivas.
37. 22
Tradicionalmente, os modelos de monitoramento da eficiência produtiva baseiam-se
em indicadores quantitativos, facilmente mensuráveis e de caracterização imediata,
como quantidade de falhas, desvios em relação a especificações determinadas,
tempo de inicialização de máquinas e equipamentos, taxa de utilização da
capacidade produtiva, número de itens produzidos, etc.
Assim, tendo em vista a preocupação em mensuração de aspectos tangíveis, que
representavam papel fundamental na era industrial, dado à relevância das economias
de escala e de escopo, tornaram-se padrão para a avaliação de desempenho da
corporação, medidas financeiras, como por exemplo, rentabilidade sobre capital,
margem de contribuição, custos unitários, grau de alavancagem financeira e
operacional, etc.
Se a maximização de lucro ou de valor consiste em objetivo empresarial plausível,
então a mensuração do desempenho (performance) financeiro é plenamente
justificada.
Ainda mais, os indicadores financeiros podem facilmente ser extraídos ou derivados
da base de dados já disponível para a elaboração de relatórios para atendimento de
requisitos legais (balanços patrimoniais, demonstrativos de resultados, etc.),
motivando sua utilização para o processo de avaliação e tomada de decisão.
Porém, com o desenvolvimento de tecnologias e a aceleração do processo de
mudança de paradigmas pode-se observar um atraso na evolução dos sistemas de
mensuração de desempenho organizacional.
Enquanto ocorriam alterações drásticas no processo produtivo através do uso de
técnicas modernas de gestão, com desdobramentos de qualidade total, minimização
de estoques, melhorias contínuas, reengenharia, avaliação de carteiras,
automatização, informatização e integração de atividades, os indicadores de
desempenho continuaram focando-se, basicamente, na perspectiva financeira.
KIMURA e outros inferem que, se o processo produtivo vem sofrendo grandes
modificações, torna-se lógico que os modelos de monitoramento e avaliação de
desempenho (performance) devem também se ajustar para incorporar novos
aspectos presentes na era da informação: exploração dos ativos intangíveis,
38. 23
acompanhamento da inovação tecnológica, aproveitamento de alternativas implícitas
nos negócios, cadeia de valor virtual, integração corporativa, etc.
Para a execução dessa tarefa de avaliação do desempenho organizacional é que
existem os tipos gerais de Auditoria, que são:
• Externa (contratada para emissão de pareceres anuais independentes);
• Interna (responsável pela verificação continuada dos controles internos); e
• Governamental, que no Brasil é incumbência do:
Tribunal de Contas da União (TCU, atuando em última instância como
o
um Tribunal Superior);
o pelos Tribunais de Contas Estaduais (TCs); e
o pela Secretaria Federal de Controle (SFC) da Controladoria Geral da
União (CGU, atuando no âmbito do Poder Executivo).
A percepção popular é que, historicamente, a atuação dos Tribunais Superiores no
Brasil, embora assessorada tecnicamente, está sujeita a um forte viés político que,
no caso do TCU o tornaria uma espécie de apêndice ao Congresso Nacional e
poderia explicar o baixo índice de recuperação efetiva de perdas e prejuízos sofridos
pela Administração Pública (cerca de um por cento), especialmente em delitos que
costumam envolver Agentes Políticos.
No entanto, o Relatório Anual de Atividades do TCU, relativo ao exercício de 2007,
aponta um elevado índice de iniciativa própria resultando num montante de cerca de
R$ 600,2 milhões encaminhados aos órgãos responsáveis pela execução judicial,
sendo que desse total cerca de R$ 566,3 milhões correspondem a débitos e R$ 33,9
milhões a multas.
39. 24
FIGURA 2: FISCALIZAÇÕES CONCLUÍDAS POR INICIATIVA
FIGURA 3: HISTÓRICO DOS MONTANTES DAS COBRANÇAS EXECUTIVAS ENCAMINHADAS AOS
ÓRGÃOS EXECUTORES (TCU, 2007)
Além disso, o referido Relatório cita como principais benefícios da atuação do TCU
os constantes da tabela abaixo:
40. 25
TABELA 1: PRINCIPAIS BENEFÍCIOS (TCU, 2007)
Com a CGU, a despeito da feliz iniciativa do Portal da Transparência publicado via
WEB para viabilizar o Controle Social, além das demais ações de rotina, a percepção
não é muito diferente, já que aquela agência estatal compõe a própria estrutura do
Poder Executivo que lhe compete auditar, dando-se o mesmo com os órgãos de
Auditoria Interna nas diversas instituições públicas.
Já o Ministério Público Federal vem alcançando maior visibilidade e manifesta mais
independência em suas ações, o que sugere a necessidade de revisão do modelo
atual adotado para o funcionamento do Sistema de Controle no Brasil.
Daí que se entende aqui, a despeito do chavão tradicional de “quem audita não faz”,
ser indispensável focar a iniciativa nos próprios gestores, de forma tanto quanto
possível proativa, para a instituição e avaliação dos controles, pois daquela postura
exclusivista não deriva a prerrogativa de isenção de responsabilidade solidária em
relação à qualidade dos processos e atividades de sua competência.
A auto-auditoria é, portanto, a implantação em primeira mão de controles internos
efetivos e a verificação continuada de sua qualidade por parte dos próprios gestores,
posto que estes são os maiores interessados na conformidade de seus processos e
atividades aos requisitos definidos nos planos, programas, manuais e demais
normativos aplicáveis, bem como na avaliação de desempenho e resultados, bem
41. 26
como do seu indispensável alinhamento com os objetivos estratégicos da
organização.
A cultura ativista dos executivos brasileiros, no entanto, não tem favorecido esta
concepção, pois se verifica a prática contumaz de delegar a terceiros, especialmente
aos auditores internos, as tarefas de proposição e até mesmo implantação de
controles, sob a desculpa de que não há tempo para que os gestores delas se
ocupem.
É freqüente o acionamento dos auditores internos, por parte dos gestores, com o fim
de validarem ou proporem alternativas de controles, comportamento este que deve
ser prontamente rechaçado pelos auditores internos, pois tal prática conflita com a
indispensável independência na realização isenta da função de auditoria.
Ademais, na faculdade que tem os gestores de exercitarem o poder discricionário já
está disponível a competência para agregar contribuições de consultorias e
assessorias técnicas especializadas para, no melhor interesse da organização,
identificar os riscos, os fatores críticos de sucesso, as tecnologias e os recursos
necessários à consecução dos objetivos organizacionais, observando sempre, entre
outros, os princípios da legalidade, moralidade, impessoalidade da administração
pública, eficiência, eficácia e economicidade (Artigo 37 da Constituição Federal de
1988).
2.1.7 GOVERNANÇA DE TI
Controlar e monitorar continuamente estes ativos não é tarefa fácil e necessita-se
uma forte receptividade e patrocínio por parte da direção da empresa. Dentre todos
estes ativos se destacam os Ativos de informação, uma vez que as informações
disponibilizadas pela área de TI sustentarão a empresa e todos os controles,
processos, procedimentos e métricas partirão da TI.
Tradicionalmente, as organizações dedicam grande atenção para
com seus ativos tangíveis físicos e financeiros, mas relativamente
pouca atenção aos ativos de informação que possuem. Em anos
recentes, contudo, a informação assumiu importância vital para
manutenção dos negócios, marcados pela dinamicidade da
42. 27
economia globalizada e permanentemente on-line, de tal forma que,
atualmente, não há organização humana que não seja dependente
da tecnologia de informações, em maior ou menor grau, de forma
que o comprometimento do sistema de informações por problemas
de segurança pode causar grandes prejuízos ou mesmo levar a
organização à falência (CARUSO, 1999 apud CASANAS et. al.
2001).
Segundo WEILL (2005), a Governança de TI se dá por meio da especificação dos
direitos decisórios e da estrutura de responsabilidades para estimular
comportamentos desejáveis na utilização da TI. Com base em um estudo feito junto
a 250 empresas de todo o mundo, Weill e Ross afirmam que o valor de negócios de
TI resulta diretamente de uma governança de TI eficaz (da alocação, pela empresa,
da responsabilidade e dos direitos decisórios).
Suas pesquisas revelam que as empresas com superioridade em governança de TI
têm lucros no mínimo 20% maiores do que as com má governança, considerados os
mesmos objetivos estratégicos. Mas somente 38% da alta gerência conseguem
descrever com precisão sua governança de TI (como, então, os demais gerentes
poderão tomar boas decisões pela empresa a esse respeito?).
Em Governança de TI, os autores mostram como conceber e Implantar um sistema
de direitos decisórios que enderecem três questões fundamentais:
Quais decisões devem ser tomadas para assegurar o uso e a gestão
apropriados da TI?
Quem deve tomar estas decisões?
Como tomá-las e monitorá-las?
Com suas ilustrações vívidas de sistemas de governança usados pelas empresas de
melhor desempenho nos setores público e com fins lucrativos (incluindo a Du Pont, a
UPS, a UNICEF, a State Street Corporation, a Motorola e a Panalpina), o livro
GOVERNANÇA DE TI: Tecnologia da Informação oferece um modelo e as
ferramentas para customizar um sistema de governança de TI:
As cinco decisões principais que determinam o uso eficiente da TI;
•
Um conjunto de modelos aprovados para alocar os direitos decisórios;
•
Vários mecanismos comprovados para Implantar a governança de TI;
•
43. 28
Uma Matriz de Arranjos de Governança para alinhar a TI aos objetivos gerais
•
de negócio.
A máxima é: pare de pensar em TI como função isolada e comece a desenvolvê-la
como uma competência organizacional.
2.1.8 BALANCED SCORECARD (BSC®)
A constatação da importância dos mapas estratégicos motivou os autores Robert
Kaplan e David Norton a escrever um terceiro livro da série Balanced Scorecard
(KAPLAN et. al., 2007), em que apresentam várias novas contribuições importantes.
Entre essas contribuições estão:
• um padrão que descreve os componentes básicos de como se cria valor nas
perspectivas de processos internos e de aprendizado e crescimento;
• ]temas, baseados nos processos que criam valor, capazes de esclarecer a
dinâmica da estratégia; e
• um novo arcabouço para descrever, medir e alinhar os três ativos intangíveis
da perspectiva de aprendizado e crescimento com os processos e objetivos
estratégicos da perspectiva dos processos internos:
o capital humano;
o capital informacional; e
o capital organizacional.
44. 29
FIGURA 4: DIAGRAMA BALANCED SCORECARD (KAPLAN, 2007)
Um Painel de Indicadores estratégicos definidos para cada uma das perspectivas
acima (Financeira, Cliente, Processos Internos e Aprendizado e Crescimento), a
princípio tratados por exceção a partir de alertas pictográficos (vermelho, amarelo e
verde), possibilita aos gestores a atuação imediata no estado atualizado on-line e
real time dos pontos de controle.
Tal metodologia permite, inclusive, detalhar desdobramentos até o nível
operacional, pela via de ferramentas de Business Inteligence (BI) e de Extração,
Transformação e Carga (ETL), tais como os chamados softwares generalistas de
auditoria de tecnologia da informação, que envolvem o uso de aplicativo em
ambiente batch, podendo processar, além de simulação paralela, uma variedade de
funções de auditoria e nos formatos que o auditor desejar.
Exemplos:
ACL (Audit Command Language): é um software de extração e análise de
dados, desenvolvido no Canadá;
IDEA (Interactive Data Extraction & Analysis): software para extração e
análise de dados, também desenvolvido no Canadá;
45. 30
Audimation: é a versão norte-americana do IDEA, da Caseware-IDEA, que
desenvolve consultoria e dá suporte para o produto;
Galileo: software integrado de gestão de auditoria. Inclui gestão de riscos de
auditoria, documentação e emissão de relatórios para auditoria interna;
Pentana: software de planejamento estratégico da auditoria, sistema de
planejamento e monitoramento de recursos, controle de horas, registro de
checklists e programas de auditoria, inclusive de desenho e gerenciamento
de plano de ação.
O que é ACL
É uma ferramenta que permite a leitura e a análise de dados, independente
de tamanho, formato ou diversidade de arquivos dispersos em bancos de
dados de diferentes plataformas (Windows, Unix, Oracle, etc.).
É utilizado por analistas de dados, auditores, contadores e outros
profissionais de negócios que necessitem de acesso aos dados em tempo
hábil e de forma a analisá-los eficaz e eficientemente.
Objetiva dar suporte aos processos de tomada de decisões e planejamento
administrativo de forma confiável.
O limite de uso depende de sua imaginação. Veja o que vem sendo feito
mundialmente no site: http://www.acl.com
Vantagens:
Pode processar vários arquivos ao mesmo tempo;
Pode processar vários tipos de arquivos com formatos diferentes, por
exemplo: EBCDIC ou ASCII;
Poderia também fazer uma integração sistêmica com vários tipos de
softwares e hardwares;
Reduz a dependência do auditor do especialista de informática para
desenvolver aplicativos específicos para todos os auditores de sistemas de
informação
46. 31
Desvantagens:
Como o processamento das aplicações envolve gravação de dados
(arquivos) em separado para serem analisados, poucas aplicações podem
ser feitas em ambiente on-line;
O software não consegue processar cálculos complexos, pois como se trata
de um sistema generalista, não aprofunda na lógica e na matemática muito
complexas.
Já os Softwares Especialistas de auditoria consistem em programas desenvolvidos
especificamente para certas tarefas em certas circunstâncias.
Vantagens:
Pode atender sistemas ou transações não contempladas por softwares
generalistas;
O auditor, quando consegue desenvolver softwares específicos numa área
muito complexa, pode utilizar isso como vantagem competitiva.
Desvantagens:
Pode ser muito caro, pois terá uso limitado e normalmente restrito a
determinado cliente;
Atualização pode ser complicada devido à falta de recursos que
acompanhem as novas tecnologias.
Há ainda programas utilitários em que o auditor usa softwares utilitários para
executar funções muito comuns de processamento, como sortear arquivo,
sumarizar, concatenar, gerar relatórios. Pode ser um EXCEL, ou recursos de
bancos de dados como o SQL, Dbase2, etc.
Vantagem:
Pode ser utilizado como alternativa na ausência de outros recursos.
Desvantagem:
47. 32
Sempre necessitará do auxílio do funcionário da empresa auditada para
operar a ferramenta (no caso de ferramentas complexas, como bancos de
dados).
2.1.9 A MÉTRICA E OS SISTEMAS DE MENSURAÇÃO
Willian Thompson, ou Lorde Kelvin (1824-1907), conceituado físico que deu
fundamental contribuição à termodinâmica, costumava dizer: “Se algo não pode ser
medido, ele realmente não existe”. Medir objetos e eventos não é apenas uma
necessidade científica, mas é dar significado à complexidade dos fenômenos
naturais.
Medir é uma atividade rotineira do ser humano e de sua interação com a natureza.
Para que se possa realizar medições é condição fundamental a existência de
métricas e instrumentos de trabalho adequados.
Conforme ROZADOS (2005) são apresentados documentos que lidam com
indicadores de desempenho concernentes a bibliotecas tradicionais e digitais, entre
os quais estão os padrões internacionais ISO 11620, ISO 20983, o Projeto
EQUINOX, mais um manual publicado pela UNESCO, como fontes básicas e
qualificadas para a formação e seleção de indicadores e metodologias. (...)
Segundo Geisler (2000), fenômenos físicos como temperatura, peso, massa, são
adequadamente medidos, em geral, com o uso de um simples aparelho. O mesmo
autor também afirma que as Ciências Sociais, Administrativas e Comportamentais
são fenômenos considerados muito menos precisos, dos quais, muitas vezes,
possuímos pouco conhecimento, o que os torna muito mais difíceis de medir. O que
medir é, portanto, o primeiro princípio da mensuração.
Uma vez decidido o que medir, passa-se a definir que instrumento de medida pode
dar conta do que se deseja medir. Instrumentos de mensuração têm uma variedade
de características que impactam sua eficiência.
GEISLER (2000) identifica, ainda, que o processo de seleção de uma métrica é
influenciado por três fatores: a cultura da organização; um conjunto disponível de
48. 33
métricas e o tipo de atividade a ser medida; e outras influências, como os atores
envolvidos (comunidade científica e de negócios ou interesses governamentais).
A definição de métrica inclui três aspectos: o item medido (o que medir), a unidade
de medida (como medir) e o inerente valor associado com a métrica (por que medir
ou o que se pretende encontrar com esta mensuração).
Afirma, também, que para avaliar ciência e tecnologia existe um único método viável:
mensuração por indicadores. Torna a enfatizar que múltiplos indicadores são
necessários para proporcionar uma adequada cobertura de dimensões e aspectos
de processos complexos, atividade e resultados.
Conforme ROZADOS (2005), um indicador é uma medida reservada para a
descrição ou representação de um dado evento ou fenômeno11. Uma métrica pode
conter um ou mais indicadores
Os objetivos são:
Estudar ocorrências de fraudes em relatórios financeiro-contábeis;
•
Desenvolver recomendações (companhias, auditores, outros reguladores e
•
instituições educacionais);
O aperfeiçoamento dos relatórios financeiros (Ética, Controle Interno e
•
Governança Corporativa);
Definição comum de Controle Interno atendendo à necessidade de diferentes
•
interessados;
Padrão para avaliar sistemas de controles (empresas pequenas ou grandes, do
•
setor público ou privado, visando lucro ou não).
Em contextos de crescente complexidade convém considerar também a Lógica
Fuzzy12 como mais uma possibilidade de análise das diversas variáveis envolvidas, o
que já vem sendo adotado em sistemas especialistas de inteligência artificial.
11
Categoria definida por Immanuel Kant.
12
Disponível em http://users.femanet.com.br/~fabri/fuzzy.htm Acesso em 06/05/2008.
50. 35
A abordagem inicial dada à Tecnologia da Informação caracterizava-se por uma
visão mecanicista, focada nos equipamentos, privilegiando os investimentos em
infra-estrutura.
b) IT Service Management (ITSM) – Visão de TI como investimento provendo
serviços de TI:
Conforme MAGALHÃES et. al. (2007), o Gerenciamento de Serviços de Tecnologia
da Informação é o instrumento pelo qual a área pode iniciar a adoção de uma
postura proativa em relação ao atendimento das necessidades da organização,
contribuindo para evidenciar a sua participação na geração de valor.
O Gerenciamento de Serviços de TI visa alocar adequadamente os recursos
disponíveis e gerenciá-los de forma integrada, fazendo com que a qualidade do
conjunto seja percebida pelos seus clientes e usuários, evitando-se a ocorrência de
problemas na entrega e na operação dos serviços de Tecnologia da Informação.
Para alcançar este objetivo, a tática que vem sendo adotada é o desenho, a
implantação e o gerenciamento de processos internos da área de TI de acordo com
as práticas reunidas na InformationTechnology Infrastructure Library (ITIL).
c) IT Infrastructure Library (ITIL) – Visão sistêmica do papel das áreas de TI.
Conforme o ITSMF seção Brasil, o Reino Unido identificou que, apesar de muitos
esforços estarem sendo direcionados para a redução de custos e riscos, inclusive o
desenvolvimento de projetos com esse intuito, havia pouca informação disponível a
respeito de como controlar os sistemas de informação IS (Information Systems) a
partir do momento em que eles eram implantados.
Pesquisas mostravam, porém, que mais de 80% do custo dos Serviços de
Informática estava relacionado ao dia-a-dia de sua operação e apenas 20% ao
estágio de desenvolvimento. Por esse fato, foi criada a Biblioteca de Infra-estrutura
de TI pelo CCTA, um centro governamental para sistemas de informações.
Esta Biblioteca de Infra-estrutura é o mais acessível e estruturado modelo para
gerenciamento de serviço de TI atualmente disponível. A Biblioteca de Infra-estrutura
51. 36
de TI considera todos os hardwares, softwares e telecomunicações sobre os quais a
aplicação dos sistemas e serviços é desenvolvida e entregue.
A Biblioteca é formada por módulos que trazem as melhores práticas retiradas de
empresas públicas e privadas. Para formá-la, foram dedicados vários anos de
consultoria em empresas do setor público, grandes empresas do setor privado e
indústria de informática, fazendo dela o mais completo e acessível guia para
gerentes de serviços de TI.
A Biblioteca se tornou de fato um padrão para gerenciamento de serviços de TI. Sem
a TI muitas empresas não funcionam e sem qualidade em TI estas empresas não
funcionam bem.
A orientação da Biblioteca de Infra-estrutura permite que as organizações tenham,
no mínimo, um bom padrão de qualidade de gestão de serviços de TI. Os maiores
resultados obtidos na utilização da ITIL estão nas melhorias dos serviços oferecidos
aos clientes e a redução dos custos e riscos.
A Biblioteca não é uma propriedade privada, está disponível para todos (mediante
compra) e é publicada pela HSMO, sendo produzida utilizando-se os procedimentos
certificados para o padrão ISO-9001/BS5750.
A ITIL® é a abordagem ao gerenciamento de serviços de TI mais largamente aceita
no mundo e é uma estrutura de melhores práticas coesa, projetada para os setores:
público e privado, internacionalmente.
Descreve a organização dos recursos de TI para entregar valor ao negócio,
documenta processos, funções e papéis em IT Service Management (ITSM). A ITIL
é suportada por um esquema compreensivo de qualificações, organizações de
treinamento acreditadas e ferramentas de implantação e controle.
A versão original da ITIL foi desenvolvida ao mesmo tempo e em alinhamento com
BS 15000, o antigo padrão do Reino Unido (UK) para o Gerenciamento de Serviços
de TI. BS15000 foi lançada em 2005 para tornar-se ISO/IEC 20000, o primeiro
padrão internacional em ITSM.
52. 37
O Governo Britânico, por meio do Office of Government Commerce (OGC) está
comprometido com a manutenção do alinhamento entre as futuras versões da ITIL e
da ISO/IEC 20000, que é o primeiro padrão mundial especificamente projetado para
o Gerenciamento de Serviços de TI (IT Service Management). Descreve um conjunto
integrado de processos de gerenciamento e seus clientes.
FIGURA 5: DIAGRAMA ITIL (OGC, 2007)
O cerne da ITIL é a estratégia de serviço, que tem entrada em todos os estágios do
ciclo de vida. O ciclo é: Projeto, Transição, Operação e Melhoramento Contínuo, que
está envolvido no todo.
A organização do material ITIL reflete o ciclo PDCA do Deming (Planejar-Fazer-
Checar-Agir), mas note-se que nem sempre há um relacionamento linear entre os
estágios, pois existem muitas ligações entre um estágio e outro.
Pessoas familiarizadas com a versão dois da ITIL freqüentemente expressam
preocupação acerca de processos, que são o cerne da versão dois. A versão três
ainda tem os processos, muitos dos quais atingem mais de um estágio de ciclo de
vida.
Onde isto acontece, cada processo tem uma casa onde é mais ativo no livro dos
estágios do ciclo de vida. Pode-se pensar em processos como sendo ortogonais aos
53. 38
estágios. A abordagem de ciclos de vida dá uma estrutura melhorada e holística,
dentro da qual são descritas todas as funções, processos, papéis e
responsabilidades que constituem a Melhor Prática de Gerenciamento de Serviços
de TI.
O foco da ITIL hoje é a integração da TI ao negócio, assegurando a entrega de valor
ao negócio e o tratamento dos serviços como ativos de negócio. A ITIL descreve a
vida de um serviço “da concepção à aposentadoria”, dentro de um Portafólio de
Serviços.
A parte anterior do portafólio é o Service Pipeline, que é o conjunto dos serviços em
planejamento e desenvolvimento, e a última parte o familiar Catálogo de Serviços,
que contém os serviços em uso ou ofertados para uso.
A ITIL entrega processos tentativos e já testados que assegurem resultados
previsíveis, repetíveis e confiáveis em TI, assegurando a entrega de valor ao
negócio. Os benefícios incluem:
Uso otimizado dos investimentos em TI;
Integração do valor do negócio e da TI;
Portafólio orientado aos ativos de serviço;
Clara demonstração do Retorno sobre os Investimentos (ROI);
Adaptação ágil e flexível aos modelos de serviços;
Desempenho e medições que são baseados em valor do negócio;
Ativos de Serviços de TI ligados aos serviços do negócio.
Treinamento, exames & qualificações. Existem atualmente três níveis de certificação
no esquema de qualificação ITIL:
Certificação nos Fundamentos ITIL (Foundation Certificate):
Projetada para prover um nível fundamental de conhecimento em gerenciamento de
serviços de TI, é voltada para todo o pessoal que queira tornar-se familiar com as
melhores práticas em Gerenciamento de Serviços de TI, como definido na Biblioteca
de Infra-estrutura de TI (ITIL). A Certificação nos Fundamentos capacita as pessoas
a compreender, em particular, a terminologia usada dentro da ITIL.