TRABALHO DE AUDITORIA DE SISTEMAS

Dissertar sobre os referenciais metodológicos aplicados a Auditoria de Sistemas de

Informação:

 ITIL – Information Technology Infrastructure Library

 COBIT - Control Objectives for Information and related Technology
 Norma BS 7799 - British Standard 7799/ ISO 17799
 Six Sigma
 Capability Maturity Model Integration (CMMI)
 ISO 9000
 Balanced Scorecard
 Razões para adoção de referenciais
 Casos de sucesso da aplicação desses referenciais em situações reais.

ITIL

ITIL é a sigla de Information Technology Infrastructure Library e significa: Biblioteca de

Infraestrutura de Tecnologia da Informação, por ser uma biblioteca onde se encontram as
melhores práticas de TI, muitas vezes é confundido com uma metodologia e ele não é
uma metodologia. Uma metodologia é um conjunto de regras utilizadas em uma
determinada disciplina, as palavras "regras" e "disciplinas" denotam uma rigidez de
aplicação e soam como obrigação de conformidade. O ITIL não é uma regra obrigatória
a ser seguida, é um conjunto de recomendações baseadas em boas práticas de
Gerenciamento de Serviços de TI (FREITAS, Marcos André: Fundamentos do
Gerenciamento de Serviços de TI - Capítulo 6).

E essas boas práticas são triviais para todas as atividades do setor de Tecnologia de
qualquer empresa, de qualquer tamanho ou segmento, como a parte de fornecimento dos
serviços, que é baseada na infraestrutura de TI. Todas essas atividades estão envolvidas
em vários processos para fornecer uma solução eficaz no gerenciamento de serviços como
um todo. Então, cada um desses processos cobre uma ou várias atividades do
departamento de TI. O ITIL está na versão três, e ela é composta pelas publicações:
Service Strategy, Service Design, Service Transition, Service Operation e Continual
Service Improvement que em português seriam: Estratégia do serviço, Projeto de Serviço,
Transição do Serviço, operação do Serviço e Melhoria contínua do Serviço, em cada uma
dessas publicações há diversos processos que descrevem atividades, técnicas e
ferramentas para o gerenciamento do serviço de TI em todo o seu ciclo de vida. Existem
vários benefícios que o ITIL traz com a sua implantação como por exemplo adotar
práticas já testadas, é o que proporcionará um ganho de tempo, retorno mais rápido sobre
o projeto de implantação, faz com que o processo se torne mais eficiente e eficaz,
buscando rapidez e resultados positivos fazendo com isso que melhore a qualidade dos
serviços de TI perante todos os usuários e clientes, traz um alinhamento entre os serviços
de TI com as necessidades atuais e futuras do negócio aumentando a satisfação do
cliente,e trazendo uma visão mais clara da capacidade atual e com isso mantem a equipe
de TI motivada e focada. ([01])

COBIT

O COBIT (Control Objectives for Information and related Technology) é um modelo para
governança e gestão de TI desenvolvido pela ISACA (Information Systems Audit and
Control Association).

A ISACA, organização que teve sua fundação em 1996, é uma organização líder de
profissionais de controle em TI. Ela é uma entidade privada e voluntária que possui mais
de 86.000 membros ao redor do mundo e é reconhecida como entidade líder global em
governança de TI. A ISACA possui mais de 185 capítulos (sedes) em aproximadamente
75 países. O foco da associação é na área de auditoria de sistemas, controles de TI e
questões de segurança da informação.

O COBIT é um produto aplicado para diversos tipos de stakeholders. Ele é aplicável para
o comitê executivo de uma empresa, para os gestores de negócio, para o gerente de TI,
para o gerente de projetos, para os desenvolvedores, para a área de operações, para os
usuários da área de TI, para o Chief Information Security Officer e para auditores de
sistemas. O seu principal público-alvo são os gerentes de TI, os usuários da área de TI e
os auditores de sistemas. Para os auditores de sistemas devem possuir um alto
embasamento sobre esse modelo de melhores práticas para substanciar as opiniões para a
gerência de controles internos e para conseguir entender quais são os controles mínimos
necessários para cada negócio, como um trabalho de um auditor de sistemas é avaliar a
eficácia dos controles de TI e em seu trabalho agrega muito embasá-lo nas melhores
práticas, pode-se visualizar uma relação entre a auditoria de sistemas e o framework de
melhores práticas do mercado trabalhado nesse documento. ([02]), ([03])

ISO 17799

Em 1987 o departamento de comércio e indústria do Reino Unido (DTI) criou um

centro de segurança de informações, o CCSC (Commercial Computer Security Centre)
que dentre suas atribuições tinha a tarefa de criar uma norma de segurança das
informações para o Reino Unido. Em 1995, surgiu a BS7799 (British Standart 7799),
que após incorporar diversas sugestões e alterações, a BS7799 ganhou status
internacional com sua publicação no ano 2000 na forma da ISO/IEC 17799:2000.

Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada

NBR ISO/IEC 17799. Que segundo a norma ISO/IEC 17799:2000, segurança da
informação pode ser definida como a proteção contra um grande número de ameaças às
informações, de forma a assegurar a continuidade do negócio, minimizando danos
comerciais e maximizando o retorno de possibilidades e investimentos. Ainda segundo
a ISO/IEC 17799:2000 a segurança da informação é caracterizada pela preservação dos
três atributos básicos da informação: confidencialidade, integridade e disponibilidade.

Essa ISO cobre os mais diversos tópicos da área de segurança, possuindo um grande
número de controles e requerimentos que devem ser atendidos para garantir a segurança
das informações de uma empresa, de forma que a obtenção da certificação pode ser um
processo demorado e muito trabalhoso, que em contrapartida, a certificação é uma
forma bastante clara de mostrar a sociedade que a empresa dá a segurança de suas
informações e de seus clientes a importância que merecem, de tal forma que prevê-se
que em poucos anos todas as grandes empresas terão aderido à norma e obtido suas
certificações. ([04]), ([05])

Six Sigma

O Six Sigma pode ser definido como um conjunto de práticas desenvolvidas para
maximizar o desempenho dos processos dentro da empresa, eliminando os seus defeitos
e as não conformidades de acordo com as especificações de fábrica, foi desenvolvida em
meados de 1987, por Bill Smith na Motorola. Posteriormente, em 1995, ganhou força
com a utilização de seus métodos por Jack Welch, na GE. Tornando-se popular entre
empresas de todo mundo devido à sua eficiência e eficácia. É considerado um dos
principais temas da Qualidade Total. Também pode ser definido como uma estratégia
gerencial planejada, com foco nos resultados de qualidade e financeiros, com o objetivo
de promover mudanças significativas nas organizações, buscando sempre melhorias nos
processos, produtos e serviços oferecidos aos clientes, o foco principal do Six Sigma é a
satisfação dos clientes, através da redução de defeitos nos processos e o ótimo
desempenho da empresa. No coração da metodologia está o modelo DMAIC (definir,
medir, analisar, implementar melhorias, controlar) para processos existentes que estejam
abaixo das especificações e necessitando melhorias incrementais. O processo DMADV
(definir, medir, analisar, desenvolver, verificar) é um sistema de melhoria utilizado para
desenvolvimento de novos processos ou produtos em níveis de qualidade Six Sigma.
Também pode ser empregado se um processo atual necessita mais que somente uma
melhoria incremental. A metodologia Six Sigma passa por uma análise preliminar de
definição do problema e, em seguida, utiliza as ferramentas estatísticas e de qualidade
com o objetivo de transformar as informações em conhecimento necessário à solução do
problema. As ferramentas estatísticas e o conhecimento técnico devem ser sempre
utilizados integrados a uma metodologia de solução de problemas para aumentar a
eficiência. O objetivo estratégico do programa consiste em melhorar os processos, reduzir
sua variabilidade em relação a uma meta específica e, consequentemente contribuir para
um maior controle dos resultados obtidos, facilitando a auditoria de sistemas através do
acesso a essas informações. ([06]), ([07])
CMMI

Capability Maturity Model Integration (CMMI) : O CMMI é um modelo de maturidade

de melhoria de processos para o desenvolvimento de produtos e serviços. Consistente de
melhores práticas que endereçam desde atividades de desenvolvimento até a manutenção
do produto cobrindo o ciclo de vida inteiro do projeto, desde sua concepção, passando
pela entrega e posteriormente pela manutenção.

O CMMI ajuda a integrar as funções organizacionais tradicionalmente separadas, definir

objetivos e prioridades para a melhoria do processo, fornecer orientação para os processos
da qualidade e proporcionar um ponto de referência para a avaliação do processo atual.
O CMMI fornece orientação para a melhoria da eficiência e da eficácia em várias
disciplinas processuais em uma organização, além de avanços nas melhores práticas
incorporadas a partir de modelos anteriores. Além disso, o CMMI garante às organizações
uma visão comum e integrada de melhorias para todos os seus elementos. ([08]), ([09])

ISO 9000

A ISO 9000 é uma série de 4 normas internacionais para "Gestão da Qualidade" e

"Garantia da Qualidade". Ela não é destinada a um "produto" nem para alguma indústria
específica. Tem como objetivo orientar a implantação de sistemas de qualidade nas
organizações.

As regras e os padrões da Gestão da Qualidade e Garantia da Qualidade são

complementares aos padrões do produto, e são implantados para melhorar a sua
qualidade, com impacto na funcionalidade do Sistema da Qualidade.

A série é composta das seguintes normas:

• ISO 9000 - Fundamentos e vocabulário.

• ISO 9001 - Sistemas de gerenciamento da qualidade - requisitos.

• ISO 9004 - Sistemas de gerenciamento da qualidade - guia para melhoramento da

performance.

• ISO 19011 - Auditorias internas da qualidade e ambiental.

A série ISO 9000 foi adotada no Brasil, palavra por palavra pela ABNT com o nome de
NBR 9000.

Benefícios da implantação da ISO 9000

• Maior participação no mercado.

• Maior satisfação dos clientes.

• Redução de custos.
• Melhoria na produção.

• Maior competitividade.

• Maior lucro. ([10])

Balanced Scorecard (BSC)

Balanced Scorecard, traduzido “ao pé da letra”, significa “cartão de marcação

equilibrado”. O Balanced Scorecard foi originalmente criado pelo Instituto Nolan Norton,
em 90, e descrito no livro “Measuring Performance in the organization of the future: a
research study”. Nasceu de um estudo intitulado “Measuring Performance in the
Organization of the Future”, que foi motivado pela crença de que os métodos de
mensuração existentes, em geral, apoiados em indicadores contábeis e financeiros,
estavam tornando-se obsoletos . O Balanced Scorecard reflete a primeira tentativa de
desenvolver um sistema de mensuração de desempenho que foca atenção nos objetivos
da organização, coordenação da tomada de decisão individual e provisão de uma base
para o aprendizado da organização.

O Balanced Scorecard (BSC) é um Sistema de Gestão Estratégica que utiliza, de modo

balanceado, indicadores financeiros e não-financeiros. Além disso, ele estabelece as
relações de causa e efeito entre esses indicadores e as descreve em mapas estratégicos.

Além disso, eles lembram que as empresas inovadoras usam o BSC para administrar a
estratégia em longo prazo, bem como viabilizar os processos gerenciais críticos. Os
principais objetivos do BSC são: 1) esclarecer e traduzir a visão e a estratégia; 2)
comunicar e associar objetivos e medidas estratégicas; 3) planejar, estabelecer metas e
alinhar iniciativas estratégicas; 4) melhorar o feedback e o aprendizado estratégico.

O Balanced Scorecard traduz a missão e a estratégia das empresas num conjunto

abrangente de medidas de desempenho que serve de base para um sistema de medição e
gestão estratégica. É um novo instrumento que integra as medidas derivadas da estratégia,
sem menosprezar as medidas financeiras do desempenho passado, e que mede o
desempenho organizacional sob quatro perspectivas equilibradas: financeira, do cliente,
dos processos internos da empresa, e do aprendizado e crescimento. Um foco nos
processos de negócio está também no coração do Balanced Scorecard, que é um conjunto
de indicadores, financeiros e não financeiros, para mensuração de desempenho, que
garantam o atingimento dos planos estratégicos da companhia.

A auditoria de um sistema de avaliação de desempenho logístico deve estar integrada com

a auditoria global da empresa, pois deve funcionar como um apêndice desta. Para que um
programa de auditoria seja eficaz, seus procedimentos devem ser vistos em três dimensões
básicas, sem as quais, o programa se torna ineficaz. São elas: planejamento e execução
da auditoria; seleção dos auditores; e gerenciamento do programa de auditoria.
Ressaltamos que os procedimentos de auditoria aqui listados foram extraídos e adaptados
da norma ISO 10011 e também de normas internacionais de auditoria contábil. ([11])

Razões para adoções de referencias

modelo de gestão do Balanced Scorecard (BSC) propõe que cada empresa construa
objetivos e indicadores de acordo com sua visão e sua estratégia, levando em conta quatro
dimensões (finanças, clientes, processos e aprendizagem & desenvolvimento), para
equilibrar objetivos de curto e longo prazos, a partir de medidas financeiras e não
financeiras.

Com adoção do BSC tem-se a possibilidade de se observar a organização de uma forma

abrangente e sistêmica, avaliando de uma forma global o desempenho organizacional,
com a definição das perspectivas, possibilita às organizações um direcionamento sobre
os principais pontos a serem observados no momento de definição das estratégias e o
conceito de causa-efeito possibilita uma melhor alocação dos recursos da organização,
com a forma clara e simples de leitura, assim como a sintetização da informação num
único documento, possibilita uma rápida compreensão dos objetivos e estratégias
delineadas de uma organização e o item principal é a criação da sinergias na organização
- “Todos a remar para o mesmo lado”. ([12])

Casos de sucesso

A Oxiteno, controlada pelo Grupo Ultra, é uma das maiores companhias químicas do país,
com ampla atuação no mercado interno e externo e quatro diferentes unidades industriais.
Tais operações se iniciam na segunda geração petroquímica e se estendem às
especialidades químicas, atendendo a mais de 30 segmentos de mercado, destacando-se
os de agroquímicos, alimentos, cosméticos, couros, detergentes, embalagens para
bebidas, fios e filamentos de poliéster, fluidos para freios, petróleo e tintas e vernizes.

A receita líquida da Oxiteno, em 2002, atingiu 956 milhões de reais. Em pesquisa e

desenvolvimento a empresa aloca cerca de 2% da receita anual. As vendas são feitas pela
sua rede de distribuidores autorizados.

Na Oxiteno, segundo documentação do projeto, o BSC iniciou-se em março de 2001,

compreendendo as seguintes etapas:

Etapa 0 ou pré etapa: planejamento e capacitação;

Etapa I: definição dos objetivos e construção do mapa de relacionamentos. Por meio de

reuniões entre diretores e um grupo de gerentes, buscou-se traduzir a estratégia da
empresa em objetivos – declarações de ações que esclarecem como implementar a
estratégia. Definidos os objetivos estratégicos, construiu-se um mapa de causa e efeito,
onde se relacionam os objetivos estratégicos nas perspectivas financeira, de mercado,
interna (processos) e do aprendizado e crescimento.

Etapa II: definição dos indicadores chave de desempenho. Para cada objetivo estratégico,
foram definidos um ou mais indicadores chave de desempenho, que medem e
acompanham o sucesso do alcance da estratégia. Estes foram detalhados em conceito,
período de mensuração, fonte de dados, responsável pela a elaboração e responsável pela
gestão.

Etapa III: definição de metas. Tendo como ponto principal a meta corporativa de
crescimento de R$ 10.000.000/ano de valor econômico, dado pelo projeto EVA, foram
desdobradas as demais metas para cada indicador chave, levando em consideração o
estágio atual e as perspectivas futuras de taxa de melhoria para alcançar a meta
corporativa.

Etapa IV: priorização das iniciativas estratégicas. Nesta fase, foram analisadas as
iniciativas estratégicas, em andamento na organização, que dão suporte aos objetivos
estratégicos. Dessa análise, resultou, em alguns casos, a confirmação das iniciativas e, em
outros, seu redirecionamento e, por vezes, a concepção de novas iniciativas.

Etapa V: comunicação. O processo de comunicação é contínuo de forma a manter os

funcionários informados sobre as metas, novas iniciativas, indicadores e objetivos
estratégicos alterados. Enfim, toda e qualquer atualização feita no projeto é comunicada,
possibilitando assim que sejam atingidas as metas e que cada funcionário participe dos
resultados alcançados.

De acordo com o vídeo institucional, o projeto se iniciou em março de 2001 e teve seu
lançamento em julho do mesmo ano. Nas palavras do diretor superintendente, “é um
processo interativo e não linear”.

A partir do lançamento, estão sendo realizados acompanhamentos mensais da maioria dos

indicadores pela área de controladoria. O BSC já se inseriu no novo calendário de
planejamento estratégico e, em agosto de 2002, foram distribuídos novos folders com o
mapa de objetivos estratégicos e o mapa de objetivos, indicadores e iniciativas
estratégicas revisados.

Segundo palestra proferida pelo diretor de administração e controle da empresa no I

Fórum Balanced Scorecard Brasil, realizado em agosto de 2002, os estágios da
implementação do BSC Oxiteno e próximos passos são:

1. comunicação externa, abrangendo: apresentação do BSC pela diretoria da Oxiteno para

a diretoria do grupo Ultra; incorporação do BSC no balanço anual publicado e

2. reuniões estratégicas: acompanhamento mensal das metas; preenchimento de lacunas;

levantamento de indicadores e metas faltantes e alinhamento de todo o processo de
planejamento, desde a fase de concepção da estratégia à fase de análise tática e
operacional. ([13])
REFERENCIAS

https://www.axelos.com/best-practice-solutions/itil ([01])

http://www.devmedia.com.br/cobit-4-1-entendendo-seus-principais-fundamentos/28793
([02])

http://www.apmg-international.com/br/qualifica%C3%A7%C3%A3o/cobit5 ([03])

http://pt.kioskea.net/contents/601-iso-17799 ([04])

http://www.informabr.com.br/nbr.htm ([05])

http://www.isixsigma.com/new-to-six-sigma/getting-started/what-six-sigma/ ([06])

http://www.softexpert.com.br/norma-seis-sigma.php ([07])

http://www.softexpert.com.br/norma-cmmi.php ([08])

http://www.tiegestao.com.br/2013/03/31/cmmi-capability-maturity-model-integration-
modelo-integrado-de-maturidade-e-de-capacidade/ ([09])

http://www.pgpconsultoria.com.br/servicos_iso9000.php ([10])

http://edmilsonmartins.com/tags/qual-e-a-vantagem-de-usar-o-modelo-de-gestao-do-
balanced-scorecard/ ([11])

https://goncalogrilo.wordpress.com/2011/12/12/balanced-scorecard-vantagens-
desvantagens/ ([12])

http://www.ie.ufrj.br/cadeiasprodutivas/pdfs/implantacao_do_balanced_scorecard_no_brasil
.pdf ([13])