Escolar Documentos
Profissional Documentos
Cultura Documentos
Controles de Governança de Tecnologia Da Informação para A Terceirização de Processos de Negócio: Uma Proposta A Partir Do Cobit
Controles de Governança de Tecnologia Da Informação para A Terceirização de Processos de Negócio: Uma Proposta A Partir Do Cobit
ABSTRACT
The Business Service Provider is an outsourcing system which, offers a high level of delegation
of tasks that involves many suppliers, and demands an effective control necessary for the
services not to be interrupted. This papers objective is to define a set of elements, based on
COBIT - Control Objectives for Information and related Technology, to better manage and
control the BSP operations. This research, is exploratory, using specialists panel and a case
study. The results show the need to adapt the COBIT controls to fit the BSP. This article
proposes the adaptation and verification of the applicability to a case, defining deployment
priorities.
Keywords: IT outsourcing; IT Governance; Business Service Provider; IT management; COBIT
_____________________________________________________________________________________
Recebido em/Manuscript first received: 09/03/2010 Aprovado em/Manuscript accepted: 09/08/2010
Endereo para correspondncia/ Address for correspondence
Edimara Mezzomo Luciano, Pontifcia Universidade Catlica do Rio Grande do Sul; Faculdade de
Administrao, Contabilidade e Economia; Programa de Ps-Graduao em Administrao Av. Ipiranga,
6681 Prdio 50 sala 1101 90.619-900 Porto Alegre/RS Fone/Fax (51) 3320-3524 , e-mail:
eluciano@pucrs.br
Mauricio Gregianin Testa, Pontifcia Universidade Catlica do Rio Grande do Sul, Faculdade de
Administrao, Contabilidade e Economia, Programa de Ps-Graduao em Administrao Av. Ipiranga,
6681 Prdio 50 sala 1101 CEP 90619-900 Porto Alegre/RS Fone/Fax (51) 3320-3524, e-mail:
mauricio.testa@pucrs.br
238
RESUMO
O Business Service Provider (BSP) uma forma de terceirizao com alto nvel de delegao
que envolve muitos fornecedores, exigindo controles efetivos, sob pena de o servio ser
interrompido. O objetivo deste artigo definir um conjunto de elementos, a partir do COBIT Control Objectives for Information and related Technology-, para melhor gerenciar e controlar
uma operao BSP. A pesquisa exploratria, com painel de especialistas em dois momentos
distintos e estudo de caso. Os resultados mostram um conjunto de dez processos do COBIT
prioritrios para controle e acompanhamento pelas organizaes, definido por especialistas e
refinado em um estudo de caso.
Palavras-chave: terceirizao de TI; governana de TI; Business Service Provider; gesto de
TI; COBIT
1 INTRODUO
Uma considervel parte do cenrio organizacional se baseia hoje no uso
intensivo da Tecnologia da Informao (TI) e da Internet, buscando a interligao da
empresa com seus clientes, fornecedores e parceiros de negcio, conferindo agilidade
aos processos, economias no processo produtivo e adequao dos produtos e servios s
necessidades dos clientes (Zott e Amit, 2010).
Com a TI se tornando fundamental para as operaes e mesmo para as
estratgias organizacionais, fica mais ntida a preocupao com prticas de gesto que
reduzam o risco das operaes, garantam a continuidade dos servios por elas prestados,
preservando assim as operaes da empresa e a sua relao com os clientes. Estas
questes so endereadas pela Governana de TI, que se refere estrutura de relaes e
ao processo de tomada de deciso em TI, incluindo decises de investimento e
priorizao (RAU, 2004). Sendo estas decises de alto nvel a respeito da TI, a Governana de TI pode influenciar significativamente o desempenho da empresa por meio da
criao de valor para o negcio e do gerenciamento balanceado do risco com o retorno
do investimento (Xue, Liang e Boulton, 2008).
Esta preocupao envolve igualmente as atividades terceirizadas, j que ao
terceirizar parte de suas operaes de TI, uma empresa precisa ter mecanismos de
controle eficientes, uma vez que a empresa terceirizada estar atuando diretamente em
um dos ativos mais importantes da organizao, que a informao. Isto tambm se faz
necessrio para que a empresa terceirizada se mantenha alinhada com os objetivos de
negcio da empresa cliente e que a auxilie no atendimento de suas metas e objetivos. A
terceirizao normalmente utilizada no intuito de buscar aumento de eficincia
organizacional, reduo de custos e qualidade nos seus servios, e o mesmo acontece na
rea de TI. Muitas organizaes optam pela terceirizao em virtude constante
mudana no ambiente de TI e s alianas estratgicas, cada vez mais comuns (Prado,
2009).
Dentro das diversas modalidades ou amplitudes de terceirizao, a terceirizao
de processos de negcio tem sido crescente e, segundo Lacity, Khan e Willcocks
(2009), permear as organizaes no futuro, em virtude da crescente padronizao dos
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
239
240
241
Feeny e Olson (2006) e Lacity, Khan e Willcocks (2009). Barthelemy (2003) analisou
os esforos de cinquenta empresas para controlarem os processos terceirizados. O autor
cita a necessidade de desenvolvimento de sistemticas efetivas para controlar e
gerenciar o processo de terceirizao, sob risco de que as empresas que terceirizam
servios de TI percam o controle da atividade, trazendo uma srie de transtornos ao
negcio e tambm uma razovel dificuldade caso queiram interromper a terceirizao
de uma determinada atividade. J o estudo de Willcocks, Feeny e Olson (2006)
apresenta duas linhas de investigao: a primeira sobre a alta performance de algumas
organizaes em TI; e a segunda, motivadora deste artigo, a necessidade de controles de
governana para manter um outsourcing efetivo. Lacity, Khan e Willcocks (2009) citam
o BSP como um dos temas emergentes em terceirizao de TI que manter a sua
aplicabilidade e importncia no futuro.
Um recurso que tem se mostrado efetivo no controle de diversas atividades de TI
o COBIT (Control Objectives for Information and related Technology). Criado e
mantido pelo ISACA (Information Systems Audit and Control Association), objetiva
auxiliar os gerentes de TI no controle e no cumprimento dos objetivos de TI, mantendo
estes sempre alinhados com os objetivos da organizao. No contexto exposto nesta
pesquisa, o de processos de negcios terceirizados, o COBIT pode auxiliar na gesto do
processo de terceirizao, mais especificamente na gerao de controles para a gesto
dessa terceirizao. No entanto, como ele no voltado diretamente para a
terceirizao, faz-se necessria uma anlise de quais de seus processos esto mais
aderentes a esta atividade. Outro importante aspecto a baixa quantidade de
publicaes cientficas no pas sobre o COBIT, contrria utilizao dele nas
organizaes. Rodrigues, Maccari e Simes (2009), em pesquisa realizada com os
gestores de TI das 100 maiores empresas do Brasil, mostram que a utilizao do COBIT
significativa no cenrio nacional.
Os resultados desta pesquisa podem contribuir para uma melhor gesto das
organizaes envolvidas com terceirizao (como contratantes ou contratadas). O
processo de terceirizao complexo, envolve o controle e acompanhamento de muitos
elementos e apresenta riscos, e neste sentido, novas prticas de gesto tm sido
demandadas. Com o movimento das organizaes em busca de uma TI gerenciada e
governada, com papis e responsabilidades claramente definidos e com controles de
acompanhamento implementados, torna-se necessrio investigar como controles mais
comerciais (como o COBIT) se aplicam a conceitos mais acadmicos (Governana).
Com melhor gesto, contribui-se para a manuteno, crescimento e perenidade das
organizaes, atendendo expectativa de contribuio por parte de stakeholders e
shareholders.
2.
EMBASAMENTO TERICO
242
243
que se refere a fontes de prestao de servios externas ao pas, mas prximas a ele,
como uma empresa americana terceirizando atividades para uma empresa mexicana ou
canadense, e desta forma se aproxima do conceito de offshore outsourcing.
Alm dos problemas tradicionais enfrentados pela empresa quando da adoo da
terceirizao, novos desafios emergiram no cenrio de mudana do mundo. As
companhias de terceirizao enfrentam novos regulamentos que necessitam
conformidade, e h tambm uma falta de equipes preparadas e experientes para
controlar contratos da terceirizao. O ltimo fator conduz ausncia de um processo
da reviso para o sucesso ou a falha dos projetos, um elemento vital em qualquer projeto
de terceirizao (Loh e Venkatraman, 2002).
Alguns riscos considerados na terceirizao so a comunicao, habilidades de
gerenciamento adequadas, engenharia do gerenciamento de mudanas, sistemas e
ferramentas, controle da qualidade, controle do gerenciamento de capacidade, fatores
polticos e sociais e custos de curto e longo prazo que precisam ser considerados quando
da deciso de terceirizar um servio (Loh e Venkatraman, 2002).
Alm dos problemas tradicionais enfrentados pela empresa quando da adoo da
terceirizao, novos desafios emergiram, por meio de regulatrios cuja empresa precisa
comprovar conformidade (tais como CMMI, ISO20000, SOX). H, tambm, carncia
de profissionais preparados para controlar os complexos contratos de terceirizao.
Alguns riscos ainda associados terceirizao so a comunicao, gesto da atividade,
gerenciamento de mudanas, sistemas e ferramentas, controle da qualidade, controle do
gerenciamento de capacidade, fatores polticos e sociais e custos de curto e longo prazo
que precisam ser considerados quando da deciso de terceirizar um servio (Loh e
Venkatraman, 2002).
2.2 BSP Business Service Provider
O objeto terceirizado pode assumir diferentes enfoques: uma equipe, de
diferentes etapas de um processo produtivo ou de um servio. Pode-se ter a terceirizao
da aquisio de matria-prima, de etapas da produo ou mesma da comercializao do
produto final. Ainda, ela pode ocorrer dentro ou fora das instalaes da empresa.
Observa-se como tendncia global um aumento na terceirizao da produo, atravs da
qual as empresas de grande porte deram incio a um esforo de enxugamento,
concentrando-se no seu core business, visando responder com rapidez s necessidades e
demandas do mercado (Aubert, Rivard e Patry, 2003).
Segundo Lacity, Khan e Willcocks (2009), o BSP uma forma especfica de
terceirizao de TI, na qual a terceirizao no somente de profissionais ou de parte de
uma atividade, mas sim de todo um processo de negcio, e entre vrias empresas, todas
elas atuando de forma eletrnica, como provedores de servios. A ttulo de exemplo,
pode-se terceirizar o processamento de uma folha de pagamento pela maneira
tradicional ou atravs do BSP. Pela maneira tradicional, contrata-se uma empresa que
fornece o resultado da folha de pagamento (valor de salrios e de impostos,
contracheques, etc.), mas permite pouca interao com o contratante, uma vez que no
Vol.8, No.1, 2011, p. 237-262
244
BSP Simplificado
Cliente
1 - Fornecedor do
Servio BSP e do SI
2 - Fornecedor do
Armazenamento do SI
e dos dados
3 - Fornecedor da
Conexo (telecom)
1 - Fornecedor do
Servio BSP
2 -Fornecedor do
Sistema de Informaes
3 - Fornecedor do
Armazenamento do SI
4 - Fornecedor do
Armazenamento de dados
5 - Fornecedor da
Conexo (telecom)
245
246
2.4 COBIT
O COBIT (Control Objectives for Information and related Technology) foi
desenvolvido na dcada de 1990 pela ISACA (Information System Audit and Control
Association), e pode ser traduzido como objetivos de controle para a Informao e
Tecnologia. Esta metodologia composta por trs modelos: Modelo de Processos
(framework), Modelo de Governana de TI e Modelo de Maturidade.
A inteno do COBIT prover boas prticas atravs de um framework de
domnios e processos e apresentar atividade em uma estrutura lgica gerencivel. Estas
prticas visam ajudar a otimizar a TI, habilitando investimentos, garantindo a entrega de
servios, alm de prover sua mensurao (Hawkins, Alhajjaj e Kelley, 2003). Pode-se
dizer, tambm, que o COBIT tenta garantir a Governana de TI provendo um
framework que garanta quatro aspectos principais (Giampaoli, 2010): que a TI esteja
alinhada com o negcio; que a TI torne o negcio possvel e maximize seus benefcios;
que os recursos de TI sejam utilizados com responsabilidade e que os riscos associados
TI sejam gerenciados de maneira apropriada. O IT Governance Institute elenca quatro
controles do COBIT, integrados de acordo com a Figura 3, abaixo.
O controle dos
Processos de
TI
TI
so habilitados por
Relao
Relao de
de
Controles
considerando
Prticas de
Controle
Controle
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
Define o plano
P
estratgico de TI
Define a arquitetura da
PO2
P
informao
Determina a direo
PO3
P
tecnolgica
Define a organizao
PO4 de TI e seus
P
relacionamentos
Gerencia os
PO5
P
investimentos de TI
Gerencia a
PO6 comunicao das
P
direes de TI
Gerencia recursos
PO7
P
humanos
Assegura o
alinhamento de TI com
PO8
P
os requerimentos
externos
PO9 Avalia os riscos
P
PO10 Gerencia os projetos P
PO11 Gerencia a qualidade P
Identifica as solues
AI1
P
de automao
Adquire e mantm os
AI2
P
softwares
Adquire e mantm a
AI3 infraestrutura
P
tecnolgica
Desenvolve e mantm
AI4
P
os procedimentos
Instala e certifica
AI5
P
softwares
AI6 Gerencia as mudanas P
Define e mantm os
DS1 acordos de nveis de
P
servio (SLA)
Gerencia os servios de
DS2
P
terceiros
Entrega
Suporte
Aquisio e Implementao
Planejamento e Organizao
PO1
S
S
Pessoas
Aplicaes
Tecnologia
Facilidades
Informaes
Conformidade
Confiabilidade
Recursos de TI
Disponibilidade
Integridade
Confidencialidade
Eficincia
Domnio
Processo
Efetividade
Requisitos de Negcio
P = Primrio; S = Secundrio
247
S
S
P
S
S
P
P
S
P
248
Monitoramento
Gerencia a
performance e
DS3
capacidade do
ambiente
Assegura a
DS4 continuidade dos
servios
Assegura a segurana
DS5
dos servios
Identifica e aloca
DS6
custos
DS7 Treina os usurios
Assiste e aconselha os
DS8
usurios
Gerencia a
DS9
configurao
Gerencia os problemas
DS10
e incidentes
DS11 Gerencia os dados
Gerencia a
DS12
infraestrutura
DS13 Gerencia as operaes
M1 Monitorar os processos
Analisa a adequao
M2
dos controles internos
Prov auditorias
M3
independentes
Prov segurana
M4
independente
P
P
P
P
P
S
P
S
P
P
P
S
S
P
P
P
P
S
S
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
249
MTODO DE PESQUISA
2
Painel de Especialistas
Estudo de caso
Resultados
Domnios e processos
do COBIT
Coleta de dados
Ref erencial
terico
abaixo.
3
Adaptao dos controles
do COBIT terceirizao
via BSP
250
RESULTADOS
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
251
252
Aquisio
Implementao
P
P
S
P
S
S
AI3
AI4
AI5
AI6
S
P
S
P
S
P
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M1
M2
M3
M4
DS2
DS3
Confiabilidade
Conformidade
Disponibilidade
Integridade
Confidencialidade
AI1
AI2
DS1
Eficincia
Processo
Efetividade
Domnio
Requisitos de Negcio
(primria e secundria)
S
P
P
S
P
P
P
S
P
S
P
S
P
P
S
S S
S
P
P
S
P
P
P
P
S P
P
P
P P
S S
S S
S S S
S S S
P
P S
P P P
S P P
P
P
P
P
S
P
P
S
S
S
P
P
P
P
S
S
S
253
254
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
255
Grupos
Domnio/Processo
Escore
Gerencia os servios de terceiros
14
Gerencia as operaes
14
Define e mantm os acordos de nveis de servio
DS1
13
(SLA)
DS5
Assegura a segurana dos servios
13
Grupo 1
Monitorar os processos
13
Alta prioridade M1
para BSP
M2
Analisa a adequao dos controles internos
13
M3
Prov auditorias independentes
13
M4
Prov segurana independente
13
DS11
Gerencia os dados
11
DS4
Assegura a continuidade dos servios
10
DS10
Gerencia os problemas e incidentes
10
AI6
Gerencia as mudanas
9
AI4
Desenvolve e mantm os procedimentos
8
Grupo 2
DS3
Gerencia a performance e capacidade do ambiente 8
Prioridade
DS7
Treina os usurios
8
intermediria
para BSP
AI2
Adquire e mantm os softwares
7
AI3
Adquire e mantm a infraestrutura tecnolgica
7
DS8
Assiste e aconselha os usurios
7
DS12
Gerencia a infraestrutura
7
DS9
Gerencia
a
configurao
6
Grupo 3
Menor
AI1
Identifica as solues de automao
5
prioridade para AI5
Instala e certifica softwares
4
BSP
DS6
Identifica e aloca custos
4
DS2
DS13
256
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
257
O SLA detalha qual a penalidade caso algum item do SLA seja descumprido;
esta penalidade em geral um desconto (percentual) no valor do servio do BSP, indo
de 2 a 50%. O depoimento de um dos entrevistados refora a importncia do SLA.
[...] eu estou assumindo contigo um nvel de servio, se eu no atender esses
quesitos, voc vai ter direito a ressarcimento, e a empresa vai comear a entrar no
vermelho porque no vai receber pelos servios justamente porque no cumpriu o SLA,
e assim a empresa quebra. Essa a sua garantia de segurana. [E1]
d) DS5 - Assegura a segurana dos servios:
Este um tema de extrema importncia nas organizaes, tanto que o ITIL
(Information Technology Infrastructure Library- conjunto de melhores prticas de
gesto de TI) o coloca como base para que o fornecimento de servios possa ser
garantido. A empresa caso deste estudo toma uma srie de cuidados com a imagem de
tica e segurana que passa aos seus clientes: fazemos tudo que possvel, dentro do
que a tecnologia nos permite (E2). H uma confiana grande na equipe, em virtude de
uma seleo rigorosa, e pelo tipo de contato com a informao dos clientes, j que o
funcionrio no sabe que informao est ali e para quem que ela pode interessar
(G1). A empresa assume que falhas podem ocorrer, mas ressalta que toma as precaues
necessrias:
[...] ns temos toda uma infra-estrutura de segurana, o que tem de melhor, de
mais bem feito, ns fazemos. Se voc achar que deixar dentro de sua casa mais
seguro, voc est enganado, mais seguro aqui, porque temos o aparato de segurana.
Se isso no bastasse, o nosso contrato prev toda a parte de confidencialidade, com
multas para tudo, alm do cdigo civil, que me obriga a reparar para ele quaisquer
danos e prejuzos, e se eu infringir isso e essa situao for para a imprensa o meu
negcio acabou [E1]
e) M1 - Monitorar os processos:
Embora parea muito semelhante ao processo de gerenciamento de operaes
(DS13), a diferena entre estes justamente a ao: monitorar ao invs de gerenciar. O
monitoramento dos processos implica na criao de uma srie de indicadores de
controle, estabelecendo mtricas e pontos de controle. Este objetivo o que mais
contribui para que a organizao possa obter os nveis de maturidade expostos no item
2.3 do nvel 0 (gerenciamento de processos inexistente) at o nvel 5 (processos
otimizados).
Com o monitoramento de processos, pode-se passar de um processo que
depende mais das pessoas do que de um mtodo propriamente estabelecido para a
utilizao de melhores prticas e melhoria contnua dos processos. fundamental nesta
atividade uma ferramenta de BPM (Business Process Management), que auxilia o
redesenho e a otimizao dos processos.
258
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
259
Isto porque para a continuidade dos servios fundamental que os acordos com
fornecedores estejam bem detalhados e passveis de execuo via SLA, alm de ter um
forte esquema de segurana fsica e lgica funcionando na organizao. O Plano de
Continuidade, alinhado Poltica de Segurana completa e bem definida, fundamental
para a garantia de continuidade dos servios, uma vez que expressa todos os
procedimentos necessrios para recuperara a capacidade de operao de uma empresa
quando em um sinistro.
importante tambm que a organizao mantenha OLAs (SLAs internos) com
todos os setores com os quais o setor responsvel pelo BSP tem dependncia (em
termos de servios realizados), visando evitar que, mesmo que os seus fornecedores
(externos) cumpram a sua parte, a continuidade dos servios seja interrompida por noconformidades internas.
k) DS10 - Gerencia os problemas e incidentes:
O gerenciamento combinado de incidentes e problemas qualifica a prestao de
servios de TI, modificando a cultura comum que privilegia a resoluo imediata no
acompanhada de reflexo no sentido de evitar que estes desconfortos ocorram
novamente. O incidente tem uma caracterstica de ser isolado, contingencial, enquanto
que o problema algo que (provavelmente) vai se repetir.
Desta forma, importante que a empresa tenha um catlogo de incidentes e
problemas, visando auxiliar a resoluo e no sentido de um comportamento pr-ativo,
investigando e resolvendo previamente incidentes que podem se tornar problemas. Este
comportamento fundamental para que a organizao seja um fornecedor confivel de
servios BSP.
Aps a anlise dos 11 processos considerados pelos dois grupos de especialistas
como prioritrios para terceirizaes atravs de BSP, percebeu-se que o processo
Gerencia os dados (DS11) no se mostrou prioritrio no caso estudado. Embora possa
ser um comportamento derivado dos limites do estudo de caso, os elementos coletados
no estudo de caso levam a acreditar que ele no se mostra realmente prioritrio, por no
ser discriminante para o BSP.
Desta forma, aps as trs etapas da pesquisa, o conjunto de controles para
melhor gerenciar e controlar a terceirizao de processos de negcio baseados em BSP
composto por 10 processos do COBIT, conforme a Figura 8, a seguir.
260
Confiabilidade
Conformidade
Disponibilidade
Integridade
Confidencialidade
Eficincia
Processos
Efetividade
Requisitos de Negcio*
261
262
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil