ED Tecnologia da Informação Aplicada à Finanças

Transcrição

2013
Conteúdo retirado do Disciplina Online
TECNOLOGIA DA INFORMAÇÃO APLICADA
Módulo 1
1 - INTRODUÇÃO AOS SISTEMAS DE INFORMAÇÃO
O conceito de sistemas não é uma tecnologia em si, mas é resultante dela, ou seja, todo sistema, usando ou
não recursos de tecnologia da informação, que manipula e gera informações pode ser, genericamente,
considerado um sistema de informação. De acordo com o próprio conceito de sistema, é difícil conceber
qualquer sistema que não gere algum tipo de informação, independentemente do seu nível, tipo e uso.
Para conceituação inicial, informação é todo dado trabalhado, útil, tratado com valor significativo atribuído
ou agregado a ele e com um sentido natural e lógico para quem usa a informação. O dado é um elemento da
informação, um conjunto de letras, números ou dígitos, que, tomado isoladamente, não transmite nenhum
conhecimento. O conceito de conhecimento complementa o de informação com o valor relevante e de
propósito definido. (Rezende; Abreu, 2006, p. 36).
Segundo Laudon e Laudon (2007, p.9), entenda-se por Tecnologia da Informação (TI), todo o software e
hardware que uma empresa necessita para atingir seus objetivos organizacionais. Isso inclui não apenas
computadores, disk drives, assistentes pessoais digitais, iPods, mas também softwares, como os sistemas
operacionais Windows e Linux, o pacote Microsoft Office e as centenas de programas computacionais que,
normalmente, podem ser encontrados em uma grande empresa. Já os Sistemas de Informação (SI) são mais
complexos e, para serem bem compreendidos, devem ser analisados tanto da perspectiva tecnológica
quanto do ponto de vista organizacional.
Ainda conforme Laudon e Laudon, um sistema de informação pode ser definido, tecnicamente, como um
conjunto de componentes inter-relacionados que coletam (ou recuperam), processam, armazenam e
distribuem informações destinadas a apoiar a tomada de decisões, a coordenação e o controle de uma
organização. Além de darem apoio à tomada de decisões, à coordenação e ao controle, esses sistemas
também auxiliam na análise de problemas, visualização de assuntos complexos e criação de novos produtos.
No caso da Tecnologia da Informação (TI), esta se refere às tecnologias de computadores e telecomunicações
utilizadas nas organizações, incluindo aquelas relacionadas ao processamento e transmissão de dados, de
voz, de gráficos e de vídeos.
De acordo com o site Wikipédia, Sistema de Informação é a expressão utilizada para descrever um sistema
automatizado, ou mesmo manual, que abrange pessoas, máquinas, e/ou métodos organizados para coletar,
processar, transmitir e disseminar dados que representam informação para o usuário.
Apesar de estes conceitos estarem estreitamente relacionados, e serem, muitas vezes, utilizados como
sinônimos, eles não são equivalentes. Pode-se dizer que há uma intersecção entre os domínios abrangidos
pelos dois conceitos, que se trata da utilização de TI em sistemas de informação. Entretanto, existem partes
de um sistema de informação que não são TIs, tais como os procedimentos envolvidos e meios não
informatizados de manipulação e transporte de dados. Da mesma maneira, a TI também inclui tecnologias
de conexão (redes), comunicação de dados, voz e imagens não diretamente ligados a usos em sistemas de
informação.
De maneira geral, as informações apresentam-se em grande volume atualmente, disponibilizadas nos mais
diversos meios de comunicação, exigindo de todos a seleção e organização das informações para sua efetiva
utilização. (Rezende e Abreu, 2006, p. 37)
1
2013
O conceito geral de sistema passou a exercer, sob a óptica da ciência, significativa influência na
administração, favorecendo a abordagem sistêmica que representa a organização em sua totalidade com
seus recursos e seu meio ambiente interno e externo. Nesse sentido, para que a ciência administrativa gere
efeito, é necessária a ciência sistêmica e vice-versa.
Os sistemas de informação poderão contribuir significativamente para a solução de muitos problemas
empresariais. Assim, o esforço das empresas deve se concentrar nos níveis superiores dos sistemas
empresariais, ou seja, sistemas de informação estratégicos e de gestão. (Rezende e Abreu, 2006, p. 37)
De acordo com Laudon e Laudon, três atividades em um sistema de informação produzem informações de
que as organizações necessitam para tomar decisões, controlar operações, analisar problemas e criar novos
produtos ou serviços. Essas atividades são a entrada, o processamento e a saída de dados.



Entrada: captura ou coleta de dados brutos de dentro da organização ou de seu ambiente externo.
Processamento: conversão dos dados brutos em uma forma mais significativa.
Saída: transferência das informações processadas às pessoas que as utilizarão ou às atividades nas
quais elas serão empregadas.
(Laudon e Laudon, 2007, p. 10 – figura 1.2)
Embora os sistemas de informação informatizados utilizem a tecnologia de computadores para processar
dados brutos e transformá-los em informações inteligíveis, existe uma diferença entre um computador e um
software, de um lado, e um sistema de informação, de outro. Os computadores eletrônicos e os programas
relacionados são o fundamento técnico, as ferramentas e os materiais dos modernos sistemas de
informação. Os computadores são os equipamentos que armazenam e processam a informação. Os
programas de computador ou software são os conjuntos de instruções operacionais que dirigem e controlam
o processamento por computador. Saber como funcionam os computadores e os programas é importante
ao projetar soluções para os problemas organizacionais, porém, os computadores são apenas uma parte de
um sistema de informação.
Podemos fazer uma analogia com a casa. As casas são construídas utilizando-se instrumentos como martelos,
pregos e madeiras, mas não são eles que fazem uma casa. A arquitetura, o projeto, a localização, o paisagismo
e todas as decisões que levam a criação desses itens fazem parte da casa e são essenciais para a resolução
do problema de colocar um teto sob nossa cabeça. Computadores e programa são o martelo, os pregos e o
madeiramento dos sistemas de informação, mas sozinhos não podem produzir a informação de que
determinada empresa necessita. Para entender os sistemas de informação, é preciso compreender o tipo de
problemas que eles devem resolver, os elementos de sua arquitetura, o projeto e os processos
organizacionais que levam a essas soluções. (Laudon e Laudon, 2007, p.10)
2. Sistemas, tecnologias e organizações
Para Rezende e Abreu (2006, p.51), para atender à complexidade e às necessidades empresariais, atualmente
não se pode desconsiderar a tecnologia da informação e seus recursos disponíveis, sendo muito difícil
elaborar sistemas de informação essenciais da empresa sem envolver modernas tecnologias.
O desconhecimento da Tecnologia da Informação e de seus recursos tem causado muitos problemas e
dificuldades dentro das empresas, principalmente para as atividades ligadas ao planejamento estratégico,
finanças, sistemas de informação e gestão da tecnologia da informação.
Toda empresa, independentemente de seu porte, encontra-se inserida num ambiente social, empresarial e
econômico aos quais deve estar completamente adaptada para que possa cumprir, efetivamente, seu papel,
2
2013
seja na satisfação das necessidades de seus clientes seja na geração de recursos que remunerem o capital
investido pelo proprietário. (Oliveira, 1997, p.25)
Assim, para cumprir seu papel, é necessário que a empresa busque, por meio de seus administradores, o seu
sucesso, tomando por base seus planos e objetivos e administrando, eficientemente, seus recursos, fazendo
uso das ferramentas essenciais para a administração, das quais se destaca, na atualidade, a informação.
(Kaplan, 1996, p.3).
Resnik (1991, p.3) trata com clareza o tema “administração”, traçando um paralelo entre o sucesso e o
fracasso da empresa, relacionando-os às ações implementadas e decisões tomadas pela administração,
afirmando inclusive que:


A boa administração é o fator determinante da sobrevivência e sucesso;
A má administração – e não a economia, a concorrência, a inconsistência dos clientes ou o azar – é o
fator que determina o fracasso.
A boa administração – capacidade de entender, dirigir e controlar a empresa – baseia-se na atenção crítica
do proprietário-gerente, e/ou responsáveis pela administração, aos poucos fatores decisivos responsáveis
pelo sucesso e sobrevivência da empresa.
Finalmente, a arte de administrar, tendo em vista as colocações de Resnik, é o fator preponderante para sua
manutenção no grupo das empresas que alcançam o sucesso, dentro do ambiente no qual se encontra
inserida, cumprindo o seu papel e alcançando seus objetivos planejados.
Desde o início dos anos 90, grandes mudanças impactam o uso dos sistemas de informação dentro das
empresas. A Tecnologia da Informação vem abrangendo sua importância, deixando de ser uma área apenas
de suporte administrativo para se tornar uma área de apoio estratégico. Integrando as mais diversas áreas
de uma empresa, independentemente de seu segmento de atuação, os sistemas têm aprimorado os
controles internos, agilizado o fornecimento de informações e otimizado resultados nas organizações.
Segundo o autor Mañas (2007, p.1), a informação é fundamental para a empresa moderna, pois é por meio
dela que se consegue ter uma situação de vantagem diante da concorrência. Trabalhando a informação
correta, a empresa consegue direcionar seus colaboradores para atender, da melhor maneira, ao cliente.
A teoria de sistemas penetrou rapidamente na teoria administrativa por duas razões:


Necessidade de integração maior das teorias que precederam, esforço tentado com considerável
sucesso pela aplicação das ciências do comportamento;
A Tecnologia da Informação trouxe imensas possibilidades de desenvolvimento e operacionalização
de ideias que convergiam para uma teoria de sistemas aplicada à administração.
Os sistemas de informação são parte integrante das organizações e, embora nossa tendência seja pensar que
a tecnologia da informação está alterando as organizações e empresas, trata-se, na verdade, de uma via de
mão dupla: a história e a cultura das empresas também determinam como a tecnologia está sendo e como
deveria ser usada. A fim de entender como uma empresa específica usa sistemas de informação você precisa
se informar sobre a estrutura, história e cultura desta empresa.
As organizações têm uma estrutura composta por diferentes níveis e especializações. Essa cultura revela uma
clara divisão de trabalho. A autoridade e a responsabilidade em uma empresa são organizadas na forma de
uma hierarquia, ou uma estrutura piramidal, de responsabilidade e autoridades crescentes. Os níveis
superiores da hierarquia são compostos de pessoal administrativo, profissional e técnico, ao passo que os
níveis inferiores são ocupados pelo pessoal operacional.
3
2013
Uma organização executa e coordena o trabalho por meio dessa hierarquia e de seus processos
organizacionais, isto é, comportamentos e tarefas logicamente relacionados para a execução dos trabalhos.
Desenvolver um novo produto, preencher um pedido ou contratar um novo funcionário são exemplos de
processos organizacionais. Na maioria das organizações incluem regras formais que foram desenvolvidas ao
longo de muito tempo.
Numa época em que mudanças ocorrem com grande velocidade, é indispensável que os dirigentes das
organizações tenham ferramentas que lhes permitam ter velocidade de resposta igual ou maior àquela que
existe à sua volta. (Mañas, 2007, p 10)
(Laudon e Laudon, 2007, p.11 – figura 1.3)
3. Tecnologia da Informação como ferramenta de gestão
Foi ultrapassada a era da Revolução Industrial e da Revolução Tecnológica. O mundo atualmente está na Era
da Informação, na qual o conhecimento faz a diferença. Quando surgirá a nova Era do Conhecimento, que
tratará de manipulação, entendimento e valorização da informação.
A informação e o conhecimento serão os diferenciais das empresas e dos profissionais que pretendem
destacar-se no mercado, efetivar a perenidade, a sobrevivência, a competitividade e a inteligência
empresarial.
A utilização e a gestão da informação em seus diversos níveis (estratégico, tático e operacional) favorecerão
as decisões, as soluções e a satisfação dos clientes, externos e internos.
Atualmente, o valor da informação é altamente significativo e pode representar grande poder para quem a
possui, seja pessoa ou instituição. Ela possui seu valor, pois está presente em todas as atividades que
envolvem pessoas, processos, sistemas, recursos financeiros e tecnológicos. (Rezende e Abreu, 2006, p. 73)
Vive-se o momento da informação, cada vez mais ágil, mais democratizada, sem barreira de distância (devido
aos recursos tecnológicos) e como fonte de geração de negócios.
A informação deve ser considerada como diferencial de negócios quando proporciona alternativas de
lucratividade e retornos profícuos para a empresa, seja sedimentando atuações, implementando os atuais
negócios, ou seja ainda, na geração de novos negócios. (Rezende e Abreu, 2006, p. 42)
As empresas que detiverem, organizarem, dominarem e valorizarem mais a informação e o conhecimento
do meio ambiente (interno e externo) em que estiverem envolvidas, terão mais condições de
competitividade nos negócios.
Os sistemas especialistas surgem como suporte ao processo de tomada de decisões, automatizando-o e
permitindo como consequência, decisões mais rápidas e de melhor qualidade.
O sistema especialista é intensivo em conhecimento, usando grande quantidade de dados de entrada e
produzindo pequenas quantidades de dados de saída. Ele obtém os dados de entrada por meio de perguntas,
bases de conhecimentos externos ou programas externos. Opera à base de símbolos que representam fatos,
conhecimentos ou objeto, mais do que operar simplesmente em dados numéricos ou alfanuméricos.
Este sistema resolve problemas por meio da heurística ou métodos aproximados, em que a diferença das
soluções algoritmias não é garantia de que as soluções sejam ótimas, mas sim aceitáveis. Heurística são as
regras ou simplificações que limitam a procura de soluções. Tais métodos são aproximados no sentido de
não requererem informação precisa e as soluções derivadas pelo sistema podem ser propostas com graus de
certeza. (Mañas, 2007, p.17)
4
2013
Uma das características mais importantes e inovadoras dos sistemas especialistas é a de que os usuários
tendem a ter mais crédito nos resultados e mais confiança no sistema. Apesar de o desenvolvimento do
sistema ser mais rápido, já que ele é mais fácil de depurar, também é mais fácil predizer e provar o efeito de
uma mudança na operação do sistema. É fácil modificá-lo sem requerer programação extensiva.
Diferenças entre os sistemas especialistas e os programas convencionais
Além de todas as diferenças citadas acima, os sistemas especialistas também podem facilmente explicar as
suas razões durante a sua execução, enquanto que para pequenos programas convencionais isto é uma
tarefa impossível. (Mañas, 2007, p.18)
Segundo Mañas, as informações e o conhecimento compõem recursos estratégicos essenciais para o sucesso
de uma empresa. Há necessidade de adaptação da empresa no ambiente de grande ou pequena
concorrência. O empresário deve ter claramente elucidados alguns conceitos para poder compartilhar,
efetivamente, com os demais recursos humanos da empresa e, portanto, ter maiores possibilidades de
mantê-la por um longo período, bastante competitiva.
3.1 O processo de valorização da informação
Ao longo da vida de uma pessoa ou de uma empresa, são coletadas e apreendidas diversas informações que,
mediante um processo sistemático, podem ser muito valorizadas.
À medida que se sedimenta uma informação, qualquer atividade pode ser elaborada com um custo menor,
com menos recursos, em reduzido tempo e com um resultado melhor.
Atualmente, existem mais computadores, periféricos e tecnologias gerando informações úteis, precisas e
oportunas, a um custo menor, em menos tempo, usando menos recursos e gerando riquezas.
O processo de valorização da informação cumpre algumas fases e passos lógicos. Esses passos podem ser
distribuídos da seguinte forma:







Conhecer muitas informações;
Apreender sobre algumas informações;
Juntar e guardar informações úteis;
Selecionar, analisar e filtrar as informações de maior valor;
Organizar as informações de forma lógica;
Valorizar as informações;
Disponibilizar e usar as informações.
Pelo menos três passos são fundamentais para a valorização da informação, ou seja, conhecer, selecionar e
usar as informações. A seleção mal elaborada pode causar danos incalculáveis quando ocorre o uso dessas
informações.
Para organizar as informações, deve-se avaliar e dar atenção às questões sobre o uso de tecnologia moderna
de banco de dados, de agilidade de acesso, de produtividade, de menor custo da operação e maior retorno,
seja financeiro, de conhecimento ou situacional.
O disponibilizar informações também significa vender as informações, para tanto, há necessidade de
infraestrutura, planejamento, gestão, controles, recursos de divulgação e distribuição. Existem diversas
maneiras de vender informações, como, por exemplo, pela troca de salários, prestação de serviços e de forma
empresarial.
4. O executivo e os sistemas de informação
5
2013
Os sistemas de informação integrados para apoio a executivos ou à gestão passaram a ter uma popularidade
muito grande com a divulgação da microinformática, dos bancos de dados, das interfaces gráficas, e com as
redes internas e externas, acessíveis a qualquer tipo e tamanho de organizações, tornando-se bastante
amigáveis e a custos menores que os antigos Sistemas de Informação de Gestão (SIG) baseados em
computadores de grande porte (mainframes) e que só se desenvolviam em grandes organizações.
É importante destacar que algumas questões sempre têm de ser respondidas quando do estudo e da
aplicação dos sistemas de informação por dirigentes de organizações:





Avaliar como as atividades dos executivos diferem daquelas dos gestores de nível médio;
Identificar a necessidade de um sistema de informação especial para satisfazer as necessidades de
informação dos executivos;
Entender as características gerais de um sistema de informações executivo em termos de onde vem
a informação e da forma como ela se apresenta;
Conhecer os principais passos para que os executivos possam aperfeiçoar os seus sistemas de
informações;
Ter ideia dos estágios atuais da tecnologia e das tendências (futuro).
Os sistemas tradicionais supriam os executivos com os mais diversos relatórios. No início da fase da
informatização, isto podia ser saudável, mas com o passar dos tempos percebeu-se o quanto esse sistema
havia se transformado em pesadelo. Havia uso intensivo de papel com inúmeros relatórios que, muitas vezes,
não chegam nem a ser consultados, mas como não se sabia o que seria consultado, emitia-se tudo. Algumas
organizações criaram os sistemas de informações gerenciais (SIG) que se baseavam em fornecer as
informações resumidas, mas de modo, na maioria das vezes, pouco amigáveis.
Dentre alguns dos problemas enfrentados pelos SIG tradicionais podem ser destacados:






Informar o porquê dos números;
Pouca flexibilidade de ação;
Demasiadamente lentos;
Difíceis e complexos para alterações;
Pouca qualidade gráfica;
Interface pobre.
Como os mainframes não supriam as informações desejadas pelos executivos, estes tenderam a vê-los como
um equipamento oneroso e de pouca agilidade. Os instrumentos que atuam como o mainframe são pouco
amigáveis para usuários leigos em computação (hardware e software) e existe pequena integridade, bem
como pouco controle das informações necessárias e poucos gráficos de negócios, portanto não consegue
atender às necessidades do executivo.
4.1 A evolução
Já na década de 80, passou-se a ter os sistemas baseados em PCs com uma crescente popularização de
ambos. No entanto, o sucesso dos sistemas aplicados a PCs ocorreu a partir de uma base que não veio só. A
base que permitiu esse sucesso é composta por drill-down, detalhamento contínuo, relatórios de exceção,
análise de tendências, acompanhando também a popularização das teorias de planejamento estratégico e
passando a incluir a montagem de cenários, bem como a análise de competidores e informações do ambiente
externo à organização. As características principais ficavam por conta das estações de trabalho stand-alone
e por simples fontes de dados, textos, imagens e gráficos.
6
2013
Na prática, sistemas de informação para gestores é uma tecnologia. É uma maneira automática de emitir
informações gerenciais para a alta direção de uma organização, de uma forma amigável e fácil de ser
entendida e manipulada.
Módulo 2
5. Ferramentas de gestão
Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas de informações (TI), para
manipular os dados operacionais e prover informações gerenciais aos executivos para tomadas de decisões.
A criação e manutenção de uma infraestrutura de TI, incluindo profissionais especializados, requerem altos
investimentos. Algumas vezes a alta direção da empresa coloca restrições aos investimentos em TI por
duvidarem dos reais benefícios da tecnologia. Entretanto, a ausência de investimentos em TI pode ser o fator
chave para o fracasso de um empreendimento em mercados cada vez mais competitivos. Por outro lado,
alguns gestores de TI não possuem habilidade para demonstrar os riscos associados ao negócio sem os
corretos investimentos em TI. Para melhorar o processo de análise de riscos e a tomada de decisão, é
necessário um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para garantir
o retorno de investimentos e a adição de melhorias nos processos empresariais. Esse novo movimento é
conhecido como “Governança em TI”, ou "IT Governance".
O termo "IT Governance" é definido como uma estrutura de relações e processos que dirige e controla uma
organização a fim de atingir seu objetivo de adicionar valor ao negócio por meio do gerenciamento
balanceado do risco com o retorno do investimento de TI.
Para muitas organizações, a informação e a tecnologia que suportam o negócio representam o seu mais
valioso recurso. Além disso, num ambiente de negócios altamente competitivo e dinâmico, onde é requerida
uma excelente habilidade gerencial, a TI deve suportar as tomadas de decisão de forma rápida, constante e
com custos cada vez mais baixos.
Não existem dúvidas sobre o benefício da tecnologia aplicada aos negócios. Entretanto, para serem bem
sucedidas, as organizações devem compreender e controlar os riscos associados ao uso das novas
tecnologias.
5.1 Cobit (Control Objectives for Information and related Tecnology – Tecnologia da Informação para controle
de objetivos)
O Cobit é um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control
Foundation - <www.isaca.org>). O Cobit inclui recursos tais como um sumário executivo, um framework, um
controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação, e um guia com
técnicas de gerenciamento. As práticas de gestão do Cobit são recomendadas pelos peritos em gestão de TI
que ajudam a otimizar os investimentos em TI e fornecem métricas para avaliação dos resultados. O Cobit
independe das plataformas de TI adotadas nas empresas.
O Cobit é orientado ao negócio. Fornece informações detalhadas para gerenciar processos baseados em
objetivos de negócios. O Cobit é projetado para auxiliar três audiências distintas:


·gerentes que necessitam avaliar o risco e controlar os investimentos em TI dentro de uma
organização;
·usuários que precisam ter garantias de que os serviços de TI dos quais dependem os seus produtos
e serviços para os clientes internos e externos estão sendo bem gerenciados;
7

2013
·auditores que podem se apoiar nas recomendações do Cobit para avaliar o nível da gestão de TI e
aconselhar o controle interno da organização.
O Cobit está dividido em quatro domínios:
1. planejamento e organização;
2. aquisição e implementação;
3. entrega e suporte;
4. monitoração.
Fonte: www.isaca.org
A figura acima ilustra a estrutura do Cobit com os quatro domínios, que, claramente, estão ligados aos
processos de negócio da organização. Os mapas de controle fornecidos pelo Cobit auxiliam os auditores e
gerentes a manter controles suficientes para garantir o acompanhamento das iniciativas de TI e recomendar
a implementação de novas práticas, se necessário. O ponto central é o gerenciamento da informação com os
recursos de TI para garantir o negócio da organização.
Cada domínio cobre um conjunto de processos para garantir a completa gestão de TI, somando 34 processos:
Planejamento e organização
1.Define o plano estratégico de TI.
2.Define a arquitetura da informação.
3.Determina a direção tecnológica.
4.Define a organização de TI e seus relacionamentos.
5.Gerencia os investimento de TI.
6.Gerencia a comunicação das direções de TI.
7.Gerencia os recursos humanos.
8.Assegura o alinhamento de TI com os requerimentos externos.
9.Avalia os riscos.
10. Gerencia os projetos.
11. Gerencia a qualidade.
Aquisição e implementação
1.Identifica as soluções de automação.
2.Adquire e mantém os softwares.
3.Adquire e mantém a infraestrutura tecnológica.
4.Desenvolve e mantém os procedimentos.
5.Instala e certifica softwares.
6.Gerencia as mudanças.
8
2013
Entrega e suporte
1.Define e mantém os acordos de níveis de serviços (SLA).
2.Gerencia os serviços de terceiros.
3.Gerencia a performance e capacidade do ambiente.
4.Assegura a continuidade dos serviços.
5.Assegura a segurança dos serviços.
6.Identifica e aloca custos.
7.Treina os usuários.
8.Assiste e aconselha os usuários.
9.Gerencia a configuração.
10. Gerencia os problemas e incidentes.
11. Gerencia os dados.
12. Gerencia a infraestrutura.
13. Gerencia as operações.
Monitoração
1.Monitora os processos.
2.Analisa a adequação dos controles internos.
3.Prove auditorias independentes.
4.Prove segurança independente.
5.1.1 Desenvolvimento do Cobit
A primeira publicação foi em 1996 enfocando o controle e a análise dos sistemas de informação. Sua segunda
edição, em 1998, ampliou a base de recursos, adicionando o guia prático de implementação e execução. A
edição atual, já coordenada pelo IT Governance Institute, introduz as recomendações de gerenciamento de
ambientes de TI dentro do modelo de maturidade de governança.
O Cobit recebe um conjunto de contribuições de várias empresas e organismos internacionais, entre eles:
§ padrões técnicos da ISO, EDIFACT, etc;
§ os códigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA, etc;
§ critérios de qualificação para TI e processos, como ITSEC, TCSEC, ISO 9000, SPICE, TickIT, etc;
§ padrões profissionais para controle interno e auditoria, como COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE,
GAO, etc;
§ práticas e exigências dos fóruns da indústria (ESF, I4) e das plataformas recomendadas pelos governos
(IBAG, NIST, DTI), etc;
9
2013
§ exigências das indústrias emergentes como operação bancária, comércio eletrônico e engenharia de
software.
5.1.2 Benefícios do Cobit
Na era da dependência eletrônica dos negócios e da tecnologia, as organizações devem demonstrar controles
crescentes em segurança. Cada organização deve compreender seu próprio desempenho e deve medir seu
progresso. O benchmarking com outras organizações deve fazer parte da estratégia da empresa para
conseguir a melhor competitividade em TI. As recomendações de gerenciamento do Cobit, com orientação
no modelo de maturidade em governança, auxiliam os gerentes de TI no cumprimento de seus objetivos
alinhados com os objetivos da organização.
Os guidelines de gerenciamento do Cobit focam na gerência por desempenho, usando os princípios do
balanced scorecard. Seus indicadores chaves identificam e medem os resultados dos processos, avaliando
seu desempenho e alinhamento com os objetivos dos negócios da organização.
5.1.3 Ferramentas de gerenciamento do Cobit
Os modelos de maturidade de governança são usados para o controle dos processos de TI e fornecem um
método eficiente para classificar o estágio da organização de TI. A governança de TI e seus processos com o
objetivo de adicionar valor ao negócio por meio do balanceamento do risco e do retorno do investimento,
podem ser classificados da seguinte forma:
0. inexistente;
1. inicial / Ad hoc;
2. repetitivo, mas intuitivo;
3. processos definidos;
4. processos gerenciáveis e medidos;
5. processos otimizados.
Essa abordagem é derivada do modelo de maturidade para desenvolvimento de software, Capability
Maturity Model for Software (SW-CMM), proposto pelo Software Engineering Institute (SEI). A partir desses
níveis, foi desenvolvido para cada um dos 34 processos do Cobit um roteiro:
§ onde a organização está hoje;
§ o atual estágio de desenvolvimento da indústria (best in class);
§ o atual estágio dos padrões internacionais;
§ aonde a organização quer chegar.
Os fatores críticos de sucesso definem os desafios mais importantes ou as ações de gerenciamento que
devem ser adotadas para colocar sob controle a gestão de TI. São definidas as ações mais importantes do
ponto de vista do que fazer a nível estratégico, técnico, organizacional e de processo.
Os indicadores de objetivos definem como serão mensurados os progressos das ações para atingir os
objetivos da organização, usualmente expressos nos seguintes termos:
§ disponibilidade das informações necessárias para suportar as necessidades de negócios;
§ riscos de falta de integridade e confidencialidade das informações;
10
2013
§ confirmação de confiabilidade, efetividade e conformidade das informações;
§ eficiência nos custos dos processos e operações.
Indicadores de desempenho definem medidas para determinar como os processos de TI estão sendo
executados e se eles permitem atingir os objetivos planejados. São os indicadores que definem se os
objetivos serão atingidos ou não, e que avaliam as boas práticas e habilidades de TI.
6. Avaliação dos sistemas de informação quanto à segurança de dados
Você já foi vítima de phishing ou conhece alguém que tenha passado por uma situação como essa? O phishing
está crescendo em um ritmo explosivo. O Gartner Research relatou que, em maio de 2005, 73 milhões de
norte-americanos receberam e-mails de phishing, e 2,4 milhões tiveram sua identidade roubada durante os
doze meses que antecederam à pesquisa. A maioria das perdas geradas por esses golpes, foi absorvida pelos
bancos e empresas de cartões de crédito, mas um número significativo de pessoas desistiu de usar os serviços
financeiros on-line por medo de ataques semelhantes.
Em um ataque de phishing, são enviados e-mails que alegam ser de um banco, de empresas de cartão de
crédito, de varejistas ou de outras empresas, e direcionam o destinatário a um site no qual se solicita a
inserção de informações vitais, tais como números de conta bancária, números de previdência social,
detalhes do cartão de crédito ou senhas on-line. O site parece legítimo, mas na verdade é uma farsa. Os
golpistas usam as informações obtidas por meio do phishing para esvaziar contas bancárias ou utilizar cartões
de crédito, ou ainda para vender essas informações para que outros o façam.
De acordo com o Grupo de Trabalho Antiphishing, Citibank, U.S. Bank e Visa encabeçam a lista de marcas
financeiras raptadas pelos golpistas. Os golpistas também estão aproveitando as fusões bancárias, como a
ocorrida entre Wachovia e o Sun Trust, para tentar convencer os clientes a fornecer seu número de conta,
alegando que necessitam dessa informação para completar a transição para as novas contas pós-fusão.
O que pode ser feito para combater o phishing e evitar a perda da confiança? Uma série de abordagens é
possível. Primeiro, as empresas podem educar seus clientes a respeito dos golpes de phishing (também
chamados phishing scams). O Citibank, uma unidade do Citigroup, alerta os visitantes de seu site sobre os
perigos do phishing, além de emitir sinais de alerta para e-mails potencialmente fraudulentos. O Citibank
assegura ainda, que jamais envia e-mails aos clientes solicitando informações confidenciais.
Os provedores de serviços de Internet (ISPs) e os sites em si já começaram a usar produtos e serviços
antiphishing. Alguns serviços eliminam o junk e-mail (literalmente, e-mail lixo). Outros tentam extirpar os
sites falsos da web, emitindo listas negras de sites de phishing para advertir os consumidores. Alguns
monitoram os sites de serviços bancários on-line, para verificar se estão sendo espreitados por golpistas, ou
até mesmo solicitam aos provedores de serviços de Internet que removam os sites infratores.
Os bancos estão começando a revidar ataques de phishing, requisitando dos clientes on-line, autenticações
de múltiplos níveis – além de seus nomes e senhas, algo mais, como uma foto pequena e exclusiva. O Bank
of America agora solicita aos clientes de Internet que registrem seus computadores e vinculem uma imagem
digital, como uma foto de seu gato, à sua conta. Quando um cliente acessa os sites do banco, a imagem é
exibida antes que ele insira a sua senha; assim, ele tem certeza de que o site é legítimo. Entretanto, outros
bancos hesitam em adotar tais medidas, por medo de tornarem as transações bancárias por Internet difíceis
demais.
Os problemas criados pelo phishing para empresas como o eBay e o Citigroup, ou para clientes individuais
são algumas das razões pelas quais as empresas precisam prestar atenção especial à segurança dos sistemas
de informação. O phishing e o roubo de identidade se disseminaram, porque muitas pessoas e empresas
11
2013
usam a Internet para transações financeiras e comerciais on-line. Esses crimes têm representado custos de
bilhões de dólares para os serviços financeiros e bancários – e muita agonia e preocupação para as vítimas.
Implicam também em impactos de maior alcance, pois desestimulam as pessoas de fazer compras pela
Internet ou de usar serviços bancários e financeiros on-line, reduzindo assim as receitas e lucros. Segundo
um estudo realizado pelos consultores do Gartner Group, 33% dos compradores on-line estão comprando
menos itens e fazendo menos transações financeiras on-line, por medo de fraude (Lager, 2005). Logo,
combater o phishing e aumentar a segurança dos sistemas de informações ajudarão a evitar prejuízos,
decorrentes de fraude em curto prazo, bem como a perda de receita em longo prazo.
Para proteger sistemas de informação contra acesso não autorizado, uso indevido, destruição ou adulteração
de ativos, é necessário uma combinação entre treinamento, procedimentos e tecnologias. Os custos e a
dificuldade de usar todos esses expedientes podem ser compensados pelos benefícios líquidos que eles
trazem à empresa, na forma de maior confiança do cliente, operações ininterruptas, conformidade às
regulamentações governamentais e proteção de ativos financeiros.
À medida que o e-commerce e o e-business vêm crescendo e abarcando grande parte da nossa vida, todos
nos tornamos muito mais conscientes da importância de proteger as informações digitais. Os clientes
esperam que suas informações digitais privadas sejam mantidas seguras e confidencias pela empresa. Como
as empresas dependem cada vez mais da Internet, tornam-se mais vulneráveis a uma variedade de ataques
contra seus sistemas, que, se bem-sucedidos, podem tirá-lo do negócio em um prazo muito curto. Para
proteger sua empresa, você precisa prestar mais atenção à segurança e controle do que nunca.
Se você está estudando economia e finanças ou contabilidade, trabalhará no futuro com controles de
sistemas de informação para evitar erros, fraudes e interrupção nos serviços, que podem levar a grandes
perdas financeiras e à diminuição da confiança do cliente.
Se a sua área é recursos humanos, você lidará com fatores humanos, que são tão importantes quanto os
tecnológicos no estabelecimento da segurança e da confiança nos sistemas de informação da empresa.
Muitas lacunas na segurança e erros de sistema são causados por funcionários internos autorizados, e a
função de recursos humanos é se responsabilizar por programas de treinamento e pela conscientização dos
funcionários quanto à importância da segurança.
Se pretende trabalhar na gestão de operações, produção ou manufatura, você se empenhará em evitar
lacunas na segurança e downtime (tempo fora de serviço), quando sua empresa estiver conectada com os
sistemas de outras empresas para a gestão da cadeia de suprimentos.
Se você pretende trabalhar com vendas e marketing, você se preocupará com sistemas de pagamentos
seguros, com compras on-line, e também com medidas para assegurar que os dados dos clientes estejam
seguros e sejam usados adequadamente.
6.1 Vulnerabilidade e uso indevido dos sistemas
Você pode imaginar o que aconteceria se tentasse conectar à Internet sem um firewall ou software antivírus?
Em segundos o seu computador seria danificado, e você talvez levasse dias para reabilitá-lo. Se o seu
computador fosse utilizado para administrar a sua empresa, enquanto ele estivesse fora do ar talvez você
não conseguisse atender os clientes, nem fazer pedidos aos fornecedores. Talvez você precisasse contratar
a preço de ouro, especialistas em sistemas para fazê-lo funcionar novamente. E no fim, talvez você
descobrisse que, nesse meio tempo, seu sistema de computador foi invadido por invasores, que roubaram
ou destruíram dados valiosos, incluindo dados confidenciais de pagamento de seus clientes. Se grande parte
dos dados tivesse sido destruída ou divulgada, talvez sua empresa nunca mais conseguisse se recuperar.
12
2013
Ou seja, se você opera uma empresa hoje, precisa ter a segurança e o controle como prioridades. O termo
segurança abarca as políticas, procedimentos e medidas técnicas usadas para impedir acessos não
autorizados, alteração, roubo ou danos físicos a sistemas de informação. Os controles, por sua vez, consistem
em todos os métodos, políticas e procedimentos organizacionais que garantem a segurança dos ativos da
organização, a precisão e a confiabilidade dos registros contábeis e a adesão operacionais aos padrões
administrativos.
6.1.1 Por que os sistemas são vulneráveis?
Quando grandes quantidades de dados são armazenadas sob formato eletrônico, ficam vulneráveis a muito
mais tipos de ameaças do que quando estão em um formato manual. Sistemas de informação em diferentes
localidades podem ser interconectados por meio de redes de telecomunicações. Logo, o potencial para
acesso não autorizado, uso indevido ou fraude não fica limitado a um único lugar, mas pode ocorrer em
qualquer ponto de acesso à rede.
É possível acessar os dados enquanto eles estão fluindo pela rede, roubar dados valiosos durante a
transmissão ou alterar mensagens sem autorização. A radiação também pode interromper a rede em vários
pontos. Intrusos podem deflagrar ataques de recusa de serviço ou inserir softwares mal-intencionados para
interromper a operação de sites. Aqueles capazes de penetrar os sistemas corporativos podem destruir ou
alterar os dados corporativos armazenados nos bancos de dados ou arquivos.
Quando o hardware quebra, não está configurado adequadamente ou é danificado por uso impróprio ou
atividades criminosas, os sistemas não funcionam como deveriam. Já as causas de falhas em softwares são
erros de programação, instalação inadequada ou alterações não autorizadas. Além disso, quedas de energia,
enchentes, incêndios ou outros desastres naturais podem prejudicar sistemas de computadores.
As parcerias com outras empresas, no âmbito nacional ou internacional, aumentam a vulnerabilidade do
sistema, pois informações valiosas podem residir em redes e computadores fora do controle da organização.
Sem salvaguardas sólidas, dados valiosos podem ser perdidos, destruídos ou podem cair em mãos erradas,
revelando importantes segredos comerciais ou informações que violem a privacidade pessoal.
Laudon e Laudon, 2007, p. 210
6.1.2 Vulnerabilidades da Internet
Grandes redes públicas, incluindo a Internet, são mais vulneráveis porque estão abertas a praticamente
qualquer um; e, quando sofrem abusos, são tão grandes que as proporções do impacto podem ser imensas.
Quando a Internet se torna parte de uma rede corporativa, os sistemas de informação da organização podem
ficar vulneráveis a ações de estranhos.
Computadores permanentemente conectados com a Internet, via modem a cabo ou linha DSL, estão mais
sujeitos a invasão por estranhos, já que usam um endereço de Internet fixo, tornando-se, portanto, mais
fáceis de identificar.
Caso não utilizem uma rede privada segura, os serviços de telefonia baseados na tecnologia de Internet
podem ser mais vulneráveis que a rede de voz comutada. A maior parte do tráfego de voz sobre IP na Internet
pública não estar criptografada, de maneira que qualquer pessoa com uma rede pode ouvir as conversas.
Hackers podem interceptar diálogos para obter dados de cartão de crédito e outras informações pessoais
confidenciais, ou podem, até mesmo, interromper o serviço de voz entupindo os servidores que o
comportam com tráfego falso.
A vulnerabilidade também aumentou com o uso disseminado de e-mail e mensagens instantâneas. O e-mail
pode conter anexos que servem como trampolim para softwares mal-intencionados ou acesso não
13
2013
autorizado a sistemas corporativos internos. Os funcionários podem usar mensagens de e-mails para
transmitir segredos de negócios, dados financeiros ou informações confidenciais dos clientes a destinatários
não autorizados. Os aplicativos de mensagens instantâneas mais comuns não usam uma camada segura para
mensagens de texto, por isso podem ser interceptados e lidos por estranhos durante a transmissão pela
Internet pública. O recurso de mensagem instantânea pela Internet pode, em alguns casos, ser usado como
passagem secreta para uma rede até então segura.
Módulo 3
Um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal
como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros
computadores, utilizando-se de diversos meios.
A maioria das contaminações ocorre pela ação do usuário, executando o arquivo infectado recebido como
um anexo de um e-mail. A contaminação também pode ocorrer por meio de arquivos infectados em pen
drives, CDs e outros.
A segunda causa de contaminação é por Sistema Operacional desatualizado, sem correções de segurança,
que poderiam corrigir vulnerabilidades conhecidas dos sistemas operacionais ou aplicativos, que poderiam
causar o recebimento e execução do vírus inadvertidamente. Ainda existem alguns tipos de vírus que
permanecem ocultos em determinadas horas, entrando em execução em horas especificas.
Também se pode ser infectado por um vírus através de sites contaminados, em especial site pornográficos.
História do vírus
Evolução da quantidade de vírus informático ao longo dos anos.
Em 1983, Len Eidelmen demonstrou em um seminário sobre segurança computacional, um programa autoreplicante em um sistema VAX11/750. Este conseguia instalar-se em vários locais do sistema. Um ano depois,
na 7th Annual Information Security Conference, o termo vírus de computador foi definido como um
programa que infecta outros programas, modificando-os para que seja possível instalar cópias de si mesmo.
O primeiro vírus para PC nasceu em 1986 e chamava-se Brain, era da classe dos Vírus de Boot, ou seja,
danificava o sector de inicialização do disco rígido. A sua forma de propagação era através de um disquete
contaminado. Apesar do Brain ser considerado o primeiro vírus conhecido, o título de primeiro código
malicioso pertence ao Elk Cloner, escrito por Rich Skrenta.
Cronologia
Evolução dos vírus dos microcomputadores



·1983 - O pesquisador Fred Cohen (Doutorando de Eng.ª. Elétrica da Univ. do Sul da Califórnia), entre
suas pesquisas, chamou os programas de códigos nocivos como "Vírus de Computador". No mesmo
ano, Len Eidelmen demonstrou em um seminário sobre segurança computacional, um programa
auto-replicante em um sistema VAX11/750. Este conseguia instalar-se em vários locais do sistema.
·1984 - Na 7th Annual Information Security Conference, o termo vírus de computador foi definido
como um programa que infecta outros programas, modificando-os para que seja possível instalar
cópias de si mesmo.
·1986 - Descoberto o primeiro vírus para PC. Chamava-se Brain, era da classe dos Vírus de Boot, ou
seja, danificava o sector de inicialização do disco rígido. A sua forma de propagação era através de
14










2013
um disquete contaminado. Apesar do Brain ser considerado o primeiro vírus conhecido, o título de
primeiro código malicioso pertence ao Elk Cloner, escrito por Rich Skrenta.
·1987 - Surge o primeiro Vírus de Computador escrito por dois irmãos: Basit e Amjad que foi batizado
como 'Brain', apesar de ser conhecido também como: Lahore, Brain-a, Pakistani, Pakistani Brain, e
UIU. O Vírus Brain documentado como 'Vírus de Boot', infectava o setor de inicialização do disco
rígido, e sua propagação era através de um disquete que ocupava 3k, quando o boot ocorria, ele se
transferia para o endereço da memória "0000:7C00h" da Bios que o automaticamente o executava.
·1988 - Surge o primeiro Antivírus, por Denny Yanuar Ramdhani em Bandung, Indonésia. O primeiro
Antivírus a imunizar sistema contra o vírus Brain, onde ele extrai as entradas do vírus do computador
em seguida imunizava o sistema contra outros ataques da mesma praga. Surge também a primeira
versão do antivírus avast!, criado para remover o Vienna Virus.
·1989 - Aparece o Dark Avenger, o qual vem contaminando rapidamente os computadores, mas o
estrago é bem lento, permitindo que o vírus passe despercebido. A IBM fornece o primeiro antivírus
comercial. No início do ano de 1989, apenas 9% das empresas pesquisadas tinha um vírus. No final
do ano, esse número veio para 63%.
·1992 - Michelangelo, o primeiro vírus a aparecer na mídia. É programado para sobre gravar partes
das unidades de disco rígido criando pastas e arquivos com conteúdos falsos em 6 de março, dia do
nascimento do artista da Renascença. As vendas de software antivírus subiram rapidamente.
·1994 - Nome do vírus Pathogen, feito na Inglaterra, é rastreado pela Scotland Yard e o autor é
condenado a 18 meses de prisão. É a primeira vez que o autor de um vírus é processado por
disseminar código destruidor.
·1995 - Nome do vírus Concept, o primeiro vírus de macro. Escrito em linguagem Word Basic da
Microsoft, pode ser executado em qualquer plataforma com Word - PC ou Macintosh. O Concept se
espalha facilmente, pois se replicam através do setor de boot, espalhando por todos os arquivos
executáveis.
·1999 - O vírus Chernobyl, deleta o acesso a unidade de disco e não deixa o usuário ter acesso ao
sistema. Seu aparecimento deu--se em abril. Sua contaminação foi bem pouca no Estados Unidos,
mas provocou danos em outros países. A China sofreu um prejuízo de mais de US$ 291 milhões.
Turquia e Coreia do Sul foram duramente atingidas.
·2000 - O vírus LoveLetter, liberado nas Filipinas, varre a Europa e os Estados Unidos em seis horas.
Infecta cerca de 2,5 milhões a 3 milhões de máquinas. Causou danos estimados em US$ 8,7 bilhões.
·2001 - A "moda" são os códigos nocivos do tipo Worm (proliferam-se por páginas da Internet e
principalmente por e-mail). Nome de um deles é o VBSWorms Generator, que foi desenvolvido por
um programador argentino de apenas 18 anos.
·2007 - Em torno de 2006 e 2007 houve muitas ocorrências de vírus no Orkut que é capaz de enviar
scraps (recados) automaticamente para todos os contatos da vítima na rede social, além de roubar
senhas e contas bancárias de um micro infectado através da captura de teclas e cliques. Apesar de
que aqueles que receberem o recado terem de "clicar" em um link para se infectar, a relação de
confiança existente entre os amigos aumenta muito a possibilidade de o usuário "clicar" sem
desconfiar de que o link leva para um worm. Ao clicar no link, um arquivo bem pequeno é baixado
para o computador do usuário. Ele se encarrega de baixar e instalar o restante das partes da praga,
que enviará a mensagem para todos os contatos do Orkut. Além de simplesmente se espalhar usando
a rede do Orkut, o vírus também rouba senhas de banco, em outras palavras, é um clássico Banker.
Dados estatísticos


·Até 1995 - 15.000 vírus conhecidos;
15







2013
·Até 2005 - Aproximadamente 75.000 vírus conhecidos;
·Até 2007 - Aproximadamente 200.000 vírus conhecidos;
·Até Novembro de 2008 - Mais de 530.000 vírus conhecidos.
·Até Março de 2010 - Mais de 950.000 vírus conhecidos.
·Até Janeiro de 2011 - Mais de 1.200.000 vírus conhecidos.
Crackers e hackers
Nos anos 90 eram aficionados em informática, conheciam muitas linguagens de programação e quase sempre
jovens, que criavam seus vírus, para muitas vezes, saber o quanto eles poderiam se propagar. Atualmente é
completamente diferente; são pessoas que atacam outras máquinas com fins criminosos com um objetivo
traçado: capturar senhas bancárias, números de conta e informações privilegiadas que lhes despertem a
atenção.
Há quem diga que cracker e hacker são a mesma coisa, mas tecnicamente há diferenças:
Hacker
São os que quebram senhas, códigos e sistemas de segurança por puro prazer em achar tais falhas.
Preocupam-se em conhecer o funcionamento mais íntimo de um sistema computacional, ou seja, sem
intenção de prejudicar ou invadir sistemas operacionais ou banco de dados.
Em geral um hacker não gosta de ser confundido com um cracker. Nesta polêmica, o termo hacker é
recuperado por programadores de computador que argumentam que alguém que invade computadores é
chamado de cracker.1
Cracker
É o criminoso virtual que extorque pessoas usando seus conhecimentos, usando as mais variadas estratégias.
Seu interesse é basicamente o vandalismo.
Porém, já se criou um verdadeiro mercado negro de vírus de computador, onde certos sites, principalmente
russos, disponibilizam downloads de vírus e kits para qualquer um que puder pagar, virar um Cracker, o que
é chamado de terceirização da "atividade".
Tipos de vírus
Vírus de Computador (Computer Virus, Vírus Informático)
Um vírus de computador é um programa de computador com capacidade de se copiar e causar danos às suas
vítimas. Um vírus de computador procura explorar falhas de segurança para se copiar para outros
computadores, através de conexões de rede, unidades de disco (como disco rígido, pen drive, disquete etc).
Alguns vírus servem apenas para prejudicar o desempenho das máquinas hospedeiras, travando o sistema
operacional e impedindo até que o computador possa ser iniciado, mas outros, que estão a cada dia mais
comuns e perigosos, servem para copiar senhas e outros dados sigilosos que são usados para roubar dinheiro
e aplicar diversos outros tipos de golpe. Outros vírus de computador podem ainda invadir o computador para
dominá-lo e transformá-lo numa "máquina zumbi" que será usada para prejudicar outras pessoas.
Como um programa de computador, um vírus de computador pode fazer qualquer coisa que um programa
possa fazer. Um vírus pode fazer uma determinada tarefa, como simplesmente se multiplicar, ou várias
16
2013
tarefas, como se multiplicar, copiar dados do usuário e enviá-los para a Internet etc. Os vírus de computador
maliciosos são categorizados como malware.
Os tipos de vírus de computador mais conhecidos são:
Vírus de Boot: Vírus de computador que infectar o setor de boot.
Banker: Vírus de computador que rouba informações bancárias.
Worm: Vírus de computador que se espalhar rapidamente pela rede.
Trojan: Vírus de computador que realiza alguma função local determinada dentro do computador
hospedeiro.
Exploit: Vírus de computador que explora falhas em programas de computador.
Backdoor: Vírus de computador que permite monitorar ou controlar o computador hospedeiro.
Keylogger: Vírus de computador que copia tudo o que é digitado no computador.
Dialer: Vírus de computador que realiza ligações telefônicas.
Spyware: Vírus de computador que espia as ações do usuário do computador.
Denominações: Vírus de Computador, Computer Virus, Vírus Informático
Estado Zombie
O estado zombie em um computador ocorre quando é infectado e está sendo controlado por terceiros.
Podem usá-lo para disseminar, vírus, keyloggers, e procedimentos invasivos em geral. Usualmente esta
situação ocorre pelo fato da máquina estar com seu Firewall e ou Sistema Operacional desatualizados.
Segundo estudos na área, um computador que está na internet nessas condições tem quase 50% de chance
de se tornar uma máquina zumbi, que dependendo de quem está controlando, quase sempre com fins
criminosos, como acontece vez ou outra, quando crackers são presos por formar exércitos zombies para
roubar dinheiro das contas correntes e extorquir.
Vírus de Macro
Os vírus de macro (ou macro vírus) vinculam suas macros a modelos de documentos gabaritos e a outros
arquivos de modo que, quando um aplicativo carrega o arquivo e executa as instruções nele contidas, as
primeiras instruções executadas serão as do vírus.
Vírus de macro são parecidos com outros vírus em vários aspectos: são códigos escritos para que, sob certas
condições, este código se "reproduz", fazendo uma cópia dele mesmo. Como outros vírus, eles podem ser
escritos para causar danos, apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer.
Resumindo, um vírus de macro infecta os arquivos do Microsoft Office (.doc - word,.xls - excel,.ppt - power
point,.mdb - access.
Novos meios
Muito se fala de prevenção contra vírus de computador em computadores pessoais, o famoso PC, mas pouca
gente sabe que com a evolução, aparelhos que tem acesso à internet, como muitos tipos de telefones
celulares, handhelds, VOIP, etc podem estar atacando e prejudicando a performance dos aparelhos em
questão. Por enquanto são casos isolados, mas o temor entre especialistas em segurança digital é que com
a propagação de uma imensa quantidade de aparelhos com acesso à internet, hackers e crackers irão se
17
2013
interessar cada vez mais por atacar esses novos meios de acesso à web. Também se viu recentemente que
vírus podem chegar em produtos eletrônicos defeituosos, como aconteceu recentemente com iPods da
Apple Inc., que trazia um "inofensivo" vírus (qualquer antivírus o elimina, antes que ele elimine alguns
arquivos contidos no iPod), nessas situações, avisar o fabricante é essencial para evitar danos muito grandes
Existem igualmente vírus que são executados quando se entra na página através de browser, mais conhecido
como vírus "Script", podendo ser utilizado para invadir o computador ou plantar outro vírus no computador.
Vírus
http://www.oficinadanet.com.br//imagens/coluna/2516/virus.jpg
Um vírus de computador é um programa malicioso desenvolvido por programadores que, tal como um vírus
biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores, utilizandose de diversos meios.
A maioria das contaminações ocorre pela ação do usuário executando o arquivo infectado recebido como
um anexo de um e-mail. A contaminação também pode ocorrer por meio de arquivos infectados em pen
drives ou CDs. A segunda causa de contaminação é por Sistema Operacional desatualizado, sem correções
de segurança, que poderiam corrigir vulnerabilidades conhecidas dos sistemas operacionais ou aplicativos,
que poderiam causar o recebimento e execução do vírus inadvertidamente. Ainda existem alguns tipos de
vírus que permanecem ocultos em determinadas horas, entrando em execução em horas especificas.
Worm
http://www.oficinadanet.com.br//imagens/coluna/2516/worm.jpg
Um Worm (verme, em português), em computação, é um programa auto-replicante, semelhante a um vírus.
Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o Worm
é um programa completo e não precisa de outro para se propagar. Um worm pode ser projetado para tomar
ações maliciosas após infestar um sistema, além de se auto-replicar, pode deletar arquivos em um sistema
ou enviar documentos por e-mail. A partir disso, o worm pode tornar o computador infectado vulnerável a
outros ataques e provocar danos apenas com o tráfego de rede gerado pela sua reprodução - o Mydoom,
por exemplo, causou uma lentidão generalizada na Internet no pico de seu ataque.
Spam
http://www.oficinadanet.com.br//imagens/coluna/2516/spam.jpg
O termo Spam, abreviação em inglês de "spiced ham" (presunto condimentado), é uma mensagem eletrônica
não-solicitada enviada em massa. Na sua forma mais popular, um spam consiste numa mensagem de correio
eletrônico com fins publicitários. O termo spam, no entanto, pode ser aplicado a mensagens enviadas por
outros meios e em outras situações até modestas. Geralmente os spams têm caráter apelativo e na grande
maioria das vezes são incômodos e inconvenientes.
Spyware
http://www.oficinadanet.com.br//imagens/coluna/2516/spyware.jpg
Spyware consiste num programa automático de computador, que recolhe informações sobre o usuário, sobre
os seus costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem o seu
conhecimento nem o seu consentimento. Diferem dos cavalos de Tróia por não terem como objetivo que o
sistema do usuário seja dominado, seja manipulado, por uma entidade externa, por um cracker. Os spywares
podem ser desenvolvidos por firmas comerciais, que desejam monitorar o hábito dos usuários para avaliar
18
2013
seus costumes e vender este dados pela internet. Desta forma, estas firmas costumam produzir inúmeras
variantes de seus programas-espiões, aperfeiçoando-o, dificultando em muito a sua remoção.
Por outro lado, muitos vírus transportam spywares, que visam roubar certos dados confidenciais dos
usuários. Roubam dados bancários, montam e enviam registros das atividades do usuário, roubam
determinados arquivos ou outros documentos pessoais. Com frequência, os spywares costumavam vir
legalmente embutidos em algum programa que fosse shareware ou freeware. Sua remoção era por vezes,
feita quando da compra do software ou de uma versão mais completa e paga. Traduzindo ao pé da letra,
Spyware significa "aplicativo ou programa espião".
Phishing
http://www.oficinadanet.com.br//imagens/coluna/2516/phishing.jpg
Em computação, phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir
informações sigilosas, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa
confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma
mensagem instantânea. Na prática do Phishing surgem artimanhas cada vez mais sofisticadas para "pescar"
(do inglês fish) as informações sigilosas dos usuários.
Firewall Pessoal
Os firewall's pessoais são programas desenvolvidos por empresas de software com o objetivo de evitar que
o computador pessoal seja vítima de ataques maliciosos (ou os "Blended Threats" - códigos maliciosos que
se espalham pela Internet sem que o utilizador do computador que infecta/está a infectar saiba) e os ataques
de programas espiões. Falando da sua função relacionada com os vírus, este programa vigia as "portas" (as
portas TCP/IP são os meios de comunicação, associado a um determinado aplicativo, que deixam trafegar a
informação do computador para a rede), de maneira a impedir que os vírus ataquem num determinado
protocolo. Assim, se instalar um firewall pessoal em seu computador, o usuário está protegido contra ataques
de muitos vírus, evitando que eles tenham acesso ao seu computador e a seus arquivos! O firewall também
protege de ataques de cracker's (pessoas que pretendem invadir o seu sistema ), porque ao vigiar o tráfego
das portas dos protocolos, conseguem detectar tentativas de intrusões no seu sistema por um computador
remoto.
Engenharia social
Embora se tenha dado um grande avanço no sentido de se tornar sistemas computacionais cada vez mais
seguros, isso pode de nada valer frente a engenharia social, que consistem em técnicas para convencer o
usuário a entregar dados como senhas bancárias, número do cartão de crédito, dados financeiros em geral,
seja numa conversa informal e despreocupada em uma sala de bate papo, em um Messenger, onde
geralmente costumam ocorrer tais atos, e até mesmo pessoalmente.
Por isso, nunca se deve fornecer qualquer tipo de senha de qualquer espécie, pois a porta de entrada para a
perda de informações, espionagem, furto de dinheiro em uma conta bancária e detalhes pessoais podem cair
nas mãos de pessoas desconhecidas que não se sabe que tipo de destino podem dar a essas informações.
Atualmente, são obtidos dados dessa espécie e dados mais específicos também (tipo senhas de redes de
computadores de empresas, localização de back door, etc.).
A engenharia Social, não possui o menor vínculo com o hacking, são técnicas totalmente diferentes uma da
outra. “O Engenheiro Social prevê a suspeita e a resistência, e ele está sempre preparado para transformar
a desconfiança em confiança”. Um bom Engenheiro social planeja o seu ataque como um jogo de xadrez.
19
2013
Módulo 4
Ferramentas de análises financeiras
Quando se fala de análise de investimentos, a primeira ideia que surge é a comparação de quanto se irá
investir e de quanto tempo será necessário para se recuperar o investimento feito.
Os analistas contábeis têm sido uma peça chave nas decisões que consideram os investimentos em TI,
buscando respostas em termos de quantias financeiras, uma vez que eles têm uma cultura focada na análise
de custo - benefício, medido em valores monetários.
Fluxo de caixa
O FLUXO DE CAIXA (designado em inglês por "cash flow"), refere-se ao montante de caixa recebido e gasto
por uma empresa durante um período de tempo definido, algumas vezes ligado a um projeto específico.
Existem dois tipos de fluxos: - outflow, de saída, que representa as saídas de capital, subjacentes às despesas
de investimento. - inflow, de entrada, que é o resultado do investimento. Valor que contrabalança com as
saídas e traduz-se num aumento de vendas ou representa uma redução de custo de produção, etc.
Calcula o valor acumulado entre as receitas previstas e as despesas durante determinado período:
1. Escolher um período de tempo para o estudo
2. Reunir os valores totais das receitas obtidas para cada período, do total de períodos em estudo.
3. Reunir o total de custos para o projeto, nos períodos correspondentes aos estudados no 2º passo.
4. Efetuar a soma dos valores positivos do 2º passo com os valores negativos do 3º passo
5. Tomar a soma de acumulados dos valores obtidos no 4º passo
Período de estudo: período de tempo a que reporta o levantamento de todos os “outflows” e “inflows”
relacionados com o projeto.
Apesar de em Portugal, apenas a partir de 1 de Janeiro de 2003 ser necessária a apresentação da
Demonstração dos Fluxos de Caixa, alteração introduzida através da Diretriz Contabilística nº 14, este é um
dos indicadores mais usados por analistas financeiros, como medida de desempenho da empresa.
O fluxo de caixa permite a análise da geração dos meios financeiros e da sua utilização, num determinado
período de tempo.
Na Contabilidade, uma projeção de fluxo de caixa demonstra todos os pagamentos e recebimentos
esperados em um determinado período de tempo. O controlador de fluxo de caixa necessita de uma visão
geral sobre todas as funções da empresa, como: pagamentos, recebimentos, compras de matéria-prima,
compras de materiais secundários, salários e outros, por que é necessário prever o que se poderá gastar no
futuro dependendo do que se consome hoje.
Um exemplo: se uma pessoa recebe $ 5.000,00 mensais (ou $ 60.000,00 anuais), e gasta algo equivalente a
isso com as despesas correntes, seu fluxo de caixa é de igual valor. Com esse fluxo de caixa ele poderá se
planejar para o futuro de curto prazo, ele também estaria impedido de tomar empréstimos vultosos, comprar
bens de alto valor ou empreender projetos acima de $ 100.000,00, por exemplo. Para uma entidade jurídica,
essa medida de fluxo de caixa é idêntica. Portanto, o fluxo de caixa "mede" o valor do negócio em que a
empresa vem operando.
20
2013
Não adianta a entidade ser gigantesca ou pequena demais, o valor desse empreendimento estará no seu
fluxo de caixa, ou melhor, se ambas tiverem um FC de, digamos, 1 milhão, ambas terão o mesmo valor de
mercado, pelas trocas de ativos que eles realizam com o mercado serem idênticas.
Apesar do nome, as contas-correntes da empresa tem o mesmo comportamento do seu caixa e seu
movimento faz parte desse fluxo de caixa. O que não pode ser considerado é a transação de depósito ou
saque bancários, ou melhor, as transações entre Caixa e Contas-Correntes não são computadas.
O fluxo de caixa é uma ótima ferramenta para auxiliar o administrador de determinada empresa nas tomadas
de decisões. É através deste "mapa" que os custos fixos e variáveis ficam evidentes, permitindo-se desta
forma um controle efetivo sobre determinadas questões empresariais.
Existem várias medidas com capacidade para caracterizar a rentabilidade de um projeto de investimento: os
resultados do exercício (do projeto) são à primeira vista a medida de credibilidade por excelência da atividade
do projeto.
Acontece que os resultados do exercício (o lucro) é uma medida que depende de vários procedimentos
nomeadamente do registo contabilístico adoptado (como o método de valorização das existências, das
amortizações e reintegrações, etc.), de tal forma que existem, em geral para a mesma empresa e para o
mesmo exercício, duas medidas distintas do lucro, uma para a administração fiscal e outra para os acionistas.
As diferentes medidas dos resultados do exercício (lucro)provocariam, acaso se utilizasse o lucro como
medida de rentabilidade do projeto, que estes procedimentos poderiam levar a considerar um bom projeto
num mau projeto.
Para evitar a dependência da medida de credibilidade do projeto do procedimento contabilístico, utiliza-se
como medida de credibilidade do projeto o cash-flow.
O conceito de cash-flow designa os fluxos líquidos gerados pelo projeto que assumem a forma de numerário.
A vantagem do cash-flow relativamente ao lucro é que o cash-flow é um conceito objetivo, bem definido,
que é registável de forma inequívoca.
Os recebimentos e os pagamentos efetivos em numerário são os registos relevantes para a medição do cashflow.
Na definição do cash-flow é importante identificar os recebimentos e pagamentos do projeto em numerário,
bem como o período de tempo em que esse fluxo é gerado, dado que o dinheiro tem valor no tempo.
Este conceito é desagregável no projeto de investimento em:


·Cash-flow de investimento
·Cash-flow de exploração
O cash-flow de investimento obtém-se a partir do plano global de investimento, e o de exploração a partir
do plano de exploração provisional.
Estes conceitos são distintos e medem coisas distintas se pretendermos medir a rentabilidade devemos usar
o conceito de cash-flow; se pretendemos medir a solvabilidade devemos utilizar o conceito de fluxo de
tesouraria.
Valor Anual Uniforme (VAUE)
Consiste em achar uma série uniforme anual equivalente (pela TMA) ao fluxo de caixa do investimento.
21
2013
Este valor uniforme anual equivalente ( VAUE ) determina o quanto este investimento lucraria, anualmente,
a mais que a respectiva aplicação financeira.
Se o VAUE for positivo, este investimento é recomendado economicamente. Entre dois ou mais investimento,
seria recomendado o investimento que resultar no maior VAUE.
Duração diferente
Algo interessante acontece se os investimentos tiverem durações distintas. Temos duas situações:
1) PROCESSO REPETITIVO
Nestes casos (como reposição periódica de certa parte de um equipamento), a princípio poderíamos repetilos até atingir uma duração igual ao mmc das durações e então teríamos investimentos de mesma duração,
com várias saídas e entradas.
O VAUE correspondente a cada investimento será o resultado da série uniforme equivalente à(s)
repetição(ões).
MAS, como o que interessa é o resultado anual (que será "pra sempre"), basta calcular o VAUE simples.
2) PROCESSO NÃO REPETITIVO
Nestes casos, não vale a comparação de VAUE(A) durante n anos com VAUE(B) durante m anos, se n e m
forem diferentes.
Devemos achar, em cada investimento, uma série uniforme de mesma duração.
Exemplos
1) A empresa dispõe de R$ 180.000,00 e se apresentam dois equipamentos parecidos para comprar um:
Marca A) Exigem um investimento inicial (compra e instalação) de R$ 140.000,00, e proporciona um lucro
líquido anual de R$ 50.000,00, durante 7 anos.
Marca B) Exigem um investimento inicial (compra e instalação) de R$ 180.000,00, e proporciona um lucro
líquido anual de R$ 65.000,00, durante 7 anos.
Calcule a melhor alternativa, sob uma TMA da empresa de 30% a.a.
Solução: VAUE(A) = -140.000,00.[A/P ; 30 ; 7] + 50.000,00
VAUE(A) =-140.000,00.[0,356874] + 50.000,00 = 37,69
VAUE(B) = -180.000,00.[A/P ; 30 ; 7] + 65.000,00
VAUE(B) =-180.000,00.[0,356874] + 65.000,00 = 762,75
Resposta: A alternativa B é a recomendada economicamente: dará lucro anual de R$ 762,75 por 7 anos.
Valor Presente Líquido (VPL)
O valor presente líquido (VPL), também conhecido como valor atual líquido (VAL) ou método do valor atual,
é a fórmula matemático-financeira capaz de determinar o valor presente de pagamentos futuros
descontados a uma taxa de juros apropriada, menos o custo do investimento inicial. Basicamente, é o cálculo
de quanto os futuros pagamentos somados a um custo inicial estariam valendo atualmente. Temos que
considerar o conceito de valor do dinheiro no tempo, pois, exemplificando, R$ 1 milhão hoje não valeriam
22
2013
R$ 1 milhão daqui a um ano, devido ao custo de oportunidade de se colocar, por exemplo, tal montante de
dinheiro na poupança para render juros. É um método padrão em: ...
·contabilidade gerencial: para a conversão de balanços para a chamada demonstrações em moeda constante,
quando então se tenta expurgar dos valores os efeitos da inflação e das oscilações do câmbio. Também é um
dos métodos para o cálculo do goodwill, quando então se usa o demonstrativo conhecido como fluxo de
caixa descontado (ver Valor presente ajustado);
·finanças: para a análise do orçamento de capitais - planejamento de investimentos a longo prazo. Usando o
método VPL um projeto de investimento potencial deve ser empreendido se o valor presente de todas as
entradas de caixa menos o valor presente de todas as saídas de caixa (que iguala o valor presente líquido)
for maior que zero. Se o VPL for igual a zero, o investimento é indiferente, pois o valor presente das entradas
é igual ao valor presente das saídas de caixa; se o VPL for menor do que zero, significa que o investimento
não é economicamente atrativo, já que o valor presente das entradas de caixa é menor do que o valor
presente das saídas de caixa.
Para cálculo do valor presente das entradas e saídas de caixa é utilizada a TMA (Taxa Mínima de Atratividade)
como taxa de desconto. Se a TMA for igual à taxa de retorno esperada pelo acionista, e o VPL > 0, significa
que a decisão favorável à sua realização. Sendo o VAL superior a 0, o projeto cobrirá tanto o investimento
inicial, bem como a remuneração mínima exigida pelo investidor, gerando ainda um excedente financeiro. É,
portanto, gerador de mais recursos do que a melhor alternativa ao investimento, para um nível risco
equivalente, uma vez que a taxa de atualização reflete o custo de oportunidade de capital. Estamos perante
um projeto economicamente viável. Desta maneira, o objetivo da corporação é maximizar a riqueza dos
acionistas, os gerentes devem empreender todos os projetos que tenham um VPL > 0, ou no caso se dois
projetos forem mutualmente exclusivos, deve escolher-se o com o VPL positivo mais elevado.
Se o VAL = 0 – Ponto de indiferença. No entanto, dada a incerteza associada à estimativa dos cash flows que
suportaram a análise, poder-se considerar elevada a probabilidade de o projeto se revelar inviável.
Se o VAL < 0 – Decisão contrária a sua realização. Estamos perante um projeto economicamente inviável.
Na análise de dois ou mais projetos de investimento: Será preferível aquele que apresentar o VAL de valor
mais elevado. No entanto, há que ter em consideração que montantes de investimento diferentes, bem como
distintos horizontes temporais, obrigam a uma análise mais cuidada.
O valor presente líquido para fluxos de caixa uniformes pode ser calculado através da seguinte fórmula, onde
t é a quantidade de tempo (geralmente em anos) que o dinheiro foi investido no projeto (começa no ano 1
que é quando há efetivamente o primeiro refluxo de dinheiro), n a duração total do projeto (no caso acima
6 anos), i o custo do capital e FC o fluxo de caixa naquele período.
Taxa Interna de Retorno (TIR)
A Taxa Interna de Retorno (TIR), em inglês IRR (Internal Rate of Return), é uma taxa de desconto hipotética
que, quando aplicada a um fluxo de caixa, faz com que os valores das despesas, trazidos ao valor presente,
seja igual aos valores dos retornos dos investimentos, também trazidos ao valor presente. O conceito foi
proposto por John Maynard Keynes, de forma a classificar diversos projetos de investimento: os projetos
cujo fluxo de caixa tivesse uma taxa interna de retorno maior do que a taxa mínima de atratividade deveriam
ser escolhidos.
A TIR é a taxa necessária para igualar o valor de um investimento (valor presente) com os seus respectivos
retornos futuros ou saldos de caixa. Sendo usada em análise de investimentos, significa a taxa de retorno de
um projeto.
23
2013
Utilizando uma calculadora financeira, encontramos para o projeto P uma Taxa Interna de Retorno de 15%
ao ano. Esse projeto será atrativo se a empresa tiver uma TMA menor do que 15% ao ano. A solução dessa
equação pode ser obtida pelo processo iterativo, ou seja "tentativa e erro", ou diretamente com o uso de
calculadoras eletrônicas ou planilhas de cálculo.
A taxa interna de rentabilidade (TIR) é a taxa de atualização do projeto que dá o VAL nulo. A TIR é a taxa que
o investidor obtém em média em cada ano sobre os capitais que se mantêm investidos no projeto, enquanto
o investimento inicial é recuperado progressivamente. A TIR é um critério que atende ao valor de dinheiro
no tempo, valorizando os cash-flows atuais mais do que os futuros, constitui com a VAL e o PAYBACK
atualizado os três grandes critérios de avaliação de projetos. A TIR não é adequada à seleção de projetos de
investimento, a não ser quando é determinada a partir do cash-flow relativo.
A Taxa Interna de Retorno de um investimento pode ser:
·Maior do que a Taxa Mínima de Atratividade: significa que o investimento é economicamente atrativo.
·Igual à Taxa Mínima de Atratividade: o investimento está economicamente numa situação de indiferença.
·Menor do que a Taxa Mínima de Atratividade: o investimento não é economicamente atrativo, pois seu
retorno é superado pelo retorno de um investimento com o mínimo de retorno.
Entre vários investimentos, o melhor será aquele que tiver a maior Taxa Interna de Retorno.
Matematicamente, a Taxa Interna de Retorno é a taxa de juros que torna o valor presente das entradas de
caixa igual ao valor presente das saídas de caixa do projeto de investimento.
A TIR é a taxa de desconto que faz com que o Valor Presente Líquido (VPL) do projeto seja zero. Um projeto
é atrativo quando sua TIR for maior do que o custo de capital do projeto.
VPL = 0 = \mbox{Investimento Inicial} + \sum_{t=1}^N \frac{F_t}{(1+TIR)^t}
Além dessas formas de análise econômica, existem outras que podem ser utilizadas no processo de avaliação
dos investimentos de TI, conforme as citadas abaixo:
4.Pay-back
Payback é o tempo decorrido entre o investimento inicial e o momento no qual o lucro líquido acumulado se
iguala ao valor desse investimento. O payback pode ser nominal, se calculado com base no fluxo de caixa
com valores nominais, e presente líquido, se calculado com base no fluxo de caixa com valores trazidos ao
valor presente líquido.
Qualquer projeto de investimento possui de início um período de despesas (em investimento) a que se segue
um período de receitas liquidas (liquidas dos custos do exercício). As receitas recuperam o capital investido.
O período de tempo necessário para as receitas recuperam a despesa em investimento é o período de
recuperação. O período de recuperação pode ser considerado com o cash-flow atualizado ou sem o cashflow atualizado.
Trata-se de uma das técnicas de análise de investimento alternativas ao método do Valor presente líquido
(VPL). Sua principal vantagem em relação ao VPL é o payback leva em conta o prazo de retorno do
investimento e, consequentemente, é mais apropriado em ambientes de risco elevado.
Investimento implica saída imediata de dinheiro; em contrapartida, espera-se receber fluxos de caixa que
compensem essa saída ao longo do tempo. O payback consiste no cálculo desse tempo (em número de
períodos, sejam meses ou anos) necessário à recuperação do investimento realizado.
Algebricamente tem-se:
24
2013
Sendo:
PR= Período de Recuperação
CFt= Cash-Flow total no ano t
Io= Cash-Flow do investimento Inicial
Nota: Admite-se que em cada ano os fluxos se distribuem regularmente ao longo do mesmo.
No caso dos fluxos de caixa anual ser iguais, pode-se determinar o PR pelo quociente entre o I e um CF anual.
Exemplo: João deseja comprar um computador para desenvolver sites, um computador com todos os
recursos e softwares devidamente licenciados sairá no valor de R$3.000,00. João já tem 10 contratos de sites
confirmados todos no valor de R$600,00 cada. Se João leva 1 mês para fazer um site e recebe o pagamento
na entrega do mesmo, ele terá reembolsado o valor investido no computador na entrega do 5º site que seria
ao final do 5º mês.
Payback= R$3.000,00 = 5 meses
O payback simples não leva em consideração a taxa de juros, nem a inflação do período ou o custo de
oportunidade. Além disso, nem sempre os fluxos esperados são constantes. João poderia receber os
R$600,00 do primeiro site em duas vezes. Assim uma análise mais apurada deve levar em conta outros
aspectos.
DESVANTAGENS DO MÉTODO DO PB
O método do PB apresenta o inconveniente de não ter em conta os cash flows gerados depois do ano de
recuperação, tornando-se assim, desaconselhável na avaliação de projetos de longa duração.
O PB valoriza diferentemente os fluxos recebidos em diferentes períodos, mas apenas segundo o critério
dualista: antes ou depois do PB, sendo indiferente o período em que recebe dentro de cada um destes
intervalos.
VANTAGENS DO MÉTODO DO PB
Este método tem como principais vantagens:
O facto de ser bastante simples na sua forma de cálculo e de fácil compreensão;
Fornece uma ideia do grau de liquidez e de risco do projeto;
Em tempo de grande instabilidade e pela razão anterior, a utilização deste método é uma forma de aumentar
a segurança dos negócios da empresa;
Adequado à avaliação de projetos em contexto de risco elevado;
Adequado à avaliação de projetos com vida limitada;
5.ROI (Return on Investment)
Em finanças, retorno sobre investimento (em inglês, return on investment ou ROI), também chamado taxa
de retorno (em inglês, rate of return ou ROR), taxa de lucro ou simplesmente retorno, é a relação entre o
dinheiro ganho ou perdido através de um investimento, e o montante de dinheiro investido.
Existem três formulações possíveis de taxa de retorno, são elas:

·retorno efetivo;
25


2013
·retorno exigido e;
·retorno previsto.
O retorno efetivo serve como medida de avaliação do desempenho de um investimento, aferido a posteriori.
O retorno previsto serve como medida ex ante do desempenho de um investimento; é a sua taxa implícita
ou interna de retorno, aquela que iguala o valor do investimento do seu preço ou custo.
A taxa de retorno exigida é a que permite determinar o valor de um investimento. De facto, o valor de um
investimento é o equivalente atual dos seus cash-flows futuros, sendo estes convertidos em equivalente
atual (ou atualizados) justamente à taxa de retorno exigida. Assenta na ideia de que qualquer investimento
deve proporcionar uma taxa de retorno igual a uma taxa sem risco acrescida de um prémio de risco função
do grau de incerteza que afeta os cash-flows futuros do investimento.
A taxa de retorno prevista é função do preço (ou custo) do investimento e do fluxo de cash-flows futuros
atribuíveis ao investimento. Sendo incertos estes cash-flows, resulta que a taxa de retorno prevista é também
incerta, apresentando-se mesmo como uma variável aleatória. Aqui reside o seu risco, que terá que ser
medido, para ser tido em conta na estimação dos prémios de risco a incluir nas taxas de retorno exigidas.
O montante de dinheiro ganho ou perdido pode ser referido como juros, lucros ou prejuízos, ganhos ou
perdas ou ainda rendimento líquido ou perdas líquidas. O dinheiro investido pode ser referido como ativo,
capital, principal ou custo básico do investimento. O ROI é geralmente expresso como percentagem
A concretização das estratégias organizacionais de uma empresa está dependente da gestão adequada de
projetos, programas e portfólios. Nesse sentido, a responsabilidade financeira aumenta permanentemente
e a sua mensuração é obrigatória. Embora hoje, o uso desta ferramenta de análise seja generalizado a todo
o tipo de investimentos, o cálculo do ROI não é contudo uma “moda” recente. Já em 1920 a Harvard Business
Review referia o ROI como a medida de análise essencial para conhecer o valor do resultado de investimento
de capital.
O seu conhecimento antecipado tem um impacto importante não só no seio da organização que gere o
processo de investimento, como também junto de potenciais investidores. Para além da “venda” interna e
externa do projeto, é fundamental para o seu acompanhamento dando de uma forma clara o impacto no
negócio face às metas pré-definidas.
Metodologias de cálculo
O cálculo do ROI possui diversas metodologias, algumas simples, outras nem tanto. Cada metodologia varia
em função da finalidade ou do enfoque que se deseja dar ao resultado. A seguir estão algumas das mais
conhecidas e facilmente encontradas em livros de Contabilidade, Economia e Finanças.
ROI=(Lucro Líquido÷Vendas)×(Vendas÷Total de ativos)
representa a relação entre a lucratividade e o giro dos estoques.
ROI=Lucro líquido÷Total de ativos
Representa o retorno que o ativo total empregado oferece. Utilizado geralmente para determinar o retorno
que uma empresa dá.
ROI=Lucro líquido÷Investimentos
Representa o retorno que determinado investimento oferece. Geralmente é utilizado para determinar o
retorno de investimentos isolados. Invertendo-se a relação (ROI=Investimento÷Lucro Líquido), obtém-se o
tempo necessário para se reaver o capital investido.
26
2013
Há também a Rentabilidade do Ativo Total Médio ou Taxa de Retorno sobre o Ativo Total Médio ou Taxa de
Retorno sobre o Investimento Total
Taxa=[(Lucro Líquido do Exercício)/(Vendas Líquidas)]*[(Vendas Líquidas)/ATM]*100=[(Lucro Líquido do
Exercício)/ATM]*100
ATM=Ativo Total Médio=(Ativo Inicial+Ativo Final)/2
Um método popular usado na literatura que envolve a classificação de diferentes benefícios intangíveis se
utiliza da escala Likert. O problema associado ao método é que a classificação é puramente subjetiva.
A Tecnologia da Informação é presente na rotina das empresas em seu dia a dia. As empresas investem em
TI, principalmente pelas razões de aumento da eficiência operacional, melhor gerenciamento da informação
e redução de custos, ganho de vantagem competitiva e ir ao encontro das expectativas do cliente.
Tradicionalmente se utilizam metodologias como VPL, TIR, ROI, pay-back, considerando essencialmente os
custos/benefícios tangíveis e quantitativos.
Mas as empresas ainda têm um complicador que se esconde atrás dos benefícios intangíveis, que são difíceis
de quantificar, e também dos custos ocultos de TI, que na maioria das vezes vem embutido em atividades
inerentes ao processo de implementação e que acabam sendo ignorados. O grande desafio delas reside no
fato de conseguirem avaliar seus investimentos em TI, conjugando tanto os custos/benefícios tangíveis,
através dos métodos de análises econômicas tradicionais e também considerando os custos/benefícios
intangíveis, que podem se revelar como sendo fatores chave no processo da tomada de decisão. Por sua
dinâmica, que envolve constantes progressos tecnológicos, redução dos custos de equipamentos, e
necessidade de pessoal especializado, a área de TI deve desempenhar um papel estratégico dentro da
organização, sendo necessária especial atenção sobre seus investimentos, tornando-os ganhos e vantagens
competitivas e não sendo tratados como apenas mais um investimento da organização.
QUESTÕES OBRIGATÓRIAS ED (1 à 5)
1. Tecnologia da Informação(TI), refere- se a:
A) Um conjunto de tecnologias informatizadas;
B) Ás tecnologias de computadores e telecomunicações utilizadas nas organizações, incluindo aquelas
relacionadas ao processamento e transmissão de dados, de voz, de gráficos e de vídeos;
C) Um conjunto de elementos binários, que é a base da informação.
D) Uma tecnologia em constante avanço;
E) Uma tecnologia específica da Informação;
2. Qual equipamento que armazena e processa a informação?
A) Software;
B) Hardware;
C) Worms;
D) Computador;
27
2013
E) Firewall.
3. É intensivo em conhecimento, usando grande quantidade de dados de entrada e produzindo
pequenas quantidades de dados de saída, estamos falando do sistema:
A) Empresarial,
B) Executivo,
C) Especialista,
D) Estratégico,
E) Emergencial
4. Uma estrutura de relações e processos que dirige e controla uma organização, a fim de atingir
objetivos é chamada de:
A) Phishing;
B) Firewall,
C) IT Governance,
D) Cobit;
E) Spyware
5. Falando sobre os ataques de phishing, qual é o banco que solicita aos clientes de Internet que
registrem seus computadores e vinculem uma imagem digital, como uma foto de seu gato, à sua
conta.
A) Citibank,
B) Union Bank of Switzerland,
C) Credit Suisse
D) U.S
E) Bank of America
QUESTÕES OPCIONAIS
6. É um código de computador que se anexa a um programa ou arquivo para poder se espalhar entre
os computadores, infectando-os à medida que se desloca. Podem danificar seu software, hardware
e arquivos. Estamos falando do:
A) Sistema de Informação;
B) Dado;
C) Virus;
28
2013
D) Worm;
E) Caracteres.
7. Worm é definido como:
A) Um conjunto de elementos binários, que é a base da informação;
B) Uma subclasse de vírus que cria cópias de si mesmo de um computador para outro automaticamente.
C) Uma infraestrutura criada para otimizar o uso do “mainframe”;
D) Um serviço de proteção aos usuários de cartões de credito para transações on-line;
E) É um programa que se instala em um software causando perda na capacidade de processamento.
8. Quais são as técnicas contábeis que têm sido avaliados com bases puramente financeiras:
A) Path, ROI, VPL
B) VPL, ROI
C) Pay-Back, ROI, VPL, TIR
D) TIR, ROI, Path
E) Pay-Back. Path, VPL
9. Melhores Ferramentas para a análise de investimentos, não porque trabalha com o fluxo de caixa
descontado e pela sua consistência matemática, mas também porque seu resultado é expresso em
espécie ($), demonstrando o valor absoluto do investimento, estamos falando de:
A) Valor Anual Uniforme (VAUE);
B) Taxa Interna de Retorno (TIR);
C) Valor Anual Uniforme (VAUE) e Taxa Interna de Retorno (TIR);
D) Valor Presente Líquido (VPL);
E) Valor Anual Uniforme (VAUE), Taxa Interna de Retorno (TIR) e Valor Presente Líquido (VPL).
10. Alguns dos controles considerados como essenciais para uma organização, do ponto de vista legal,
são:
A) Direitos de propriedade intelectual; valorização da informação; relatórios dos incidentes de segurança;
B) Valorização da informação; Avaliação dos sistemas de informação, gerenciamento da continuidade do
negócio
C) Avaliação dos sistemas de informação, direitos de propriedade intelectual; gerenciamento da
continuidade do negócio;
29
2013
D) Direitos de propriedade intelectual; relatórios dos incidentes de segurança; gerenciamento da
continuidade do negócio;
E) Proteção de dados e privacidade de informações pessoais; Avaliação dos sistemas de informação, direitos
de propriedade intelectual;
30

ED Tecnologia da Informação Aplicada à Finanças

Transcrição

Documentos relacionados

Propaganda Digital - academiadetalentos.com.br

AS AMEAÇAS VIRTUAIS: Uma abordagem relevante

BG SENTINEL

Introdução aos Sistemas de Informações

mononucleose infecciosa

Tabela dos Tipos de Vírus Mais Freqüentes

ANEMIA INFECCIOSA EQUINA (AIE)

Partie 1 Partie 2

Princípios da Informática VÍRUS DE COMPUTADOR

Exercícios: Características gerais dos seres vivos e origem da vida