MODELO DE PLANEJAMENTO ESTRATÉGICO DE SISTEMAS

DE INFORMAÇÕES: A VISÃO DO PROCESSO DECISÓRIO E O

PAPEL DA APRENDIZAGEM ORGANIZACIONAL1

Jorge Luis Nicolas Audy

João Luiz Becker
Henrique Freitas

RESUMO

Uma nova visão com relação ao processo de planejamento estratégico de

sistemas de informação está sendo demandada com a emergência e consolidação destes
novos conceitos e percepções do processo decisório organizacional e da aprendizagem
organizacional. Estas duas áreas pressionam de forma equivalente no sentido de
mudanças na postura gerencial (no tocante ao processo decisório) e nos aspectos
referentes a implementação de planos de SI (no tocante aos usuários e equipe técnica).
Neste sentido, a seguir apresenta-se considerações sobre estes impactos, direcionando
para um novo modelo de planejamento estratégico de SI que contemple aspectos
relativos à nova visão em termos de condução do processo decisório, na linha do
incrementalismo lógico e da aprendizagem organizacional como base do processo de
implementação do plano de base tecnológica e a mudança organizacional resultante.

1
Artigo publicado originalmente no Congresso ENANPAD, Foz do Iguaçú, setembro de 1999.

53
1. INTRODUÇÃO

As organizações vêm enfrentando um ambiente extremamente competitivo, inseridas

em uma sociedade profundamente afetada pelos novos paradigmas introduzidos pela chamada
sociedade da informação. A nova realidade provoca uma reorganização intensa da sociedade,
gerando modificações nas organizações (Tapscott, 1997). Para continuarem crescendo, ou até
mesmo para continuarem sobrevivendo, elas necessitam mudar, inevitavelmente, pois os
paradigmas, políticos, econômicos e sociais estão mudando e os modelos atuais de organização
empresarial estão sendo fortemente questionados. Neste novo contexto, o papel da Tecnologia
da Informação (TI) torna-se relevante. Sua efetiva utilização pelas organizações tem sido
considerada crucial para sua sobrevivência e estratégia competitiva (Porter, 1995). Em virtude
desta importância e do elevado investimento necessário para incorporar as novas tecnologias, as
organizações devem procurar um máximo de garantias para viabilizar seu uso com sucesso.
Sob este enfoque, a gestão da informação, centrada em aspectos organizacionais e não
meramente tecnicistas, destaca-se fortemente. Não há qualidade na gestão sem informação. As
empresas que ganharão a guerra da concorrência são aquelas que tiverem vencido a guerra da
informação. Tem-se a emergência de uma nova área na administração, a gestão da informação
e, mais focalizadamente, a gestão estratégica da informação. Neste sentido emerge uma nova
classe de problemas a serem formulados e resolvidos, centrados neste recurso estratégico que é
a informação.
Muito já se escreveu sobre os problemas relacionados com o uso da informática nas
organizações, tanto no exterior (Nolan, 1979; Gillenson, 1986; Atherton, 1987; Hoare, 1987;
Davenport, 1989; Wysocki, 1990; Martin, 1985; Kini, 1993; Sprague, 1993; Turban, 1995;
Ward e Griffiths, 1996), como no Brasil (Dias, 1985; Freitas, 1993; Torres, 1994; Freitas et alii,
1997; Furlan, 1997). A construção de sistemas de informação e o processo de informatização
das organizações tomam muito tempo e têm altos custos. Por outro lado, os resultados até aqui
alcançados não têm sido satisfatórios. As dificuldades de implantação, uso e manutenção são
enormes e os administradores não conseguem obter as informações quando são necessárias. As
bases de dados normalmente apresentam informações redundantes e desorganizadas. Muitos
programas impedem a absorção de novos procedimentos organizacionais com a rapidez e a
flexibilidade desejadas. Muitos ambientes possuem plataformas de hardware e software
inadequadas às suas necessidades. A resistência aos processos de mudança gerados pela
implantação de sistemas de informação é crescente.
No momento atual, para garantir uma boa posição no mercado as organizações
dependem de sua capacidade de criar aplicações computacionais eficientes rapidamente, e isso
requer mais do que ferramentas para projetar e construir programas e sistemas. São necessárias
metodologias de planejamento estratégico de sistemas de informações (SI), que aproveitem as
tecnologias e ferramentas, visando desenvolver a criatividade e o conhecimento dos usuários
(Torres, 1994; Ward e Griffiths, 1996). Tradicionalmente as metodologias de planejamento de
uso dos recursos de computação têm sido orientadas para a prospecção dos processos básicos da
organização, centrando suas atenções sobre os sistemas de informação tradicionais e de suporte
administrativo. Isto decorre das principais deficiências das metodologias existentes, quais
sejam:
• falta de uma abordagem sistemática para a orientação estratégica do uso das
tecnologias da informação;
• falta de integração entre as abordagens estratégica, funcional e operacional;
• excessiva orientação para processos e funções, para dentro da organização (Torres,
1994).
A aprendizagem é um novo e crítico conceito no desenvolvimento de estratégias de SI.
A idéia básica está centrada na disciplina apresentada por Senge (1990), visando a formação de
uma visão compartilhada no tocante a como usar a nova tecnologia. Quando existe uma visão
genuína e compartilhada na organização, as pessoas aprendem, não porque são manipuladas
neste sentido, mas porque elas querem e porque este comportamento voltado para a

54
aprendizagem faz parte da própria natureza humana. Entretanto, existe uma enorme lacuna nas
metodologias e modelos no sentido de viabilizar a transposição de visões individuais ou de
pequenos grupos para visões compartilhadas (Reponen, 1998). O objetivo central do processo
de planejamento estratégico de SI deveria ser o de desenvolver uma visão compartilhada
referente a como usar a tecnologia.
Novas abordagens podem contribuir na busca de ferramentas que auxiliem o processo
de gestão da informação nas organizações. Este artigo, de caráter exploratório, estuda o
problema da criação de estratégias implementáveis de sistemas de informações (SI). Entende-se
por implementável o desenvolvimento de planos que sejam viáveis de implementação na
organização para a qual o plano foi desenvolvido, respeitando suas características e
particularidades. A partir das principais visões sobre o processo decisório, desde a visão
racional até a visão política, e das potenciais contribuições da área de aprendizagem
organizacional, propõe-se um modelo de referência para planejamento estratégico de SI. O
modelo proposto incorpora as dimensões de avaliação, estratégia e implementação.
O artigo, em suas seções 2 e 3, apresenta, brevemente, a evolução das visões do
processo decisório como decorrência das mudanças que a sociedade como um todo está
passando e os principais conceitos associados à aprendizagem organizacional. Busca-se uma
síntese na seção 5, apontando para novos elementos que devem compor um quadro de
referência. Finalmente a seção 6 apresenta o modelo de planejamento estratégico proposto,
implementável e orientado à resultados nas organizações.

2. O PROCESSO DECISÓRIO NAS ORGANIZAÇÕES

O plano resultante do processo de planejamento é o principal suporte para a gestão nas

organizações. Parece ser útil, conseqüentemente, para melhor instruir o processo de
planejamento, verificar como se processa a tomada de decisão nas organizações. A análise do
processo decisório tem evoluído ao longo do tempo, passando de uma visão idealizada (e
restrita) de racionalidade para uma abordagem incremental, com fortes componentes políticos e
subjetivos. Aborda-se aqui esta evolução, buscando identificar contribuições das diferentes
visões do processo decisório para o entendimento dos processos de planejamento estratégico de
informações nas organizações.

2.1. A Decisão Racional

A visão dita racionalista do processo decisório é ancorada no trabalho seminal de Von

Newmann (1947), com sua Teoria Axiomática da Utilidade Esperada, e no desenvolvimento da
Pesquisa Operacional durante a segunda guerra mundial, com sua abordagem sistêmica, de
otimização (Churchman et alii, 1957). Em síntese, considera-se que os decisores têm condições
de identificar todas as alternativas possíveis, bem como suas conseqüências. Decorre daí
sempre existir pelo menos uma alternativa que pode ser considerada correta (ótima) pelo
decisor. Basta ao decisor encontrá-la. Esta visão “racional” é típica da escola americana,
rotulada de “Decision Analysis” (Raiffa, 1968; Howard, 1968; Keeney e Raiffa, 1976),
caracterizada pela análise individual do processo decisório, ignorando o ambiente
organizacional.
Na visão crítica de Allais (1953), “racional” para esta escola é se adequar aos axiomas
da teoria. Em geral, o racionalismo conduz à paralisia e à dificuldade de inovação. As análises
racionais são muito complexas para serem úteis, muito pesadas e volumosas para serem
flexíveis, e muito precisas sobre o desconhecido. O sucesso e a excelência empresarial parecem
passar longe do excesso de racionalismo (Peters e Waterman, apud Motta, 1996).
Mais modernamente, e menos arrogantemente, a análise sistêmica tem sido útil na
construção dos chamados sistemas de apoio à decisão (SAD).

55
2.2. Racionalidade Limitada

March e Simon (1963) exploram as limitações da capacidade intelectual humana. Em

confronto com as complexidades dos problemas que os indivíduos e as organizações têm que
resolver, o comportamento racional exige modelos simplificados, que captem os aspectos
principais de um problema sem arrastar todas as suas complexidades. Estas simplificações,
necessárias devido aos limites cognitivos da racionalidade, no tocante ao processo decisório,
envolve a substituição da decisão ótima pela satisfatória.
Apesar de denominar-se uma teoria comportamental da decisão, os trabalhos de Simon
podem ser ainda enquadrados na abordagem racionalista do processo decisório. Na realidade o
modelo de Simon não trata dos aspectos subjetivos do processo decisório ligados ao decisor,
limitando-se a considerar suas limitações cognitivas.

2.3. O Modelo Político

Qualquer organização pode ser vista como uma estrutura de poder. Poder
organizacional significa, para um indivíduo, maior controle sobre seus ganhos e perdas e maior
influência sobre comportamentos alheios e destino da própria organização. Claro está que o
poder tende a concentrar-se nos níveis hierárquicos mais elevados. Cyert e March (1963), ao
analisarem o processo decisório organizacional, concluem ser este um processo de negociação
política, entendendo a organização como uma coalizão de poder.
Lindblom (1959) e Allison (1971) evidenciam a impossibilidade do ideal racional.
Allison considera fundamental, independente do modelo decisório utilizado para análise,
considerar que a essência da decisão incluirá o interesse dos diversos grupos que participam do
processo. Lindblom analisa o processo decisório sob uma perspectiva política, visualizando
suas limitações e fragmentações. Propõe um modelo incremental (incrementalismo disjuntivo)
para o processo decisório. Os gerentes bem sucedidos não ditam objetivos detalhados, não
fazem planos mestres e raramente fazem declarações de política. Dão às organizações um
sentido de direção, identificando oportunidades, sendo sensíveis à estrutura de poder (Wrapp,
1967). A administração, no sentido do processo decisório, deve ser baseada em uma constante
adaptação por parte dos gerentes, não sendo uma ciência abrangente, sistemática, lógica e bem
programada.

2.4. O Incrementalismo Lógico

O incrementalismo lógico se apresenta como uma descrição realista dos processos de

decisão estratégica, articulando os modelos racionais de análise estratégica, de sistemas formais
de planificação e os modelos do tipo político. É uma maneira eficaz de determinar boas
estratégias, com a condição de ser aplicado por um dirigente hábil, podendo ser caracterizado
por quatro pontos:
• a formulação da estratégia se efetua através de vários subsistemas que reúnem as
pessoas em torno de um problema de importância estratégica, mas que não
representa toda a estratégia (esta noção de subsistema pode ser aproximada da
lixeira metafórica, que reúne participantes, problemas e soluções, quando de uma
oportunidade de escolha);
• cada subsistema se apoia sobre esquemas lógicos, aproximações analíticas, modelos
normativos potentes, mas cada um tem sua própria lógica e segue um processo de
desenvolvimento particular, de modo que os subsistemas simultaneamente ativos
estão raramente em fase;
• cada subsistema encontra os bem conhecidos limites da racionalidade; a estratégia
global da empresa, confrontada com as interações dos subsistemas, se desenha,

56
 portanto, de maneira por vezes lógica (no subsistema) e incremental (na interação
entre os subsistemas);
• pelas mãos do dirigente hábil, a aproximação pelo incremento não consiste em
simplesmente “se virar”, constituindo-se em uma técnica de gerenciamento,
orientada, eficaz e pró-ativa, para melhorar e integrar os aspectos analíticos e
comportamentais envolvidos na formulação da estratégia (Quinn, 1980).
Neste perspectiva, o dirigente dispõe de um certo poder que lhe permite controlar o
processo de decisão e, portanto, influir significativamente sobre a estratégia global da empresa.
Mas este poder é muito mais informal que formal, indireto que direto. Sua utilização é portanto
delicada, e a qualidade do resultado depende da habilidade do dirigente. Contrariamente ao
incrementalismo disjuntivo, admite-se a existência dos objetivos nas organizações, sem,
entretanto, a coerência perfeita dos sistemas planificados. O incrementalismo lógico combina
uma aproximação analítica e uma aproximação político-comportamental, em uma concepção
complexa do processo de decisão. Reintroduz o dirigente como integrador e administrador da
ambigüidade, reconhecendo seu poder.
As diferentes visões do processo decisório podem e devem contribuir para o
entendimento do processo de gestão e, consequentemente, do apoio a ser fornecido pelo plano
gerado a partir de um processo de planejamento estratégico de SI. Neste sentido, a visão do
incrementalismo lógico oferece uma adequada aproximação com a realidade organizacional,
particularmente na área de SI, constituindo-se em uma adequada base teórica. Na seção 4 deste
documento exploram-se as contribuições que podem ser obtidas a partir deste enfoque.

3. APRENDIZAGEM ORGANIZACIONAL

A aprendizagem organizacional tem sido identificada como importante elemento para

resolução de problemas no ambiente organizacional, especialmente os relacionados às fortes
pressões competitivas do mercado e às mudanças de base tecnológica. A abordagem enfatiza a
geração de aprendizado coletivo, de duplo circuito, via contínuo questionamento de
pressuposições. Seu desenvolvimento é máximo quando a organização atinge uma estrutura
holográfica, onde cada uma das partes possui a representação do todo organizacional,
permitindo sua reconstituição a partir de qualquer de suas partes (Morgan, 1996).
O processo de aprendizagem organizacional é modelado como um desenvolvimento
contínuo, centrado em cinco disciplinas:
• domínio pessoal - as organizações somente aprendem por meio do aprendizado dos
indivíduos que a compõem; a aprendizagem individual não garante a aprendizagem
organizacional, porém não existe aprendizagem organizacional sem aprendizagem
individual;
• modelos mentais - é necessário reconhecer o papel dos modelos mentais, pré-
concebidos, e formas de manejá-los, de forma a viabilizar o surgimento, a
verificação e o aperfeiçoamento de novas imagens sobre o funcionamento da
organização; esta é uma inovação decisiva na construção de organizações
inteligentes;
• visão compartilhada - é uma força derivada do interesse comum, vital para a
organização, pois proporciona concentração e energia para a aprendizagem; a visão
compartilhada é básica para a obtenção de comprometimento, ponto chave em
qualquer processo de mudança;
• aprendizagem em equipe - tem por fundamento a idéia de alinhamento, onde um
grupo de pessoas funciona como uma totalidade, concentrando energias na busca de
um resultado; como todas as decisões importantes são tomadas em equipes, a
aprendizagem em equipe torna-se um aspecto chave de aprendizagem nas
organizações;
• pensamento sistêmico - é um marco conceitual, um corpo de conhecimentos e
ferramentas que têm se desenvolvido nos últimos cinqüenta anos; caracteriza-se

57
 como a disciplina integradora das demais, viabilizando que as cinco se desenvolvam
em conjunto (Senge, 1990).

A importância do grupo é crítica na obtenção de aprendizagem organizacional (Kolb,

1978; Mintzberg, 1995). Para Mintzberg, a validade das estratégias formuladas somente ocorre
quando elas tornam-se coletivas, caracterizando-se como organizacionais, guiando o
comportamento organizacional em alta escala.
As contribuições oferecidas pela abordagem da aprendizagem organizacional
constituem-se em elemento chave na busca de explicações para os repetidos e constantes
fracassos em processos de incorporação de TI nas organizações. Consegue-se perceber que a
implementabilidade dos planos gerados pelo processo de planejamento estratégico de SI
dependem de aspectos ligados à participação, ao comprometimento e à flexibilidade para a
mudança de base tecnológica. Na próxima seção exploram-se mais adequadamente estas
contribuições potenciais ao processo de planejamento estratégico de SI.

4. LIÇÕES PARA O PROCESSO DE PLANEJAMENTO ESTRATÉGICO DE SI

Devemos analisar o processo decisório sob diversas lentes, segundo as visões

apresentadas anteriormente. Esta multiplicidade de visões nos permite um entendimento mais
abrangente do processo decisório, que é multifacetado, onde os aspectos subjetivos e políticos
possuem importante papel no resultado final. Ora, os modelos de planejamento existentes na
área de SI têm dificuldades de implementação porque são altamente prescritivos e implicam em
alto grau de formalismo e tecnicismo em suas abordagens, em uma linha nitidamente “racional”.
Os modelos de planejamento não necessitam ser prescritivos, desde que os diversos elementos
envolvidos no processo sejam abordados. De fato, Ward e Griffiths (1996) constatam que
muitas organizações utilizam um grande numero de ferramentas de planejamento sem os
benefícios de um modelo coerente e sem uma aparente seqüência, evidenciando uma visão
estratégica e uma abordagem incremental que não é acompanhada pelos modelos existentes.
Por outro lado, Porter (1995) encontra evidências de que o planejamento estratégico na
maior parte das vezes não contribui com o pensamento estratégico. A resposta não é abandonar
o planejamento. Ao contrário, o autor entende que as necessidades de um pensamento
estratégico nunca foi tão grande. Porter, assim como Motta(1991) e Boar(1993) acreditam que a
nova visão do processo decisório tem deslocado o processo de planejamento estratégico para
dentro da atividade gerencial, na linha proposta por Quinn(1980).
A área de SI tem estado sob uma tremenda pressão de mudanças frente às novas
possibilidades tecnológicas, organizacionais e de mercado (Figura 1), demandando uma nova
visão na formulação e implantação de estratégias nesta área, gerando forte pressão sobre os
tomadores de decisão.

FATORES
ORGANIZACIONAIS
. novas formas
organizacionais
. novas demandas
de negócios

FATORES FATORES DE
TECNOLÓGICOS MERCADO
. evolução da Área de . globalização
tecnolologia . competição
. novas tecnologias SI

Figura 1 – Pressões de mudanças

58
 A estratégia não é resultado exclusivo do processo de planejamento estratégico, mas o
produto de um conjunto de processos que contribuem para o estabelecimento de uma estratégia.
Ward e Griffiths (1996) apontam três processos considerados essenciais:
• planejamento estratégico, sistemático e compreensivo, possibilitando o
desenvolvimento de um plano de ação;
• pensamento estratégico, criativo, empreendedor e imaginativo, adequados às
características da organização, tornando o planejamento estratégico viável de ser
desenvolvido;
• processo de tomada de decisão oportunístico, possibilitando uma postura pró-
ativa frente a fatos novos e oportunidades ao longo do processo.

Grande gama de modelos e métodos têm sido desenvolvidos para a área de SI, tendo por
objetivo aproximar a área de negócios da TI. Diferentes métodos buscam formular estratégias
de atuação na área, mas não atuam mais do que como suporte às atividades meio das
organizações. A formulação estratégica vigente é um processo mental, que direciona um
conjunto de objetivos para as áreas operacionais. Galliers e Baets (1998) afirmam que as
estratégias devem ser criadas e formuladas mesmo sob forte pressão de mudanças, e envolver
muitas manobras políticas, que fazem parte do processo decisório organizacional.
No sentido de criar uma estratégia efetivamente factível de implementação, os
representantes das áreas de negócios devem ser envolvidos em profundas considerações sobre
oportunidades de desenvolvimento de negócios através da TI. Desta forma, a estratégia é
formulada através da iniciação, pensamento e maturidade (Figura 2), permitindo que as decisões
sejam tomadas ao longo do processo de planejamento, em paralelo com o delineamento das
oportunidades e aspectos envolvidos.

INICIAÇÃO

PENSAMENTO

MATURIDADE

Figura 2 – Formulação da estratégia

Fonte: Reponen (1998)

Como já observado, deve ser destacada a importância do processo de aprendizagem

organizacional como fundamental para a viabilização de processos de mudança nas
organizações. Este processo visa atuar diretamente sobre a principal fonte de problemas relativa
ao processo de incorporação de TI nas organizações, relacionadas às resistências do pessoal
(usuários) e dificuldade de aceitar e participar do processo de mudança gerado (Gillenson, 1986;
Martin, 1991; Sprague, 1993; Boar, 1993; Ward e Griffiths, 1996; Turban, 1995; Galliers e
Baets, 1997; Reponen, 1998).
Um dos aspectos mais interessantes do modelo proposto é a busca para respostas
relativas à implementação das cinco disciplinas da aprendizagem organizacional como forma
viabilizadora do processo de mudança de base tecnológica. Destaca-se a relevância destas
disciplinas para a efetiva implantação de planos na área de SI. As implicações de cada
disciplina de aprendizagem para a área de SI são:

59
 • visão compartilhada - um dos objetivos de um plano na área de SI é obter uma
visão compartilhada por todos os envolvidos em como usar a tecnologia; o desafio é
como obter esta visão comum, como pré-requisito para o comprometimento
necessário para a implementação do plano; isto pode ser obtido através de esforços
de aprendizagem cooperativos, em pequenos grupos aprendendo junto e
compartilhando visões comuns;
• aprendizagem em grupo - a criação de uma estratégia, não só na área de SI, é
normalmente um problema de trabalho em equipe envolvendo representantes de
diversas áreas da organização; o objetivo desta estratégia deve ser gerar
aprendizagem no grupo; a abordagem de Argyris (1995) de pesquisa-ação atua neste
sentido, centrada no cliente e contextualizada na realidade organizacional; o método
pode ser utilizado também na área de SI;
• pensamento sistêmico - envolve uma das bases da própria área de SI, o enfoque
sistêmico para resolução de problemas, partindo de uma visão do todo; a busca de
soluções de infra-estrutura tecnológica de largo alcance e impacto organizacional
para diversas áreas requer este tipo de visão, atuando também como elemento
integrador entre usuários e equipe técnica envolvida;
• domínio pessoal - envolve um pré-requisito básico para o desenvolvimento de
organizações inteligentes, no sentido de estabelecer as condições iniciais de
aprendizagem e capacidade para participar e se envolver no processo de mudança,
particularmente na área de tecnologia da informação, envolvendo desde o nível de
capacidades acumuladas historicamente, treinamento e capacitação tecnológica, até
a reeducação para novas formas de trabalho;
• modelos mentais - envolve habilidade dos níveis gerenciais de abordarem e
trabalharem a questão dos modelos mentais dos envolvidos no processo de
mudança, representados pela resistência ao novo, particularmente na área de novas
tecnologias da informação; estes modelos mentais podem se transformar em
poderosos alavancadores do processo de mudança com relação ao uso e resultados
advindos da TI.

5. MODELO PROPOSTO

Apresenta-se, nesta seção, um modelo de planejamento estratégico para SI, procurando

incorporar algumas das características revisadas, como ponto de partida para um estudo mais
aprofundado envolvendo o papel da aprendizagem organizacional e das características do
processo decisório no planejamento estratégico de SI. O modelo geral é esquematizado na
Figura 3. Ele incorpora as três dimensões apresentadas por Ward e Griffiths (1996) e o
processo de aprendizagem organizacional como condição básica para o processo de implantação
e efetiva mudança organizacional (Senge, 1990 e Galliers e Baets,1997), dentro de uma visão
aderente ao modelo proposto por Quinn (1980), entendendo o processo decisório pela lente do
incrementalismo lógico.

60
 AVALIAÇÃO ESTRATÉGIA

NEGÓCIO NEGÓCIO
FUTURO
- ESTRATÉGIAS E PLANOS
CORPORATIVOS - OBJETIVOS ÀREA DE SI
- TENDÊNCIAS E OPORTU- ALINHAMENTO - INFRA-ESTRUTURA
NIDADES DAS TI ESTRATÉGICO TECNOLÓGICA
- AMBIENTE ORGANIZA- DE TI - GERÊNCIA DE MUDANÇA
CIONAL

ESTRATÉGIA
DE MUDANÇA

IMPLEMENTAÇÃO

- APRENDIZAGEM
ORGANIZACIONAL
- PROGRAMAS DE
IMPLEMENTAÇÃO

TOMADA DE DECISÕES
OPORTUNÍSTICAS

Figura 3 – Modelo Proposto

O modelo parte da incorporação dos novos conhecimentos oriundos das áreas de tomada
de decisão e de aprendizagem organizacional, visando o desenvolvimento de estratégias
implementáveis de SI, reconhecendo que os conhecimentos, capacidades e habilidades dos
participantes da organização afetam diretamente a forma como a área de SI é gerenciada e
utilizada. Os aspectos humanos são contemplados pelo reconhecimento da organização como
uma estrutura de aprendizagem, onde gerentes e usuários estão envolvidos no processo. Neste
sentido, a estratégia de SI é um produto simultâneo dos processos de aprendizagem e de
planejamento, inseridos no processo de planejamento estratégico de SI. Visualizar as
organizações como estruturas de aprendizagem implica também reconhecer que cada
organização tem características que a diferencia das demais, histórias passadas que determinam
sua cultura e são baseadas em capacidades acumulativas de aprendizagens passadas.
No tocante à definição das estratégias de TI, a retroalimentação entre a fase de
implantação, por meio do processo decisório oportunístico, e a fases de avaliação e de
estratégia, propicia ao longo do tempo o ajuste das estratégias, entre a estratégia original e a
realizada, a partir da estratégia emergente, conforme apresentado por Mintzberg (1995), e
representado na Figura 4.

61
 ESTRATÉGIA ESTRATÉGIA
INICIAL REALIZADA

ESTRATÉGIA ESTRATÉGIA
NÃO REALIZADA EMERGENTE

Figura 4 – Formulação da estratégia

Fonte: Mintzberg (1995)

O modelo é composto por três dimensões básicas, relativas a avaliação, estratégia e

implementação. A dimensão de avaliação envolve inicialmente a verificação do planejamento
estratégico corporativo, identificando as estratégias e planos corporativos, visando delinear
claramente a forma como a área de TI pode atuar de forma a contribuir com o negócio
projetado. Neste sentido, procura-se viabilizar um efetivo alinhamento estratégico,
possibilitando a aderência da área de sistemas aos planos corporativos. Ainda no segmento de
avaliação, tem-se a identificação de tendências e oportunidades da área de TI, fortemente
localizada no ambiente externo à organização, sendo um dos elementos essenciais para a
formulação de alternativas estratégicas, em conjunto com um sólido conhecimento interno do
ambiente organizacional. Este envolve o conhecimento da organização em sua totalidade,
envolvendo todo o mapeamento conceitual, tanto em termos de funções como de dados
manipulados.
A transição entre as dimensões de avaliação e de estratégia está centrada no
delineamento da nova visão de negócio da organização e de que forma se estabelecerá um
alinhamento estratégico entre a área de TI e a corporativa. Outro aspecto importante é a
definição de condições e padrões adequados para o processo de mudança resultante do processo
de planejamento, por meio da definição de ações e de procedimentos visando a
implementabilidade das estratégias a serem definidas no âmbito do plano em desenvolvimento.
A estratégia de mudança assume, assim, um papel crítico no processo de planejamento de TI,
visando preparar a empresa como um todo ao processo de mudança, criando as condições
adequadas, na linha da aprendizagem organizacional, buscando obter participação e
comprometimento com o processo desde seu início. Neste momento, com certeza, deverão ser
chamados a participar outras áreas da organização, como a de recursos humanos. Esta
participação não estaria vinculada à elaboração do plano em si, que obviamente pressupõe a
participação de todas as áreas da empresa, mas sim na avaliação e formulação de propostas no
sentido de preparar a organização, como um todo ou seletivamente, ao processo de mudança.
Isto deverá ocorrer centrando a atenção em aspectos relativos ao conhecimento e disseminação
dos objetivos estratégicos (objetivos compartilhados), disparar processos de capacitação e
acumulação de informações relativas à área de tecnologia (domínio pessoal e modelo mental),
preparar equipes de trabalho para conduzirem o processo em suas áreas, com preparação e
conhecimento em resolução de problemas e comportamento pró-ativo (aprendizagem coletiva),
buscando, enfim, uma compreensão mais sistêmica da questão por parte dos usuários
(pensamento sistêmico).
A dimensão de estratégia envolve a definição clara do papel que a área de SI vai
desempenhar no negócio da organização, visando uma atuação alinhada estrategicamente na
área de TI. São definidos os referenciais do planejamento na área de TI, os objetivos da área de
SI e delineada a infra-estrutura tecnológica para fazer frente às exigências organizacionais.
Ainda neste segmento é importante destacar o papel da gerência de mudança, agindo
diretamente no sentido de balizar e conduzir o processo de implantação do plano gerado. Esta
visão deve ser aderente e coordenada com as ações em desenvolvimento desde o início do
segmento de avaliação, visando preparar o caminho para uma implantação efetiva do planejado.

62
Neste sentido, o segmento de estratégia alimenta diretamente a equipe responsável por conduzir
o processo de mudança, com a preocupação centrada em questões organizacionais e não
técnicas. Este elemento de transição, centrado nas estratégias de mudança, é que deverá estar
preparando a empresa para realizar uma eficaz implantação do plano gerado, incorporando
conhecimentos e procedimentos, visando criar um ambiente de aprendizagem propicio à
mudança.
A dimensão final é a de implementação do plano. Esta etapa é a que envolve os maiores
riscos e problemas no processo de incorporação de novas tecnologias. Isto ocorre basicamente
por três motivos: resistência do pessoal, abrangência do estudo e rigidez no processo decisório.
As questões referentes à resistência do pessoal estão relacionadas basicamente à falta de
conhecimento do que está acontecendo com relação aos objetivos, prioridades, capacitação e
participação, gerando um comprometimento muito baixo. Estes problemas são atacados
diretamente a partir da forte ênfase em aprendizagem e nos seus elementos básicos
apresentados, visando um maior comprometimento com os resultados potenciais, tendo por base
a participação em todas as etapas do processo. A abrangência do estudo tende a tornar-se mais
sistêmica, envolvendo a organização como um todo, no momento em que se amplia a
participação e o envolvimento dos usuários. Neste sentido, o desenvolvimento dos programas
de implementação ou projetos de ação terão sido resultado de intensa participação,
contextualizados organizacionalmente e devidamente alinhados com os objetivos
organizacionais. Finalmente, o processo decisório deverá ser conduzido de forma incremental,
na visão do incrementalismo lógico, reconhecendo a existência de uma plano norteador,
resultado do processo de planejamento estratégico, porém permitindo grande flexibilidade no
processo decisório frente às mudanças e transformações, tanto tecnológicas, como
organizacionais e de mercado (tomada de decisões oportunísticas). O plano deve ser utilizado
como um instrumento básico de apoio à gestão, atuando tanto no nível técnico como
organizacional, visando uma implementação eficaz. Deve permitir, por definição, a
retroalimentação, tanto em nível de avaliação (em questões de maior impacto) como em nível de
estratégia, visando redefinir aspectos relativos à infra-estrutura tecnológica, tais como
plataforma de hardware, ambiente de software, estrutura de pessoal e comunicação. Esta
retroalimentação ocorre no âmbito da estratégia de mudança, incorporando novas aprendizagens
advindas do próprio processo de implementação em curso, incorporando um dos princípios
básicos da aprendizagem organizacional, o de aprender com os erros e a experiência.
O centro da análise desenvolvida neste artigo está relacionado com a
implementabilidade do plano estratégico de SI nas organizações. Paralelamente a esta questão,
destaca-se que a estratégia de SI, vista holisticamente como o uso de TI em uma organização,
busca um balanço entre aplicações externas e internas, sistemas existentes e novos, ambientes
de processamento centralizados e distribuídos, compra e desenvolvimento de soluções, etc. Esta
infra-estrutura tecnológica irá viabilizar e definir o perfil de processamento de informações na
empresa. Tapscott (1997) destaca que esta informação é uma importante fonte de produtividade
e competitividade. Sua importância cresce, na medida em que as organizações estão se
constituindo em redes, globais e interligadas, fortemente baseadas no conhecimento. A
vantagem competitiva pode então ser obtida a partir de uma abordagem sistêmica do uso da TI
nos negócios, visando a obtenção de melhores resultados (Figura 5).

> QUALIDADE
GESTÃO
DA > PRODUTIVIDADE > COMPETITIVIDADE
INFORMAÇÃO planejamento
estratégico de < CUSTOS
sistemas de
informação

Figura 5 – Papel do Planejamento Estratégico de Sistemas de Informações

63
 Desta forma, a competitividade pode ser vista como a combinação de aspectos humanos
e tecnológicos. O objetivo dos planos estratégicos de SI devem estar direcionados para gerar
estratégias adequadas e implementáveis para cada um destes aspectos, que pode ser obtido
através de um processo de planejamento interativo baseado na aprendizagem, incorporando uma
visão mais flexível e dinâmica do processo decisório na área de SI.

6. CONCLUSÃO

Apesar dos recentes desenvolvimentos da área de SI, a definição de estratégias de SI

continua a ser o principal problema crítico de gerenciamento de informações (Galliers e Baets,
1998), indicando que a busca de competitividade através do uso da TI tem sido questionado. O
mito da obtenção de vantagem competitiva a partir de aplicações estratégicas de TI tem
crescido. O grande desafio enfrentado por teóricos e administradores da área se refere à ligação
entre os planos de negócios e os de SI e, principalmente, aos aspectos ligados à
implementabilidade dos planos desenvolvidos na área de SI. O processo de planejamento na
área de SI, para fazer frente às atuais demandas da área de negócios, deve implementar uma
visão de planejamento estratégico de SI como um processo de aprendizagem interativo, visando
o desenvolvimento e a redefinição de processos de negócios incorporando o uso de TI. Uma
estratégia real de SI é aquela que é essencialmente um processo de planejamento nas mentes dos
tomadores de decisão, usuários e profissionais da área de SI. Isto é suportado por relatórios e
planos, porém eles têm uma importância secundária.
Concluindo, estratégias implementáveis de SI devem ser geradas a partir de uma
abordagem participativa, onde o entendimento sobre o uso da TI deve ser crescente e
acumulativo. A visão do incrementalismo lógico no processo decisório e o papel do ambiente de
organizações de aprendizagem desempenham papéis relevantes na busca de um modelo de
planejamento estratégico de informações eficaz, efetivamente implementável com resultados
alcançáveis.

BIBLIOGRAFIA

ALLAIS, P. M. Le Comportement de L’Homme rationnel Devant le Risque: Critique

des Postulats et Axioms de L’Ecole Americaine. Econometrica, Octuber 1953, Vol
21, Number 4.
ALLISON, G. Essence of decison: explaining the cuban missile crisis. Boston, Little
Brown, 1971.
ATHERTON Tecnology White Paper. Atherton Technology, Sunnyvale, USA, 1987.
BENJAMIN, R. I. ROCKART, J. F. MORTON, M. S. e WIMAN, J. Information
Technology: a strategic opportunity. Sloan Management Review, USA, Spring
1984.
BOAR, B. The Art of Strategic Planning for Information Technology. New York, John
Wiley and Sons, 1993.
BRANCHEAU, J. C. e WETHERBE, J. C., Key issues in information systems
management. MIS Quaterly, Minneapolis, Mar/1987.
CHURCHMAN, C.W., ACKOFF, R.L. e ARNOFF, E.L. Introduction to Operations
Research. New York, John Wiley and Sons, 1957.
CYERT, R. e MARCH, J. A behavioral theory of the firm. Englewood Cliffs, N.J.,
Prentice-Hall, 1963.
DAVENPORT, T. H., HAMMER, M. e METSISTO, T. How executives can shape their
company’s information systems. Harvard Bussiness Review, Boston, Mar/1983.

64
DAVIS, G. B., Management Information Systems: conceptual fundations, struture and
development. New York, McGraw-Hill, 1974.
DIAS, D. S. O sistema de Informação e a empresa. Rio de Janeiro, LTC, 1985.
FREITAS, H., BECKER, J.L. e KLADIS, C. Informação para a Decisão. Ortiz, Porto
Alegre, 1997.
FREITAS, H. M. A informação como ferramenta gerencial. Ortiz, Porto Alegre, 1993.
FURLAN, J. D. Modelagem Estratégica de Negócios. São Paulo, Makron, 1997.
GALLIERS, H. e BAETS, R. Information Technology and Organizational
Transformation. Chichester, England, John Wileyand Sons, 1998.
GILLENSON, M. e GOLDBERG. R. Planejamento Estratégico - Análise de Sistemas e
Projeto de Banco de Dados. Rio de Janeiro, LTC, 1986.
HOARE, L. A. The engineering of software: a startling contradiction. Computer
Bulletin, British Computer Society, dez 1985.
HOWARD, R.A. The Foundation of Decision Analysis, USA,1968.
KEENEY, R.L. e RAIFFA, H. Decision with Multiple Objectives. New York, John
Willey & Sons, 1976.
KINI, R. B. Strategic Information System: a misunderstood concept ? ISM, Boston, fall
1993.
LINDBLOM, C. The science of Muddling-Through. Public Administration Review,
19(1), 1959.
MARCH, J. & SIMON, H. Os Limites Cognitivos da Racionalidade. In: MARCH, J. &
SIMON, H. Teoria das Organizações. Rio, FGV, 1963, capitulo 6.
MARCH, J. e OLSEN, J. Ambiguity and Choise in organizations. Norway,
Universitetsforlaget, 1976.
MARTIN, J. Engenharia da Informação. Rio de Janeiro, Campus, 1991.
MINTZBERG, H. Crafting Strategy. In: Harvard Bussiness Review Paperback. Boston,
Harvard Business Review, 1995.
MOTTA, P.R. Gestão Contemporânea: a ciência e a arte de ser dirigente. Rio de
Janeiro, Ed. Record, 1996.
MORGAN, K. Imagens da Organização. São Paulo, Atlas, 1996.
NOLAN, R. L. Managing the crises in data processing. Harvard Bussiness Review,
Weley, Mar/1979.
PEREIRA, M.J. e FONSECA, J.G. Faces da Decisão. São Paulo, Makron Books,
1997.
REPONEN, T. The Role of Learning in Information System Planning and
Implementation. In: GALLIERS, H. e BAETS, R. Information Technology and
Organizational Transformation. Chichester, England, John Wiley and Sons, 1998.
RHINOW, G. Evolução da Prática de Concepção de Estratégias dentro das
Organizações: do Planejamento à Aprendizagem. Anais XX ENANPAD, Rio de
Janeiro, 1996.
PORTER, M. E. e MILLAR, V. E. How Information gives you competitive advantage.
Harvard Bussiness Review, Boston, Jul/1995.
QUINN, J. Strategies for Change. Homewood, Illinois: Irwin, 1980.
RAIFFA, H. Decision Analysis. Mass., USA, Addison-Wesley, 1968.
SAVIANI, J. R. Repensando as pequenas e médias empresas. São Paulo, Makron,
1995.
SENGE, P. M. A Quinta Disciplina. São Paulo, Best Seller, 1990.
SIMON, H. A. Comportamento Administrativo. Rio de Janeiro, USAID, 1965.
SIMON, H. A. The New Science of Management Decision. NJ, Prentice-Hall, 1977.

65
SPRAGUE, R.H. e McNURLIN, B.C. Information Systems Management in Practice.
Canadá, Prentice Hall, 1993.
TAPSCOTT, D. Economia Digital. São Paulo, Makron Books, 1997.
TORRES, N. A. Manual de Planejamento de Informática Empresarial. São Paulo,
Makron, 1994.
TURBAN, E., WETHERBE, J. e McLEAN, E. Information Technology for
Management: Improving Quality and Productivity. New York, John Wiley and
Sons, 1995.
Von NEWMANN, J. e MORGENSTERN, O. Theory of Games and Economic
Behavior. N.J., USA, Princeton University Press, 1947.
WYSOCKI, R. e YOUNG, J. Information System: Management Principles in Action.
Canadá, John Wiley & Sons, 1990.
WRAPP, C. Good Managers Don’t Make Policy Decisions. HBR, Sept/Oct. 1967, pp
91-99.
WARD, A. e GRIFFITHS, J. Strategic Planning for Information System. Chichester,
England, John Wiley and Sons, 1996.

66
SEÇÃO 2

SEGURANÇA
DE SISTEMAS
DE INFORMAÇÃO

67
68
 IMPLANTAÇÃO DE CONTROLE E SEGURANÇA PARA
AUDITORIA DURANTE O DESENVOLVIMENTO DE SISTEMAS

Carlos Hideo Arima

RESUMO

O artigo apresenta as técnicas de controle e segurança que devem ser considerados

durante o desenvolvimento de um sistema de informação, tendo em vista as
necessidades da auditoria de evidenciar os trabalhos de avaliação de controle interno do
sistema a ser auditado.
Esse fato implica na participação ativa do auditor de sistemas durante o
desenvolvimento de sistemas de informação em conjunto com os analistas, chegando a
ponto de definir as especificações de controle, testar e aprovar as rotinas programadas
do sistema.
Na sequência, apresentamos o ciclo de vida de um sistema, a auditoria no
desenvolvimento de sistemas, os padrões de controle e segurança a serem observados na
especificação do sistema e a conclusão.

69
CICLO DE VIDA DE UM SISTEMA

Um sistema de informação tem o ciclo de vida constituído em duas fases, ou seja,

desenvolvimento e produção.
O desenvolvimento de um sistema de informação compreende em aplicar recursos financeiros,
humanos, computacionais e tecnológicos, processá-los através da aplicação de metodologias de
desenvolvimento e gerar como produto final, um sistema de informação.
Basicamente, o desenvolvimento de sistemas de informação computadorizados compõe-se das
seguintes etapas:

1) levantamento e análise da situação atual, incluindo o estudo de viabilidade.

2) projeto lógico, que envolve todo o procedimento de elaborar a arquitetura, a especificação e a

definição da estrutura de base de dados do novo sistema.

3) projeto físico, que abrange todo o procedimento de detalhamento, programação e teste do

sistema.

4) implantação, que compreende a documentação, treinamento aos usuários, conversão de

arquivos magnéticos básicos e disponibilização do sistema para operação normal.

A produção ou operação do sistema de informação consiste em ter como entrada, os dados,

processá-los, mantendo em arquivos e banco de dados e divulgar as informações úteis.
Durante essa última fase, o sistema deverá sofrer revisões e avaliações, os quais servirão de
realimentação do processo no desenvolvimento do novo sistema.
De acordo com o ciclo de vida acima mencionado, o auditor deverá ser envolvido no processo
desde o desenvolvimento do projeto lógico até a efetiva implantação do sistema de informação.
Na fase de produção do sistema, caberia ao auditor, efetuar os seus exames, revisando e
avaliando o controle interno, bem como criar e acompanhar diversos tipos de indicadores que
possam identificar a evolução da qualidade de processamento e das informações mantidos no
banco de dados.

A AUDITORIA NO DESENVOLVIMENTO DE SISTEMAS

A proposta de participação da auditoria no desenvolvimento de sistemas tem a seguinte

justificativa: seria muito tarde efetuar a auditoria para recomendar o aperfeiçoamento de
controle interno de um sistema de informação implantado e operacionalizado. Conforme a
natureza de recomendação da auditoria pode implicar o redesenvolvimento do sistema
computadorizado, o que causaria diversas dificuldades de atendimento e cumprimento das
tarefas propostas. Como exemplo, a implantação de certos controles como “trilha de auditoria”
num sistema de informação computadorizado em produção pode acarretar:

1) reestudo e redesenvolvimento do próprio projeto.

2) redimensionamento de recursos financeiros, materiais e humanos da área de informática.

3) reimplantação do sistema de informação.

4) mudança de procedimentos operacionais do sistema de informação.

Portanto, o custo de investimento do projeto seria aumentado, havendo necessidade de novo
treinamento do pessoal envolvido e poderia haver grandes transtornos na ocasião da
implantação do sistema computadorizado. Mesmo assim, devido às limitações tecnológicas e da
filosofia empregada durante a concepção do sistema, os controles podem não ser satisfatórios.

70
Como forma de atuação adequada do auditor na fase de desenvolvimento de sistemas
computadorizados, existem 4 (quatro) ítens que devem ser ponderados:

1) controles efetivos devem ser desenvolvidos no sistema, e não incluídos posteriormente.

2) em geral, analistas de sistemas e programadores não têm dedicado tempo suficiente para
controles; com efeito, muitas pessoas são desfavoráveis para introdução de controles.

3) auditores devem dedicar-se mais em desenvolvimento de sistemas para assegurar a

implantação de controles adequados.

4) auditores devem informar a administração de que um sistema de controles não trata somente
do conceito tradicional de controle interno contábil, mas é, também, importante instrumento
para conseguir eficiência operacional do sistema de informação; em outras palavras, um
sistema de controles tem a finalidade de administrar os ativos, dar confiança e precisão de
operações, assegurar a integridade, obter perfeição e eficiência de um sistema de informação.

Essa filosofia de atuação tem sido uma das formas de conseguir minimizar a ocorrência de
problemas de erros, tanto intencionais ou não, bem como de tentativas de operações não
autorizadas nos sistemas de informação.
Isso implica em atuação da auditoria na fase de desenvolvimento de sistemas de informação.
Nessa fase, os auditores deverão participar no processo de definição das especificações do
sistema em desenvolvimento, em termos de rotinas e informações necessárias de controle
interno.
Para facilitar a avaliação do sistema durante o desenvolvimento, apresentamos um elenco de
padrões de controle e segurança devidamente classificadas, que deverão ser verificados na
especificação dos sistemas de informação, assim como na auditoria de pré-implantação do
sistema de informação em questão.

PADRÕES DE CONTROLE E SEGURANÇA A SEREM OBSERVADOS NA

ESPECIFICAÇÃO DO SISTEMA

Para facilitar o processo de revisão e acompanhamento da implantação de controles,

apresentamos os itens de controle e segurança em 3 (três) grupos, a saber: trilhas de auditoria,
totais de controle de arquivos e/ou banco de dados e relatórios de gestão.
1) Trilhas de auditoria
Rotina de controle que permite recuperar de forma inversa, as informações processadas,
através da reconstituição da composição das mesmas, devidamente demonstradas, tanto de
forma sintética quanto analítica, se for necessário. Como exemplos temos:

- totais de controle apresentados a cada processamento de módulos de sistema que possibilita

acompanhar a produção física de processamento dos dados,

- relatórios analíticos e sintéticos físico-financeiros provenientes de processamentos das

informações do sistema;

- contabilização com código do usuário, data e hora das atualizações realizadas no respectivo
registro do cadastro mestre, etc.

71
 NORMAS E PROCEDIMENTOS DE IMPLANTAÇÃO

1. TRILHAS DE AUDITORIA

BANCO DE DADOS

--------------------
-------------------- CRÍTICA E CÁLCULO E CONSULTA E
-------------------
--- ----- ----
-------------------
--- ----- ----
CONSISTÊNCIA ATUALIZAÇÃO EMISSÃO DE
-------------------
----- T n RELATÓRIOS
--------------------
------- -----
-------------------- T2
--------------------
--------------------
------- T1 ------- T t
T1 ------- T w T1 Tt Tw
------ T2 ------- ------- T y T2
------ Tn/ T t ------- T w -------- T z
Tn T w T 2

1.1. Todos os tipos de dados de entrada devem sofrer crítica e consistência; caso os
dados inconsistentes sejam aceitos, estes deverão receber algum tipo de marca que
possam ser identificados para posterior monitoramento.
1.2. Sempre é desejável que grande parte dos dados de entrada sejam considerados por
via automática, utilizando ferramentas como código de barras, cartões magnéticos,
leitura ótica, etc, de tal sorte que agilize no processo de captação de dados de
forma segura. Ou seja, analisar o processo que minimize a entrada de dados via
teclado.
1.3. Data e hora das atualizações realizadas no respectivo registro do cadastro mestre
para identificação de futuras responsabilidades e causas de erros.
1.4. Levando-se em consideração que cada entidade é dono dos seus respectivos
dados, é desejável que a manutenção seja requerida pelas próprias entidades, tais
como, clientes, fornecedores, estoques, etc. Portanto, deve ser previsto um módulo
que permita a atualização de seus dados cadastrais, e que seja monitorado durante o
seu processamento.
1.5. A cada processamento de um módulo de sistema de informação, deve ser
armazenada os totais de controle em termos de quantidade de transações realizadas,
operações de cálculo, leitura e gravação de registros em arquivos e consultas de
registros, para fins de posterior apuração da qualidade de processamento.
1.6. Prever o desenvolvimento do módulo de checagem de totais de controle, tipo
“header” ou “trailler” que deverão existir nos arquivos magnéticos, bem como
possibilitar a identificação da causa e o acerto dos totalizadores, dentro da
arquitetura do sistema de informação.
1.7. Na ocasião da concepção dos relatórios operacionais e de controle, verificar a
possibilidade de efetuar a checagem, tanto antes como após o processamento do
sistema, em termos de totais de controle de um relatório para outro.

72
2) Totais de controle de arquivos e/ou banco de dados

Os registros de totais de controle em arquivos seqüenciais são denominados de “header” para

o primeiro e “trailler” para último registro de controle. No caso de um arquivo indexado ou
de banco de dados, é constituído apenas de “header” ou registro totalizador. Eles têm por
objetivo preservar o arquivo magnético contra eventuais violações de dados e/ou inclusão ou
exclusão indevida de registros extra sistema, que podem ser detectados durante o
processamento do sistema em condições normais.

Esses totais de controle podem ser:

- quantidade de registros existentes num arquivo magnético,

- valores totais,

- “hash-total” dos campos numéricos, etc.

NORMAS E PROCEDIMENTOS DE IMPLANTAÇÃO

2. TOTAIS DE CONTROLE DE ARQUIVOS E/OU BANCO DE DADOS

Contrato Header
V a lor N º Total
Total Valor
Registros
1.000,00 1
2 3.000,00
2.000,00 2

3.000,00

2.1. Os dados inconsistentes que forem aceitos no cadastro, devem ser identificados por
algum tipo de marca e sempre monitorados por algum tipo de registro de controle.

73
2.2. No acerto e atualização dos dados do arquivo magnético ou banco de dados, devem
ser analisadas as informações que poderão ou não influenciar a posição contábil-
financeiro dos outros sistemas. No primeiro caso, deverão ser criados dados
históricos de atualização, enquanto que nos demais casos, poderão ser efetuadas
atualizações diretas ou criar a possibilidade de recuperar informações de “n”
versões anteriores.

2.3. Qualquer que seja o arquivo magnético, bem como banco de dados, estes deverão
estar acompanhados de um registro denominado “header” para fins de detecção de
alguma violação que possa ter ocorrido na base de dados. No caso do arquivo
sequencial, deve estar acompanhado do registro “trailler” no final do arquivo.

Nesses registros deverão conter os seguintes dados:

- identificação do arquivo magnético ou banco de dados,
- data da geração,
- número da versão,
- data da atualização,
- quantidade de registros existentes,
- somatória dos campos numéricos,
- total de valores que compõe o arquivo magnético.

3) Relatórios de gestão
Esses relatórios devem permitir a identificação das ocorrências de anomalias ou
irregularidades de processamento de sistema de informação, apurar índices ou indicadores de
qualidade das informações constantes em arquivos magnéticos e auxiliar no estabelecimento
de critérios de seleção de informações para avaliação. Como exemplos temos:
- relatórios de curva “abc” com freqüência de movimentação ou de composição de
registros de um determinado arquivo magnético;
- relatórios ou telas com indicadores de movimentação física ou financeira de cadastros
mestres;
- índices de ocorrência de inconsistências de arquivos com registros pendentes, etc.

74
 NORMAS E PROCEDIMENTOS DE IMPLANTACÃO

3. RELATÓRIOS DE GESTÃO

BANCO DE DADOS

* INDICADORES DE QUALIDADE
- quantidade de registros - mn
- registros inconsistentes - x%
- registros de exceção - y %

* CURVA “ABC”
- faixa A - R$ 999 mil
- faixa B - R$ 99mil
- faixa C- R$ 9 mil

3.1. Deve ser desenvolvido algum tipo de relatório que possa monitorar as
inconsistências de dados existentes em arquivos magnéticos ou banco de dados.

3.2. Devem incluir em alguns relatórios operacionais ou de controle, indicadores de

qualidade das informações processadas para fins de gerenciamento das mesmas.

3.3. Deve considerar a possibilidade de inclusão de algum relatório de curva “ABC”,

que possibilite identificar a freqüência de determinados tipos de ocorrência, para
que este sirva de base para determinar critérios de seleção de registros em arquivos
magnéticos ou banco de dados.

75
CONDIÇÕES SOBRE SISTEMA DE CONTROLES

A revisão e a avaliação de um sistema de controles apresentam-se, ao auditor, uma certa

dificuldade de definição, devido aos seguintes aspectos:

1) Quando excessivo e assíduo, prejudica o processamento.

2) Quando inadequado, pode fazer com que o processamento de dados torne-se inútil.

Custo

. Integridade,
Segurança

FAIXA
ACEITÁVEL Eficiência,
Eficácia

Controles

Figura 1 - Função de Controle aplicada em Informática: Custo & Integridade e Segurança

& Eficiência e Eficácia versus Controle

3) Baseando-se no gráfico da figura 1, desenvolvido pelos autores Burch e Sardinas, verifica-se

que:

- A implantação de número maior de controles aumenta diretamente a precisão, integridade e

proteção de sistema computadorizado, bem como, o seu custo.
- Os controles podem aumentar a eficácia e a eficiência de processamento até um certo
ponto, porém, havendo o excesso, poderá fazer com que se obtenham resultados desastrosos.

76
Portanto, a função da auditoria durante o desenvolvimento de sistemas é promover a adequação,
avaliação e apresentação de recomendações para o aprimoramento de controle interno nos
sistemas de informação da empresa, assim como na utilização dos recursos humanos, materiais,
financeiros e tecnológicos envolvidos no processo de contrução de sistemas de informação.

O trabalho realizado dentro desse escopo, faz com que a auditoria tenha uma característica
preventiva de ocorrência de operações e procedimentos indevidos durante a operação normal do
sistema de informação.

BIBLIOGRAFIA

ARIMA, Carlos Hideo. Metodologia de auditoria de sistemas. São Paulo: Érica, 1994.

BURCH JUNIOR, John G. & SARDINAS JUNIOR, Joseph L. Computer control and audit; a
total systems approach. New York: John Wiley & Sons, 1978.

EDP AUDITORS FOUNDATION FOR EDUCATION AND RESEARCH CONTROL

OBJECTIVES, 1980.

GIL, Antonio de Loureiro. Auditoria de computadores. São Paulo: Atlas, 1989.

PERRY, Willian E. Auditing data systems. EDP Auditors Foundation, Carol Stream, 1981.

________. Auditing information systems: a step-by-step audit approach. EDP Auditors

Foundation, Carol Stream, 1983.

PORTER, W. Thomas & PERRY, Willian E. EDP controls and auditing. 5.ed. PWS-Kent

Publishing Company, 1987.

77
78