universidade salvador – unifacs programa de pós

Transcrição

UNIVERSIDADE SALVADOR – UNIFACS
PROGRAMA DE PÓS-GRADUAÇÃO
MESTRADO ACADÊMICO EM SISTEMAS E COMPUTAÇÃO
JOSÉ ROGÉRIO POGGIO MOREIRA
MODELO DE GOVERNANÇA E GESTÃO DE TECNOLOGIA DA INFORMAÇÃO
PARA EMISSÃO DE RELATÓRIOS FINANCEIROS
SALVADOR
2012
Modelo de Governança e Gestão de Tecnologia da Informação para Emissão de Relatórios Financeiros
Dissertação apresentada ao curso de Mestrado em
Sistemas e Computação da Universidade Salvador
(UNIFACS), como requisito parcial para a obtenção do
título de Mestre em Sistemas e Computação.
Orientador: Prof. Dr. Paulo Caetano da Silva
José Rogério Poggio Moreira
Moreira, José Rogério Poggio.
Modelo de Governança e Gestão de Tecnologia da Informação para
Emissão de Relatórios Financeiros.
Dissertação
(Mestrado)
-
Universidade
Salvador
(UNIFACS).
Departamento de Sistemas e Computação.
1. 1. BPM; 2. COBIT; 3. Governança de TI; 4. Gestão de TI; 5. ITIL; 6.
Relatórios Financeiros ; 7. SOA; 8. XBRL. I. Silva, Paulo Caetano
(Orientador). II. Título.
Dissertação de Mestrado apresentada por José Rogério Poggio Moreira ao Departamento de
Informática do Curso de Mestrado em Sistemas e Computação da Universidade Salvador
(UNIFACS), sob o título “Modelo de Governança e Gestão de Tecnologia da Informação para
Emissão de Relatórios Financeiros” elaborada sob a orientação de Paulo Caetano da Silva e
aprovada pela Banca formada pelos professores:
________________________________________________
Prof. Dr. Paulo Caetano da Silva
Universidade Salvador - UNIFACS
________________________________________________
Prof. Dra. Judith Pavón Mendoza
Universidade Salvador - UNIFACS
________________________________________________
Prof. Dr. Edson Luiz Riccio
Faculdade de Economia, Administração e Contabilidade/USP
SALVADOR
15/08/2012
Dedico este trabalho a memória do meu
eterno Pai Prof. Dr. José Viana Moreira,
que partiu em 2010, deixando comigo a sua
referência de ser humano e caráter e que
me conduziu, através da sua confiança e
amor, a este feito.
AGRADECIMENTOS
Gostaria de agradecer, em primeiro lugar, a Deus por ter iluminado o meu caminho e
ter me dado forças para continuar seguindo, mesmo quando as coisas me pareceram perdidas.
Agradeço ao meu incondicional amigo, mestre, doutor e pai, pela motivação que por diversas
vezes me fez continuar o desenvolvimento da pesquisa. Agradeço também ao meu filho e a
minha esposa amada, que por várias vezes abriram mão do lazer para que eu pudesse concluir
a construção deste Modelo de Governança e Gestão de Tecnologia da Informação para
Emissão de Relatórios Financeiros. Agradeço igualmente à minha querida mãe que mesmo
nos momentos de dificuldades me deu forças para continuar com este trabalho. Gostaria,
também, de aproveitar a oportunidade para fazer um agradecimento especial ao Professor Dr.
Paulo Caetano da Silva que mais que um orientador, se mostrou ser um amigo que acreditou
desde o inicio no potencial deste trabalho e me conduziu, muito bem, ao término desta
dissertação.
RESUMO
O alinhamento e a adaptação do ambiente corporativo e de tecnologia da informação
às necessidades estratégicas do negócio afetam diversas organizações, requerendo esforços
elevados. Isso é ocasionado, em razão da baixa flexibilidade desse ambiente e dos sistemas de
informações às mudanças que ocorrem nos requisitos e processos de negócios. Outro
problema que interfere na gestão organizacional é a diversidade de formatos de dados que
estão relacionados com as informações financeiras, uma vez que estas são armazenadas em
sistemas computacionais heterogêneos, resultando em dificuldades para a sua extração e
processamento, o que implica na necessidade de transformação desses formatos para
promover a consolidação das informações em relatórios financeiros.
Um ambiente estruturado de governança e gestão organizacional pode influenciar na
melhoria da flexibilidade e adaptabilidade dos processos de negócios e de tecnologia da
informação, incluindo os sistemas de informações. Baseado nesse contexto e com intuito de
resolver esses problemas, é proposto nesta dissertação um modelo de governança e gestão de
tecnologia da informação, formado pela união das boas práticas de governança e gestão do
COBIT, ITIL e BPM, juntamente com a arquitetura orientada a serviços (SOA) e a linguagem
XBRL, para representação de informações financeiras. Este modelo está divido em 03
camadas: (i) a camada de gestão de processos de negócio; (ii) a camada de implantação da
governança de TI e; (iii) a camada de implantação SOA e integração com a XBRL.
Espera-se obter, como contribuições deste trabalho, uma maior facilidade de adaptação
do ambiente organizacional e dos sistemas de informações às mudanças que ocorrem nos
negócios, além de uma melhora na qualidade e confiabilidade da emissão dos relatórios
financeiros.
Para validar este trabalho, foi desenvolvido um exemplo de uso do modelo de
governança e gestão de tecnologia da informação para emissão de relatórios financeiros, que
procurou expressar a aplicabilidade e utilização do modelo proposto nesta dissertação.
Palavras-chave: BPM, COBIT, Governança de TI, ITIL, SOA, SOX, XBRL.
ABSTRACT
The alignment and adaptation of the corporate and information technology
environment to strategic needs of the business affect many organizations, requiring high
loads. This is caused, due to the low flexibility of this environment and information systems
to changes in requirements and business processes. Another problem which interferes with
organizational management is the diversity of data formats that are related to financial
information, since these are stored in heterogeneous computing systems, resulting in
difficulties for its extraction and processing, which implies the need for transformation of
these formats to promote the consolidation of information in financial reports.
A structured environment of governance and management organizational can influence
the improvement of flexibility and adaptability of business processes and information
technology, including information systems. Based on this background and with a view to
solving these problems is proposed in this thesis a model of governance and management of
information technology, formed by the union of good governance and management of
COBIT, ITIL and BPM along with the service-oriented architecture (SOA) and XBRL
language for representation of financial information. This model is divided into 03 layers: (i)
the layer of business process management, (ii) the layer of deployment of IT governance and
(iii) the layer of SOA deployment and integration with XBRL.
Expected obtain, as contribution of this work, ease of adaptation of the organizational
environment and information systems to changes in business, and an improvement in quality
and reliability of financial reporting issue.
To validate this work, we developed an example of using the model of governance and
management of information technology to financial reporting, which sought to express the
applicability and use of the model proposed in this dissertation.
Keywords: BPM, COBIT, IT Governance, ITIL, SOA, SOX, XBRL.
LISTA DE ILUSTRAÇÕES
Figura 1.1 - Organização da Dissertação .................................................................................. 24
Figura 4.1 - Arquitetura do Modelo de Governança e Gestão de TI ........................................ 56
Figura 4.2 - Camada de Gestão de Processos de Negócios ...................................................... 58
Figura 4.3Visão Global de Processos através do Método de (HARRINGTON; ESSELING;
NINWEGEN, 1997) ......................................................................................................... 61
Figura 4.4 - Visão Global dos Processos através do Método da Cadeia de Valor (PORTER,
1986) ................................................................................................................................. 62
Figura 4.5 - Camada de Implantação da Governança de TI ..................................................... 72
Figura 4.6 - Camada de Implantação SOA e Integração com a XBRL .................................... 89
Figura 4.7 - Decomposição de processos de negócios em serviços de TI ................................ 95
Figura 4.8 - Arquitetura de Integração SOA e XBRL .............................................................. 96
Figura 5.1 - Visão Global de Processos da Área Financeira ............................................. 102
Figura 5.2 - Modelo do Estado Atual do Processo de Contas a Receber ............................... 103
Figura 5.3 - Modelo do Estado Desejado do Processo de Contas a Receber ......................... 104
Figura 5.4 - Modelo de Processo de Gerenciamento de Mudanças........................................ 113
Figura 5.5 - Decomposição do processo Financeiro em serviços SOA (Web Services) ........ 123
Figura 5.6 - Cenário de emissão de relatórios financeiros com Web Services e XBRL ......... 125
Figura 6.1 - Relação entre os processos de TI, as aplicações SOA e os processos de Negócio
........................................................................................................................................ 129
LISTA DE QUADROS
Quadro 2.1 - Definição detalhada do Modelo de Maturidade do COBIT ................................ 28
Quadro 3.1 - Comparativo dos Trabalhos Correlatos ............................................................... 53
Quadro 4.1 - Entradas e Saídas da Atividade Desenvolver Visão Global dos Processos ........ 63
Quadro 4.2 - Entradas e Saídas da Atividade Selecionar Processos ........................................ 63
Quadro 4.3 - Relação de Informações que devem ser coletadas .............................................. 65
Quadro 4.4 - Entradas e Saídas da Atividade Modelagem do Estado Atual ............................ 66
Quadro 4.5 - Comparação do desempenho das técnicas de melhoria de processo ................... 68
Quadro 4.6 - Entradas e Saídas da Atividade Modelagem do Estado Desejado ...................... 68
Quadro 4.7 - Entradas e Saídas Relacionadas com as Atividades da Fase de Implantação ..... 69
Quadro 4.8 - Entradas e Saídas Relacionadas com as Atividades da Fase de Implantação ..... 70
Quadro 4.9 - Entradas e Saídas Relacionadas com a Atividade Monitorar e Controlar Processo
.......................................................................................................................................... 70
Quadro 4.10 - Entradas e Saídas Relacionadas com a Atividade Avaliar Resultados ............. 71
Quadro 4.11 - Mapeamento das metas de negócio e TI ........................................................... 74
Quadro 4.12 - Mapeamento das metas e processos de TI ........................................................ 75
Quadro 4.13 - Entradas e Saídas Relacionadas com a Atividade de Definir Metas ................. 76
Quadro 4.14 - Entradas e Saídas Relacionadas com a Atividade de Selecionar Processos ..... 77
Quadro 4.15 - Entradas e Saídas Relacionadas com a Atividade de Identificar e Avaliar Riscos
.......................................................................................................................................... 79
Quadro 4.16 - Entradas e Saídas Relacionadas com a Atividade de Avaliar Situação Atual .. 81
Quadro 4.17 - Entradas e Saídas Relacionadas com a Atividade de Avaliar Situação Ideal ... 82
Quadro 4.18 - Entradas e Saídas Relacionadas com a Atividade de Análise de GAP ............. 84
Quadro 4.19 - Entradas e Saídas Relacionadas com a Atividade Definir Projetos de Melhoria
.......................................................................................................................................... 86
.......................................................................................................................................... 87
Quadro 4.21 - Entradas e Saídas Relacionadas com a Atividade Executar Projetos de Melhoria
.......................................................................................................................................... 88
Quadro 4.22 - Entradas e Saídas Relacionadas com a Atividade Avaliar Resultados ............. 88
Quadro 4.23 - Entradas e Saídas Relacionadas com a Atividade Avaliar Contexto Empresarial
.......................................................................................................................................... 90
Quadro
4.24
-
Entradas
e
Saídas
Relacionadas
com
a
Atividade
Selecionar
Funcionalidade/Componentes .......................................................................................... 90
Quadro 4.25 - Entradas e Saídas Relacionadas com a Atividade Gerenciar Riscos ................ 94
Quadro 4.26 - Entradas e Saídas Relacionadas com a Atividade Desenvolver Solução SOA . 97
Quadro 5.1 - Mapeamento entre os processos de TI do COBIT e os controles genéricos de TI
da PCAOB ...................................................................................................................... 107
Quadro 5.2 - Status de uma solicitação de mudança .............................................................. 115
Quadro 5.3 - Matriz de urgência e impacto de uma mudança. ............................................... 117
Quadro 5.4 - Descrição dos níveis de urgência ...................................................................... 117
Quadro 5.5 - Descrição dos níveis de impacto ....................................................................... 117
Quadro 5.6 – Níveis de Prioridade de uma mudança ............................................................. 118
Quadro 5.7 - Estrutura de Níveis de Autorização ................................................................... 118
LISTA DE ABREVIATURAS E SIGLAS
APQC
American Productivity & Quality Center
BACEN
Banco Central Do Brasil
BI
Business Intelligence
BPM
Business Process Management
BPMM
Business Process Maturity Model
BSC
Balance Scorecard
CCM
Conselho De Controle De Mudanças
CE
Comitê De Mudanças Emergenciais
CEO
Chief Executive Officer
CFO
Chief Financial Officer
CMM
Capability Maturity Model For Software
CMMI
Capability Maturity Model Integration
COBIT
Control Objectives For Information And Related Technology
COSO
Committee Of Sponsoring Organizations
CRM
Customer Relationship Management
ITGI
IT Governance Institute
ITIL
Information Technology Infrastructure Library
ISACA
Information Systems Audit And Control Associations
OGC
Officer Of Government Commerce
PCAOB
Public Company Accounting Oversight Board
PCF
Process Classification Framework
PMI
Project Management Institute
RDM
Requisição De Mudança
RUP
Rational Unified Process
SEC
Securities And Exchange Commission
SEI
Software Engineering Institute
SOA
Service Oriented Architecture
SOX
Sarbanes-Oxley
TI
Tecnologia De Informação
USP
Universidade De São Paulo
XBRL
Extensible Business Reporting Language
SUMÁRIO
1
2
INTRODUÇÃO ........................................................................................................................................17
1.1
CONTEXTUALIZAÇÃO ............................................................................................................................... 17
1.2
MOTIVAÇÃO ............................................................................................................................................ 21
1.3
OBJETIVO ................................................................................................................................................. 22
1.4
ESTRUTURA DA DISSERTAÇÃO................................................................................................................. 23
FUNDAMENTAÇÃO TEÓRICA..................................................................................................................25
2.1
2.1.1
Governança e Gestão de Tecnologia da Informação .................................................................... 25
2.1.2
COBIT (Control Objectives for Information and Related Technology)......................................... 26
2.1.3
ITIL (Information Technology Infrastructure Library) ................................................................. 28
2.1.4
BPM (Business Process Management) .......................................................................................... 30
2.2
TECNOLOGIA SOA E XBRL ........................................................................................................................ 31
2.1.5
SOA (Service Oriented Architecture) ............................................................................................ 32
2.1.6
XBRL (Extensible Business Reporting Language) ......................................................................... 34
2.3
3
BOAS PRÁTICAS DE GOVERNANÇA E GESTÃO.......................................................................................... 25
CONSIDERAÇÕES FINAIS .......................................................................................................................... 36
REVISÃO BIBLIOGRÁFICA .......................................................................................................................38
3.1
BOAS PRÁTICAS DE GOVERNANÇA E GESTÃO DE TECNOLOGIA DA INFORMAÇÃO ................................. 38
3.1.1
Governança e Gestão da Tecnologia da Informação: diferenças na Aplicação em Empresas
Brasileiras .................................................................................................................................................... 38
3.1.2
Implantação da Governança de TI ................................................................................................ 39
3.1.3
Uma avaliação sobre as práticas de Gestão ................................................................................. 40
3.1.4
Método de Avaliação de Processo de Negócio habilitado por Tecnologia da Informação ........... 41
3.1.5
Uma Revisão dos Modelos de Gestão em TI e um Comparativo entre COBIT e ITIL .................. 42
3.1.6
Gerenciamento de Processos de Negócios .................................................................................... 43
3.1.7
Alinhamento dos Requisitos da Lei Sarbanes-Oxley com o RUP para o Processo de
Desenvolvimento de Sistemas ...................................................................................................................... 44
3.1.8
O Impacto da Lei Sarbanes-Oxley Ato 2002 nos Sistemas de Informações das Empresas Públicas
44
3.2
TECNOLOGIA SOA E XBRL ........................................................................................................................ 45
3.2.1
XBRL e o Crescente Uso de Arquivamento Online e Pagamentos Eletrônicos ............................. 45
3.2.2
SOA na Prática – Governança de SOA ......................................................................................... 46
3.2.3
O Papel dos Processos de Negócios na Arquitetura Orientada a Serviços................................... 47
3.2.4
O Impacto da SOA nos Sistemas Empresariais e Estruturas Organizacionais e Etapas de
Implantação ................................................................................................................................................. 48
3.2.5
Modelos de Governança para Arquiteturas Orientadas a Serviços .............................................. 49
3.2.6
Traços inovadores da TI a serviço da Controladoria.................................................................... 51
3.2.7
Uma Solução Integrada de Relatórios Automatizados da Basiléia II ........................................... 51
3.3
4
MODELO DE GOVERNANÇA E GESTÃO DE TI ..........................................................................................55
4.1
ESTRUTURA DO MODELO ........................................................................................................................ 55
4.2
CAMADA DE GESTÃO DE PROCESSOS DE NEGÓCIOS ............................................................................... 58
4.2.1
Fase de Entendimento do Negócio ................................................................................................ 59
4.2.2
Fase de Projeto.............................................................................................................................. 63
4.2.3
Fase de Implantação ..................................................................................................................... 68
4.2.4
Fase de Monitoramento e Controle ............................................................................................... 70
4.3
Fase de Identificação das Necessidades de Negócio e de TI ......................................................... 72
4.3.2
Fase de Avaliação e diagnóstico ................................................................................................... 79
4.3.3
Fase de Planejamento dos Projetos de Melhorias ........................................................................ 84
4.3.4
Fase de Execução dos Projetos de Melhoria ................................................................................. 87
CAMADA DE IMPLANTAÇÃO SOA E INTEGRAÇÃO COM A XBRL ............................................................... 89
4.4.1
Fase de Identificação das Necessidades Organizacionais ............................................................ 90
4.4.2
Fase de Implementação ................................................................................................................. 94
4.4.3
Fase de Implantação ..................................................................................................................... 97
4.5
EXEMPLO DE USO DO MODELO DE GOVERNANÇA E GESTÃO DE TI .....................................................100
5.1
CONTEXTUALIZAÇÃO DO EXEMPLO DE USO.......................................................................................... 100
5.2
APLICAÇÃO DA CAMADA DE GESTÃO DE PROCESSOS DE NEGÓCIOS .................................................... 101
5.2.1
Fase de Entendimento do Negócio .............................................................................................. 101
5.2.2
Fase de Projeto............................................................................................................................ 102
5.2.3
Fases de Implantação e Monitoramento e Controle .................................................................... 104
5.3
APLICAÇÃO DA CAMADA DE IMPLANTAÇÃO DA GOVERNANÇA DE TI ................................................... 104
5.3.1
Fase de Identificação das Necessidades de Negócio e de TI ....................................................... 105
5.3.2
Fase de Avaliação e Diagnóstico ................................................................................................ 108
5.3.3
Fases de Planejamento e Execução dos Projetos de Melhorias .................................................. 119
5.4
APLICAÇÃO DA CAMADA DE IMPLANTAÇÃO SOA E INTEGRAÇÃO COM A XBRL .................................... 120
5.4.1
Fase de Identificação das Necessidades Organizacionais .......................................................... 120
5.4.2
Fase de Implementação ............................................................................................................... 121
5.4.3
Fase de Implantação ................................................................................................................... 126
5.5
6
CAMADA DE IMPLANTAÇÃO DA GOVERNANÇA DE TI ............................................................................. 71
4.3.1
4.4
5
CONSIDERAÇÕES FINAIS ........................................................................................................................ 126
CONCLUSÃO ........................................................................................................................................128
6.1
CONSIDERAÇÕES FINAIS ........................................................................................................................ 128
6.2
PRINCIPAIS CONTRIBUIÇÕES ................................................................................................................. 130
6.3
TRABALHOS FUTUROS ........................................................................................................................... 131
REFERÊNCIAS BIBLIOGRÁFICAS .....................................................................................................................133
17
1
INTRODUÇÃO
Este capítulo tem como propósito contextualizar as questões relacionadas à
governança e gestão da área de tecnologia da informação nas organizações e descrever a
motivação para a realização desta dissertação, juntamente com os objetivos que se pretende
alcançar. Sua organização ocorre da seguinte forma: a Seção 1.1 contextualiza os problemas
que serão discutidos neste trabalho e para os quais será apresentada a proposta de solução; a
Seção 1.2 descreve os aspectos que motivaram a realização desta dissertação; a Seção 1.3
detalha os objetivos e; finalmente, a Seção 1.4 apresenta a estrutura organizacional deste
trabalho.
1.1
CONTEXTUALIZAÇÃO
Nas décadas de 70 e 80, a área de tecnologia da informação (TI) das organizações era
vista apenas como um provedor de tecnologia, uma área de suporte no nível operacional
independente do negócio. Nesta época, as organizações não tinham credibilidade nessa área,
em virtude desta não possuir planejamento estratégico e diretrizes, além do fato de não
existirem práticas e padrões aceitos no mercado para o gerenciamento de projetos (GUERRA,
2007). Na década de 90, a área de tecnologia da informação começou a ser vista como
provedora de serviços, realizando gerenciamento integrado de pessoas, processos,
fornecedores e tecnologias relacionadas com os serviços oferecidos. Esses serviços prestados
estavam orientados às necessidades dos clientes e alinhados com os objetivos definidos pela
estratégia da organização. A área de TI, então, passou a trabalhar para atender as necessidades
corporativas da organização (GUERRA, 2007), ao invés, de ser somente um provedor de
tecnologia, independente do negócio e preocupada apenas com o apoio ao nível operacional
da organização.
Após esse período, conforme Pinheiro (2009), essa área deixou de ser apenas provedor
de serviço e foi incluída como uma área estratégica nas organizações, i.e. uma área que além
de atender aos requisitos do negócio da organização, também passou a fazer parte dos planos
estratégicos da organização. Desta forma, a área de TI começou a ser vista pela alta
administração das organizações como um investimento a ser gerenciado, no qual o gerente
passou a ser um solucionador de problemas de negócios e não apenas um gerente técnico,
tornando a tecnologia da informação um elemento essencial para alcançar os objetivos
estratégicos das organizações.
18
Um dos fatores que fizeram parte da evolução da gestão da TI foram as leis e as
regulamentações que as empresas tiveram que seguir, em razão de alguns acontecimentos
ocorridos entre os anos de 1975 e 2001, como a quebra do Banco Herstaff da Alemanha em
1975; a falência em meios a fraudes e lavagem de dinheiro do Bank of Credit Commerce
International em 1993; a falência após 233 anos de existência do Banco Barings e; a quebra
da sétima maior empresa dos EUA, Enron, que faliu em 2001, demitindo mais de 20.000
funcionários (GUERRA, 2007). Com o objetivo de evitar a repetição dos problemas
relacionados às fraudes contábeis, ocorridas nesse período, foram criadas em diversos países
leis e regulamentações para facilitar aos governos locais um melhor controle e monitoramento
das organizações, permitindo um aumento da credibilidade das empresas e maior segurança
ao mercado financeiro. Dentre elas, está a lei Sarbanes-Oxley (SOX) que foi criada em 2002,
pelo congresso Americano e afetou diretamente a forma como as empresas apresentariam seus
relatórios financeiros, principalmente as de capital aberto que possuíam ações na bolsa de
valores americana (SARBANES-OXLEY, 2002). Com requerimentos de controles contábeis
e financeiros rigorosos e com o aumento da responsabilidade dos gestores, as empresas
deveriam estabelecer políticas, regras e procedimentos auditáveis para gerir e controlar seus
processos, registros documentais e divulgar seus resultados.
Apesar de várias leis e regulamentações contribuírem para a evolução da gestão da TI,
como por exemplo, a resolução 3380 do Banco Central do Brasil (BCB, 2006), o acordo
Basiléia II (BCB, 2004) e a norma ISO 27002 (ABNT, 2007), a lei Sarbanes-Oxley foi uma
das que mais impactou significativamente na área de tecnologia da informação, em virtude
dos relatórios financeiros (exigidos pela lei) serem gerados por meio dos sistemas de
informações das organizações (GUERRA, 2007). Dessa forma, essa área passou a ter um
papel de relevância nas empresas do mercado americano, que precisavam estar em
consonância com essa lei, auxiliando-as na implantação dos controles de TI necessários para
manter a organização em conformidade com a SOX. Dentro desse contexto, as organizações
realizaram mais investimentos em tecnologia da informação e valorizaram o vínculo dessa
área com os objetivos estratégicos organizacionais, tornando o desempenho da mesma um
fator crítico de sucesso, além de um diferencial competitivo para o mercado (PINHEIRO,
2009). Entretanto, em razão da SOX estar relacionada com área financeira, não existe
nenhuma especificação sobre quais controles específicos de TI são necessários para que uma
empresa esteja em conformidade com a lei. Isto gera um problema para a área de tecnologia
da informação, uma vez que a mesma é influenciada pelos impactos gerados pela lei, em
virtude dos relatórios financeiros serem emitidos por meio dos sistemas de informações das
19
organizações. Para auxiliar no atendimento dos requisitos legais, incluindo os da SOX,
segundo Guerra (2007), as empresas começaram a adotar o Control Objectives for
Information and Related Technology (COBIT) (ITGI, 2007a), pelo fato do COBIT definir
quais são os objetivos que os controles de TI, devem atender para satisfazer a SOX (ITGI,
2006).
O COBIT é um conjunto de boas práticas estruturado através de um modelo de
domínios e processos que apresenta uma estrutura lógica e gerenciável (ITGI, 2007a). As boas
práticas do COBIT são fortemente focadas no controle. Essas práticas ajudam na otimização
dos investimentos em tecnologia da informação, asseguram a entrega dos serviços e proveem
métricas que servem de subsídio para tomar decisões. Através do COBIT, as empresas podem
assegurar que a área de TI estará alinhada com as metas de negócio, que envolve leis e
regulamentações, e, com isso, possa obter vantagens competitivas para a organização (ITGI,
2007a).
Outra boa prática de gestão de tecnologia da informação que, combinada com o
COBIT, ajuda as organizações a gerirem com eficiência seus processos de trabalho e, por
consequência, a estarem em conformidade com as leis e regulamentações, é o Information
Technology Infrastructure Library (ITIL) (OGC, 2007a). O ITIL é um conjunto de boas
práticas sobre gerenciamento do ciclo de vida de serviços de TI (OGC, 2007a). Com ele é
possível estruturar e melhorar os processos de tecnologia da informação, diferente do COBIT,
cujas práticas são orientadas para a avaliação, controle e monitoramento, tendo um escopo de
processos mais abrangente que o do ITIL. Através do ITIL, o profissional responsável pelos
processos de TI, que antes estava relacionado com a capacidade individual de entregar o
produto, passa a se relacionar com a capacidade de entender e melhorar a forma como os
resultados de negócio são obtidos. Desta forma, a organização, com a aplicação do COBIT,
determina os critérios e objetivos de controle a serem alcançados pelos processos de TI e, com
a utilização do ITIL, a empresa define e estrutura esses processos com base nos critérios e
objetivos definidos pelo COBIT.
Os processos de negócios, e não somente os processos de TI, das organizações
também precisam estar bem controlados e definidos, para que a empresa possa cumprir os
requisitos de negócio, incluindo os requisitos legais exigidos pelas leis e regulamentações
(BALDAM et al. 2010). Para que isso ocorra, surge à necessidade de utilização de outra boa
prática de gestão de processos, chamada Business Process Management (BPM) (BPMN,
2006). Com o BPM, é possível não só selecionar e alinhar os processos críticos de negócio à
20
estratégia da organização, mas também criar um mecanismo para estruturação, avaliação,
medição e controle dos processos de negócios.
Embora o uso em conjunto do COBIT, ITIL e BPM possa possibilitar a criação de um
ambiente corporativo e de tecnologia da informação que contribui para a gestão
organizacional, os problemas relacionados com a diversidade de formato de dados dos
relatórios financeiros não são resolvidos por estas práticas de governança e gestão. Isso
ocorre, em razão dos dados estarem localizados em diversos sistemas de informações, o que
resulta em dificuldade de extração, necessidade de transformação e processamento dos dados,
para promover a consolidação das informações no relatório financeiro. Isso aumenta
significativamente: (i) o tempo de emissão dos relatórios financeiros, devido aos esforços de
transformação de dados; (ii) o custo proveniente da realização desses esforços e; (iii) o risco
de erros acontecerem, diminuindo, com isso, a confiabilidade dos relatórios e gerando,
consequentemente, impactos negativos para o negócio.
Esses problemas, relacionados com a diversidade de formato de dados das
informações financeiras, podem resultar em relatórios financeiros incompletos ou sem a
precisão necessária para proporcionar a transparência exigida por leis e regulamentações,
além de não permitir a realização de análises financeiras acuradas, ocasionando, desta forma,
insegurança ao mercado e falta de aderência aos requisitos legais.
Na tentativa de solucionar essas questões foi desenvolvida a tecnologia Extensible
Business Reporting Language (XBRL), que é um padrão internacional adotado por empresas
da área pública e privada e que contribui para integrar informações financeiras distribuídas em
diferentes formatos de dados (SILVA, 2003).
A Arquitetura Orientada a Serviços (ERL, 2009) ou SOA (acrônimo em inglês para
Service Oriented Architecture), fornece aos sistemas de informações e processos de negócios
uma melhor de adaptação às mudanças que ocorrem nos requisitos de negócio, incluindo os
legais e regulamentares. Dentro do contexto deste trabalho, o uso de SOA tem como objetivo
criar serviços SOA (serviços implementados em um ambiente que possui a arquitetura
orientada a serviço) que irão automatizar os processos de negócios relacionados com a área
financeira e contábil, da organização, fazendo com que estas aplicações estejam mais flexíveis
às mudanças e alinhadas com os processos de negócios que promovem a emissão de relatórios
financeiros. Isso poderá promover uma melhora na aderência às leis, como a SOX, e outras
regulamentações.
A utilização da XBRL e SOA pode contribuir para melhorar os problemas
relacionados com a diversidade de formato dos dados das informações financeiras e,
21
adicionalmente, a melhorar os problemas relacionados com a capacidade de adaptação dos
sistemas de informações às mudanças que ocorrem nos processos de negócios.
A partir dos problemas discutidos nesta seção, da análise das boas práticas e
tecnologias apresentadas e após a análise dos trabalhos correlatos, não foi identificado na
literatura acadêmica um modelo de governança e gestão de tecnologia da informação que
unisse boas práticas de governança, gestão e tecnologias aceitas e usadas pelo mercado de TI
e que resolvessem os problemas relatados nesta seção. Dessa forma, é identificada a
necessidade de se propor um modelo de governança e gestão de tecnologia da informação
para emissão de relatórios financeiros que integre essas boas práticas e tecnologias (COBIT,
ITIL, BPM, SOA e XBRL) com o objetivo de contribuir para a criação de um ambiente
corporativo e de TI adaptável, além de proporcionar uma maior flexibilidade dos sistemas de
informações e uma maior qualidade e confiabilidade na emissão dos relatórios financeiros. No
restante desta dissertação, o modelo proposto será referenciado como modelo de governança e
gestão de TI.
1.2
MOTIVAÇÃO
A motivação para o desenvolvimento deste trabalho foi a constatação, após a revisão
bibliográfica, da ausência de um modelo de governança e gestão de tecnologia da informação
que possibilite a criação de um ambiente corporativo e de TI gerenciável e adaptável as
mudanças nos requisitos de negócios e que proporcione a resolução dos problemas
relacionados com a baixa de flexibilidade dos sistemas e a diversidade de formato de dados
das informações financeiras. Em virtude disso, foram utilizadas para a definição do modelo
proposto as práticas de gestão do COBIT, ITIL e BPM unidas às tecnologias SOA e XBRL.
A utilização do BPM no modelo proposto foi motivada pela necessidade de estruturar
e gerenciar os processos de negócios, para que uma organização possa atender a diferentes
requisitos. Outro aspecto que motivou a sua utilização, foi que o valor atribuído a uma
empresa é diretamente afetado pela forma como ela tem seus processos de negócios
gerenciados e pelo direcionamento dos seus esforços para adequar-se às leis e
regulamentações (requisitos de negócio) pertinentes à sua área de atuação (BALDAM et al.
2010). Igualmente motivador, é a importância que os processos de negócio, quando
estruturados, definidos e gerenciados têm para o sucesso da implementação da SOA em uma
organização (JR; KINDER; GRAHAN, 2005) (MARZULLO, 2009).
A decisão de adotar o BPM deve-se ao fato de que diversas pesquisas de mercado têm
o apontado como meio para solucionar ou contribuir para a resolução de diversos problemas
organizacionais, em razão da sua capacidade para selecionar e alinhar os processos críticos de
22
negócio à estratégia da organização, além de facilitar a união da gestão de negócios com a
gestão da tecnologia da informação, possibilitando a otimização dos resultados da
organização (BALDAM et al. 2010).
O fator que motivou a inclusão do COBIT e do ITIL no modelo, para implantar a
governança de TI nas organizações, foi a possibilidade de criar um ambiente de TI que esteja
alinhado com os objetivos estratégicos da organização, facilitando uma melhor adequação às
modificações impostas pelos requisitos de negócio (ITGI, 2008). A utilização do COBIT e o
ITIL considerou que as suas boas práticas representam um consenso entre os especialistas de
governança e gestão de TI e de que ambos já estão consolidados no mercado, sendo
referências de governança e gestão de TI (ITGI, 2007a) (ITGI, 2008) (VAN
GREMBERGEM; DE HAES, 2009).
A utilização da XBRL e da SOA no modelo proposto, surge da dificuldade que as
empresas têm para gerar relatórios financeiros precisos e confiáveis (BIANCOLINO;
CRITOFOLI, 2008), uma vez que geralmente as informações se encontram em diferentes
formatos de dados e sistemas de informações da organização, além da falta de flexibilidade
que muitas vezes esses sistemas têm para se adaptarem às modificações e alterações que
ocorrem nos requisitos de negócio aos quais as organizações estão vinculadas.
A XBRL foi adotada em razão de ser um padrão internacional de facto, desenvolvido
exclusivamente para a área contábil e financeira e que foca na emissão de relatórios (CRUZ et
al. 2008). Outro fator que contribuiu para sua adoção foi o fato da sua utilização resultar nos
seguintes benefícios (HRMC, 2009): (i) menor possibilidade de erro; (ii) maior qualidade dos
dados recebidos; (iii) facilidade de manipulação de dados nos sistemas de informações; (iv)
aumento da confiabilidade e segurança dos relatórios financeiros e; (v) melhoria na
comunicação e transferência de dados entre diferentes departamentos e escritórios das
empresas. A SOA foi adotada em razão da sua capacidade de adaptar facilmente os serviços
construídos às mudanças que ocorrem nos processos de negócio da organização, além do
maior alinhamento desses serviços com os processos de negócio, permitindo que o processo
evolua sem gerar impactos negativos nos sistemas.
1.3
OBJETIVO
O objetivo desta dissertação é propor um modelo de governança e gestão de TI para a
emissão de relatórios financeiros. Com a finalidade de atingir este objetivo são almejadas as
seguintes metas:
23
(i)
Desenvolver o modelo de gestão de processos de negócios, através da utilização das
práticas do BPM, para proporcionar um ambiente corporativo e de TI gerenciável e
adaptável às mudanças que ocorrem nos requisitos de negócio.
(ii)
Desenvolver o modelo de governança de TI, através da utilização do COBIT e do
ITIL, para proporcionar um ambiente corporativo e de TI gerenciável e adaptável às
mudanças que ocorrem nos requisitos de negócio;
(iii)
Desenvolver o modelo de implantação e integração da SOA, através de Web
Services, com a XBRL;
(iv)
Realizar um exemplo de uso para validar o modelo proposto. Neste exemplo de uso,
além da demonstração de utilização das camadas de gestão de processos de
negócios e implantação SOA e integração com a XBRL, será estruturado, através do
modelo de governança de TI, um processo de gestão de mudanças através das boas
práticas do COBIT e do ITIL.
1.4
ESTRUTURA DA DISSERTAÇÃO
Este trabalho está organizado em seis capítulos, conforme pode ser visualizado na
Figura 1.1. A seguir, são apresentadas as descrições de cada capítulo presente neste
documento:

Primeiro Capítulo – Introdução: este capítulo contextualiza e descreve os motivos
para a realização desta dissertação, juntamente com o objetivo geral e objetivos
específicos que o trabalho pretende alcançar;

Segundo Capítulo – Fundamentação Teórica: o segundo capítulo discute conceitos
e definições sobre Governança e Gestão de TI, COBIT, ITIL, BPM, SOA e XBRL;

Terceiro Capítulo – Revisão Bibliográfica: o terceiro capítulo da dissertação discute
os trabalhos correlatos, relacionados com o modelo de governança e gestão de TI
proposto;

Quarto Capítulo – Modelo de Governança e Gestão de TI: este capítulo apresenta o
modelo de governança e gestão de TI, através da utilização do COBIT, ITIL, BPM,
SOA e XBRL;

Quinto Capítulo – Exemplo de Uso: no quinto capítulo um exemplo de uso do
modelo proposto é apresentado;
24

Sexto Capítulo – Conclusão: o sexto capítulo discute as considerações finais sobre o
modelo apresentado, uma descrição das principais contribuições realizadas, as
publicações realizadas e as sugestões para pesquisas futuras.
Figura 1.1 - Organização da Dissertação
Fonte: Autor deste trabalho
25
2
FUNDAMENTAÇÃO TEÓRICA
Este capítulo discute práticas de governança e gestão de TI e as tecnologias que serão
utilizadas no modelo proposto neste trabalho. São vistos os principais conceitos sobre
governança e gestão de TI, incluindo as suas diferenças, além dos conceitos relacionados com
o COBIT, ITIL, BPM, SOA e XBRL. O restante deste capítulo esta organizado em 03 Seções.
Inicialmente, na Seção 2.1, são discutidos: (i) os conceitos, desafios e áreas de foco da
governança de TI e as diferenças entre governança e gestão de TI; (ii) os aspectos
relacionados com o modelo de governança e controle de TI do COBIT; (iii) o ITIL juntamente
com as suas áreas de gerenciamento e; (iv) os conceitos e definições sobre o gerenciamento de
processos de negócios, através das boas práticas de BPM. Já a Seção 2.2 discute a arquitetura
orientada a serviço e os aspectos da XBRL. Finalmente na Seção 2.3 são feitas a conclusão e
considerações finais deste capítulo.
2.1
BOAS PRÁTICAS DE GOVERNANÇA E GESTÃO
Esta seção discute as práticas de governança e gestão de TI do COBIT, ITIL e BPM.
Estas práticas estão relacionadas com a criação de um ambiente corporativo e de TI
gerenciável e receptivo às mudanças que ocorrem em requisitos de negócio, incluindo leis e
regulamentações.
2.1.1 Governança e Gestão de Tecnologia da Informação
O ITGI (2007a) define governança de tecnologia da informação como uma
responsabilidade da alta administração, sendo parte integrante da governança corporativa,
consistindo-se de estruturas de lideranças e processos organizacionais que asseguram que a
organização de TI sustenta e estende as estratégias e objetivos de negócio da empresa.
Segundo o ITGI (2007a), a governança de tecnologia da informação se baseia em 05 áreas,
permitindo à administração executiva dirigir e governar a área de TI na empresa. Essas cinco
áreas são: (i) alinhamento estratégico; (ii) entrega de valor; (iii) gerenciamento de riscos; (iv)
gerenciamento de recursos e; (v) medição de desempenho.
Através da implementação, destas cinco áreas, a governança oferece alguns benefícios
como: (i) serviços mais confiáveis; (ii) maior transparência em relação às atividades, gastos e
valor agregado pela TI; (iii) receptividade da área de TI para os negócios e confiança da alta
administração, em razão do alinhamento estratégico entre a área tecnologia da informação e
26
de negócio; (iv) maior retorno sobre o investimento, a partir de um adequado planejamento
estratégico e; (v) um melhor gerenciamento de riscos.
De acordo com Guerra (2007), a diferença entre governança e gestão de tecnologia da
informação é um assunto que deve ser esclarecido. A governança não deve ser considerada
como um tipo de gestão de TI, uma vez que ela objetiva tratar os aspectos estratégicos dessa
área (avaliação das necessidades das partes interessadas, alinhamento estratégico,
direcionamento para tomada de decisões e medição do desempenho das operações de negócio
e das conformidades legais e regulamentárias), já a gestão está voltada para os aspectos táticos
e operacionais (gerência de operações, gerência de serviços de TI) e está voltada para
atividades do cotidiano das empresas (ASSIS, 2011).
Para (PINHEIRO, 2009), a execução de um modelo de governança de tecnologia da
informação procura alinhar os objetivos dessa área com os de negócio. Para isto, utilizam-se
metas organizacionais como entrada para gerar as metas e métricas necessárias ao
gerenciamento eficiente da área de tecnologia da informação. Já a gestão objetiva o
gerenciamento das operações e o fornecimento de serviços e produtos.
2.1.2 COBIT (Control Objectives for Information and Related Technology)
O COBIT, em sua versão 4.1, fornece um conjunto de boas práticas para governança e
gestão de TI que são baseadas em padrões da indústria (ITGI, 2007a). Uma vez
implementado, o COBIT pode assegurar que a área de TI estará alinhada com as metas de
negócio da empresa e poderá ser mais bem utilizada para obter vantagens nos negócios da
organização. Recentemente (Abril de 2012) o COBIT teve a sua versão 5.0 publicada. Apesar
disso, esta dissertação está baseada na sua versão 4.1. A decisão de utilizar a publicação
anterior foi tomada, em razão das práticas advindas dessa versão, já estarem consolidadas e
maduras no mercado, em virtude da sua ampla utilização nas empresas, o que resulta não só
em embasamento teórico, mas também prático. Além disso, a versão recente ainda não possui
várias publicações que complementam o seu uso, como é o caso do guia básico Enabling
Information e das guias avançadas do COBIT 5 para: (i) Assurance; (ii) Risk; (iii) Information
Security e; (iv) Assessment Programme. Todas em estágio de desenvolvimento (ITGI, 2012).
O COBIT foi desenvolvido a partir da premissa de que a área de TI precisa fornecer
funcionalidades e informações que a organização necessita para atingir seus objetivos. O
COBIT divide a área de TI em 34 processos, dentro de 04 domínios (Planejamento e
Organização, Aquisição e Implementação, Entrega e Suporte, Monitoramento e Avaliação) e
promove objetivos de controles para cada um destes processos. Com isso esse modelo permite
27
avaliar o grau de confiança, qualidade e segurança necessárias para as necessidades das
corporações, promovendo 07 critérios de informação (Efetividade e Eficácia, Eficiência,
Disponibilidade, Integridade, Confidencialidade, Confiabilidade e Conformidade) que podem
ser usados para genericamente definir o que o negócio requer da área de TI.
Cada processo do COBIT, conforme o ITGI (2007a) tem 06 requisitos de controle
genérico que são comuns para todos os seus processos. Eles podem ser analisados em
conjunto com os objetivos de controle específicos de cada processo de TI. Os requisitos de
controle genérico sugerem que cada processo: (i) tenha um responsável; (ii) seja repetível;
(iii) possua metas e objetivos; (iv) tenha funções e responsabilidades definidas; (v) tenha seu
desempenho medido e; (vi) tenha políticas, planos e procedimentos.
As práticas de controle são recursos que estendem a capacidade do COBIT,
fornecendo ao usuário um nível adicional de detalhes. Os processos de TI do COBIT, os
requisitos de negócio e os objetivos de controle definem o que precisa ser feito para implantar
uma estrutura de controle efetiva. As práticas de controle traduzem os objetivos de controle
do COBIT em práticas detalhadas, implementáveis e fornecem uma argumentação de negócio
para a implementação dos objetivos de controle, a partir de uma perspectiva de valor e risco.
As práticas de controle são mecanismos chaves que suportam a realização dos objetivos de
controle e a prevenção, detecção e correção de eventos não desejados. Estes objetivos de
controle podem ser alcançados, através do uso responsável dos recursos, gerenciamento de
riscos apropriado e alinhamento da TI com o negócio.
As diretrizes de gerenciamento do COBIT possibilitam aos administradores da
organização lidar de forma eficiente com as necessidades e requisitos da governança de TI. Os
principais componentes das diretrizes de gerenciamento segundo o ITGI (2007a) são: (i)
entradas e saídas de processos; (ii) atividades dos processos e gráficos RACI (Responsible,
Accountable, Consulted and Informed); (iii) objetivos de negócio, TI, processos e atividades;
(iv) métricas de TI, processos e atividades e; (v) modelo de maturidade, conforme mostra o
Quadro 2.1.
28
Quadro 2.1 - Definição detalhada do Modelo de Maturidade do COBIT
MODELO DE MATURIDADE GENÉRICO
+ Risco
- Risco
- Qualidade
+ Qualidade
Nível 0 - Inexistente
Falta completa de qualquer processo identificável.
Não existe a consciência da necessidade de controles.
A organização reconhece que existem questões que
precisão ser tratadas. Não existem, no entanto
processos padronizados. Usa-se uma abordagem
Nível 1 - Inicial
reativa quando os problemas aparecem. Os processos
não são padronizados, sendo informais e
irregulares.
Os processos já seguem procedimentos similares e
são seguidos por diferentes pessoas que executam a
mesma tarefa. Não existe treinamento formal ou
Nível 2 - Repetível comunicação dos procedimentos padrões e a
responsabilidade é individual. Existe um alto grau de
confiança no conhecimento dos indivíduos, desta
forma os erros são prováveis.
Os procedimentos são padronizados,
documentados, e comunicados através de
treinamento. Ainda é possível acontecer desvios, mas
Nível 3 - Definido
não mais com frequência. Os procedimentos não são
sofisticados, mas existe formalização das práticas
existentes.
É possível monitorar e medir a conformidade com os
procedimentos e tomar ação onde os processos
aparentam não estar funcionando corretamente. Os
Nível 4 - Gerenciado processos estão sobre aperfeiçoamento constante e
fornecem boas práticas. Ferramentas de automação
são usadas de forma limitada e fragmentada. Já se
pode tirar lições aprendidas do processo.
Os processos foram refinados no nível das
melhores práticas, baseados em resultados de
aperfeiçoamento contínuo e modelagem de
maturidade com outras empresas. A TI é usada de
Nível 5 - Otimizado
forma integrada para automatizar fluxos de trabalho,
fornecendo ferramentas para aperfeiçoar a qualidade e
eficiência, e fazendo com que a empresa se adapte
rapidamente.
Fonte: Adaptado de (ITGI, 2007a)
2.1.3 ITIL (Information Technology Infrastructure Library)
Criar um ambiente corporativo e de TI gerenciável, requer mais do que bons controles
financeiros, registros documentais e medições (GUERRA, 2007). Requer também uma boa
avaliação da infraestrutura de TI, suas operações e pessoal. Consequentemente, a utilização de
um conjunto de boas práticas, como as do ITIL, é preciso para fornecer a estruturação aos
processos (PINHEIRO, 2009).
De acordo com a OGC (2005) o ITIL (Information Technology Infrastructure
Library) é um conjunto de melhores práticas (e não uma metodologia) para o gerenciamento
de serviços de TI. Atualmente, em sua terceira versão o ITIL abrange todo o ciclo de vida de
29
serviços de TI e está focado no negócio e integrado com outras boas práticas como, por
exemplo, o COBIT.
Os benefícios esperados pela adoção das boas práticas ITIL são (OGC, 2007a): (i) um
melhor alinhamento dos serviços de TI com as estratégias de negócio; (ii) uma melhor
comunicação entre a área de TI e o negócio; (iii) uma maior transparência dos custos de TI;
(iv) um aumento da qualidade do serviço; (v) uma redução dos riscos operacionais; (vi) uma
maior satisfação do cliente e; (vii) um maior retorno sobre o investimento realizado;
Um serviço de TI possui as seguintes características: (i) a intangibilidade, pois os
serviços não podem ser vistos, sentidos ou ouvidos; (ii) a perecebilidade, pois serviços não
podem ser estocados para vendas e usos futuros e; (iii) a indivisibilidade, que significa que o
serviço e seu prestador não podem ser separados e que o serviço é produzido e consumido ao
mesmo tempo (OGC, 2007a). Todo serviço também possui uma utilidade e uma garantia que
podem ser entendidas respectivamente como, a funcionalidade oferecida pelo serviço para
atender uma necessidade particular do cliente e a promessa de que o serviço irá atender os
requisitos acordados. Além disso, um serviço possui 02 ativos que compõe a sua entrega, são
eles: (i) as capacidades, que são as habilidades que uma organização, pessoa, processo,
aplicação, item de configuração ou serviço de TI têm e; (ii) os recursos, que consiste em toda
infraestrutura de TI, pessoas, capital ou qualquer outra coisa que ajude na entrega do serviço
de TI.
De acordo com a OGC (2007a), para entregar valor ao cliente um serviço deve: (i)
aumentar o desempenho do cliente; (ii) diminuir a variação do desempenho do cliente; (iii)
reduzir os riscos e custos dos ativos dos clientes e; (iv) reduzir as limitações do negócio do
cliente. O ITIL, conforme a OGC (2007a), define que o gerenciamento de serviços de TI
como um conjunto de habilidades organizacionais especializadas para prover valor aos
clientes em forma de serviços e um processo seria definido como uma série conectada de
ações executadas por pessoas com objetivo de atingir um resultado.
O ITIL em sua terceira versão possui no núcleo de sua estrutura cinco grandes áreas de
gerenciamento: (i) estratégia do serviço; (ii) desenho (projeto) de serviços; (iii) transição de
serviços; (iv) operação de serviços e; (v) melhoria continua de serviços. É importante
ressaltar, que diferente do COBIT, que determina os critérios e objetivos de controle a serem
alcançados pelos processos de TI, o ITIL define e estrutura na prática esses processos de TI
com base nos critérios e objetivos definidos pelo COBIT.
30
2.1.4 BPM (Business Process Management)
Para que as empresas tenham um ambiente corporativo e de TI mais eficientes, tornase relevante uma boa estrutura de gerenciamento dos processos de negócio. Segundo Paim,
Caulliraux, Cardoso e Clemente (2009), o BPM promove a união da gestão de negócios com a
tecnologia da informação, focando na otimização dos resultados das organizações através da
melhoria dos processos de negócios. Já para Zairi (1997), o BPM está concentrado nos
principais aspectos das operações empresariais que influenciarão em grande proporção o valor
adicionado. W.M.P. (2003), define BPM como processos empresariais que usam métodos,
técnicas e software para projetar, ordenar, controlar e analisar processos estritamente
operacionais que envolvem pessoas, organizações, aplicações, documentos e outras fontes de
informação. Com o BPM é possível não só selecionar e alinhar os processos críticos de
negócio à estratégia da organização, mas também criar um mecanismo para estruturação,
avaliação, medição e controle dos processos de negócios.
De acordo com o BPMN (2006), o BPM envolve a descoberta, projeto, entrega e
controle de processos de negócios. Conforme o BPMN (2006) existem algumas definições
relevantes e que estão relacionadas ao BPM, são elas:
(i)
Atividade: é o trabalho que uma organização executa através de um processo. Pode
ser atômica ou não atômica em razão da sua abrangência. São atividades: processos,
subprocessos e tarefas;
(ii)
Tarefa: é uma atividade atômica que é incluída em um processo e usada quando a
atividade no processo não será mais refinada em subprocessos. Geralmente, é
executada por um único usuário final;
(iii)
Subprocesso: é um processo que está incluso dentro de outro processo;
(iv)
Processo: é um encadeamento de atividades executadas dentro de uma organização
que transformam entradas em saídas.
Segundo Baldam et al. (2010), diversas pesquisas de mercado têm apontado o BPM
como forma de resolver ou contribuir para a resolução de diversos problemas organizacionais,
aumentando, com isso, o interesse das empresas em adotá-lo. Isto, em razão da sua
capacidade para selecionar e alinhar os processos críticos de negócio à estratégia da
organização, estruturar, avaliar, medir e controlar os processos de negócios, além de unir a
gestão de negócios com tecnologia da informação, possibilitando a otimização dos resultados
da organização. Dentre os motivos que fizeram com que as empresas aumentassem o interesse
31
pelo BPM pode-se destacar o aumento das exigências por mais transparência nas transações
realizadas pelas organizações, principalmente as que têm capital aberto e que devem estar
submetidas a exigências legais e regulamentárias como, por exemplo, as exigências da SOX.
Diversos autores (DANVERPORT, 2005; SIQUEIRA, 2006; LEAL, 2006) que
reconhecem que as áreas de tecnologia da informação e de negócio são unidas pelos
processos, discutem sobre a enorme rigidez que os sistemas de informações possuem em
relação aos processos de negócio. Esta questão possui relevância quando ocorrem
necessidades de melhoria e adaptação dos sistemas de informações aos processos de negócios.
Isso fica evidenciado quando os sistemas de informações que gerenciam os processos de
negócios se encontram totalmente inflexíveis ou o retorno sobre o investimento para realizar
as melhorias ou adaptações, devido a estas inflexibilidades, excedem os possíveis benefícios.
Isto ressalta a importância da integração dos sistemas de informações com os processos de
negócios e de como estes sistemas devem estar flexíveis para suportar as mudanças nos
processos, além de promover a agilidade, controle e monitoramento do negócio.
Como em todo projeto realizado dentro de uma organização existem fatores críticos e
decisivos para a implantação do BPM, dentre eles pode-se destacar: (i) as estratégias para
tratar o gerenciamento de mudanças; (ii) o alinhamento das estratégias da organização com as
iniciativas do BPM; (iii) o apoio da alta administração da empresa; (iv) a capacitação de todos
os envolvidos e; (v) a percepção de que todos os processos são dinâmicos e devem se adaptar
continuamente as mudanças ocorridas no mercado (BALDAM et al. 2010) .
Atualmente, o valor atribuído a uma empresa é diretamente afetado pela forma como
ela é gerenciada. Outro aspecto que também influencia o valor de uma organização é o
direcionamento dos seus esforços para adequar-se às leis e regulamentações pertinentes à sua
área de atuação. É relevante observar que um gerenciamento ruim ou inadequado leva a
perdas de mercado, sanções financeiras e até criminais. Entretanto, para gerenciar de forma
satisfatória e eficiente, as empresas devem adotar as boas práticas de gestão, baseadas nas
experiências, políticas e processos relacionados com a sua área de atuação. Neste contexto, o
BPM como uma boa prática de gestão de processos de negócio possibilita que as organizações
atendam aos diferentes requisitos de negócios, incluindo os legais e regulamentários, uma vez
que os processos de negócios devem ser modelados e adequados às necessidades do negócio
da organização.
2.2
TECNOLOGIA SOA E XBRL
Esta seção discute as tecnologias SOA e XBRL. Estas tecnologias são responsáveis pela
proposição, no modelo de governança e gestão desta dissertação, da flexibilização dos
32
sistemas de informações para atender a possíveis mudanças que ocorrem nos processos de
negócio e para a melhoria da qualidade e confiabilidade da emissão dos relatórios financeiros.
2.1.5 SOA (Service Oriented Architecture)
A Arquitetura Orientada a Serviços ou SOA é uma arquitetura de software que permite
disponibilizar as funcionalidades implementadas pelas aplicações em forma de serviço, que é
um software baseado na arquitetura de sistemas distribuídos que aceita requisições e devolve
respostas. A SOA possibilita a conexão entre os serviços criados, através do barramento de
serviços ou ESB (acrônimo em inglês para Enterprise Service Bus) (MARZULLO, 2009), que
tem como meta disponibilizar os contratos de serviços, os quais servem para especificar a
forma de comunicação entre as aplicações de software.
A SOA possibilita automatizar os processos de negócios, relacionados com a área
financeira e contábil da organização, através da criação de sistemas de informações
(aplicações SOA). Esses sistemas, devido à flexibilidade, interoperabilidade e em razão do
alinhamento com os processos de negócios, necessários às aplicações SOA, permitem
melhorar significativamente a implantação de melhorias nos processos de negócio, em virtude
da facilidade de alteração e modificação desses sistemas.
A SOA não é um projeto para modelar um novo sistema, mas uma mudança da
estrutura de um ambiente de desenvolvimento e de manutenção de software. Não existe uma
ferramenta ou um framework SOA pré-definido, o ambiente SOA deve ser construído de
acordo com as características da organização, através de uma abordagem incremental e
iterativa (MARZULLO, 2009).
Na estrutura SOA é importante que se encontre a abordagem correta de governança,
necessária à sua implantação. Deve existir uma equipe central responsável por determinar os
aspectos gerais de SOA na corporação. Por outro lado, um dos elementos chaves para o seu
sucesso é a descentralização, a delegação de atribuições e responsabilidades. Portanto, é
importante encontrar o equilíbrio entre a centralização e a descentralização.
A arquitetura SOA auxilia na redução da distância conceitual entre as áreas de negócio
e de TI das corporações. O objetivo dessa abordagem (SOA) é estruturar os sistemas
distribuídos baseado na abstração das regras e das funções do negócio. Essa abstração garante
que os sistemas de informações, apesar de possuírem características técnicas, sejam
projetados para que as pessoas das áreas de negócios possam entendê-los, gerando também
33
através da flexibilidade e conectividade, inerentes das aplicações SOA, uma melhor adaptação
dos serviços às mudanças nos requisitos que o negócio exigir.
Conceitos como escalabilidade e flexibilidade ganham força na arquitetura SOA, que
permite seus usos na implementação e no crescimento dos sistemas das organizações. A
forma de garantir a flexibilidade nos sistemas corporativos é suportar a heterogeneidade,
descentralização e até mesmo a tolerância às falhas (JOSUTTIS, 2007). Os aspectos da
escalabilidade e o acoplamento fraco influenciam diretamente na questão da tolerância a
falhas. Quanto menor o acoplamento, menor a dependência entre os sistemas e, assim,
menores consequências terão em outros sistemas as ocorrências de falhas.
É comum encontrar na literatura a ideia imprecisa de que SOA e Web Services são
sinônimos. SOA é um paradigma, uma arquitetura, enquanto os Web Services são
componentes da arquitetura SOA (JOSUTTIS, 2007). Um Web Service representa a
materialização da ideia de um serviço que é disponibilizado na Web. Esses serviços Web
representam a lógica de negócio que permite que clientes enviem requisições e recebam as
respostas vindas do serviço Web (MARZULLO, 2009).
Um Web Service provê uma infraestrutura desacoplada de plataforma, o que facilita o seu
desenvolvimento e integração com diferentes tecnologias. Por possuírem uma estrutura
interna fracamente acoplada, os Web Services permitem que o serviço mude sem afetar a sua
utilização pelo cliente, construindo dessa forma sistemas modularizados e que atingem níveis
mais adequados de integração (MARZULLO, 2009). Os Web Services devem ser vistos,
segundo Marzullo (2009), como uma convergência de algumas tecnologias como HTTP
(Hyper Text Transfer Protocol) (W3C, 2009), XML (eXtensible Markup Language) (W3C,
2008), SOAP (Simple Object Access Protocol) (W3C, 2007a), WSDL (Web Service
Description Language) (W3C, 2007b) e UDDI (Universal Description, Discovery and
Integration) (OASIS, 2004).
Uma tecnologia relevante para integração dos Web Services com a linguagem XBRL,
que será descrita na seção 2.6, é o protocolo SOAP. O SOAP é uma especificação para a
troca de informações estruturadas em ambientes distribuídos, que tem como principal objetivo
garantir a interoperabilidade entre diferentes sistemas através da utilização de XML e do
protocolo HTTP. A linguagem XML é usada para a criação das mensagens que serão trocadas
entre as aplicações distribuídas. O protocolo HTTP atua como meio de transmissão dessas
mensagens, além de prover uma estrutura de chamadas de procedimentos remotos como
padrão de interoperabilidade. As mensagens ou arquivos SOAP, responsáveis por empacotar o
34
conteúdo das solicitações e respostas clientes, possuem em sua composição 04 elementos, o
Envelope, o Header, o Body e o Fault (MARZULLO, 2009):

O elemento Envelope é um componente obrigatório na estrutura das mensagens SOAP.
Ele define a raiz da mensagem SOAP e determina como o documento XML, referente ao
conteúdo da solicitação, é transformado em uma mensagem SOAP e como a mesma, deve
ser traduzida pelos Web Services no serviço (MARZULLO, 2009).

O elemento Header é um componente opcional das mensagens SOAP que, quando
presente, deve aparecer logo após o elemento Envelope. O Header deve conter
informações especificas da mensagem SOAP, geralmente informações sobre o Web
Service que irá receber a mensagem, como por exemplo, informações de segurança.

O elemento Body é um elemento obrigatório que armazena o documento a ser transmitido
(o documento XML, que contem o conteúdo da mensagem SOAP) e, opcionalmente, a
definição de falhas (relacionada com o elemento Fault) que possam ocorrer.

O elemento Fault é o componente da estrutura das mensagens SOAP que é responsável
por capturar os erros ocorridos nos Web Services e, opcionalmente, definir códigos e
mensagens de erros que possam ocorrer na transmissão e recepção dos documentos. Caso
esteja presente na estrutura das mensagens SOAP, o elemento Fault deve estar dentro do
elemento Body e deve ser único (MARZULLO, 2009).
O processo de transformação do documento XML, que contém o conteúdo da
solicitação, em uma mensagem SOAP (MARZULLO, 2009), consiste nos seguintes passos:
(i) primeiro ocorre o empacotamento do documento XML (conteúdo da mensagem SOAP) no
Body; (ii) em seguida ocorre o empacotamento do elemento Body dentro do elemento
Envelope; (iii) opcionalmente é anexado o elemento Header na mensagem; (iv)
opcionalmente, é anexado o elemento de bloco de Falhas (Fault) na mensagem; (v) por fim, a
mensagem SOAP é transmitida.
2.1.6 XBRL (Extensible Business Reporting Language)
Com o objetivo de melhorar a qualidade e confiabilidade da emissão dos relatórios
financeiros, a linguagem XBRL (Extensible Business Reporting Language) fornece a estrutura
necessária para realizar o intercâmbio de dados e informações financeiras de maneira
padronizada entre os diversos sistemas de informações existentes. Através da sua estrutura, a
XBRL contribui para a resolução dos problemas relacionados à diversidade de formato de
35
dados das informações financeiras, em virtude dessas informações estarem localizadas em
diversos sistemas e formatos de dados diferentes, o que resulta em muita manipulação de
dados, para promover a consolidação dessas informações no relatório financeiro (SILVA,
2003).
A XBRL é uma linguagem baseada em XML (Extensible Markup Language) que foi
desenvolvida para representação e intercâmbio de informações financeiras. Seguindo essa
mesma opinião, está Riccio, Silva e Sakata (2005) que complementam afirmando que a
XBRL proporciona a estruturação de dados para relatórios financeiros, realizando o
intercâmbio automatizado desses relatórios entre os sistemas de informações independentes.
Dessa forma, a XBRL torna-se um padrão para representar e intercambiar relatórios de
informação financeira, incluindo demonstrações contábeis, informações para agências
governamentais reguladoras e para investidores.
A XBRL em razão de ser uma linguagem baseada na XML possibilita a criação de um
vocabulário padrão para intercâmbio de relatórios de informações financeiras, fazendo com
que as empresas possam criar diversos tipos de relatórios financeiros para, por exemplo: (i)
demonstrações financeiras; (ii) órgãos fiscalizadores e reguladores; (iii) riscos e; (iv) linhas de
crédito (SILVA, 2003).
É importante ressaltar, que a XBRL permite que as empresas codifiquem suas
demonstrações financeiras de acordo com as exigências e regulamentações impostas por
órgãos reguladores e leis, assegurando, dessa forma que as informações financeiras prestadas
e atestadas pelos CFO (Chief Financial Officer) sejam precisas e confiáveis.
Segundo Silva (2003), o funcionamento da XBRL é constituído por 03 tipos de
documentos XML, que, por sua vez, formam a representação de um relatório financeiro. São
eles: (i) um documento XML Schema (W3C, 2004) contendo a definição dos elementos
usados no documento de instância XBRL; (ii) cinco documentos de Linkbase, baseados em
XLink (W3C, 2001), expressando os relacionamentos entre os elementos definidos no
documento anterior e; (iii) o documento de instância XBRL, o relatório propriamente dito,
que contém os fatos financeiros com os dados a serem relatados. Os linkbases e documento
XML Schema formam a taxonomia do relatório financeiro e o documento de instância XBRL,
informa os dados a partir da taxonomia, é o relatório em si.
O processo de emissão de um relatório financeiro através da XBRL compreende em:
(i) definir ou selecionar a taxonomia, que deve atender as necessidades da empresa e/ou dos
órgãos reguladores, para os quais a empresa irá fornecer as informações financeiras; (ii)
definir as instâncias do documento XBRL, compondo-a com os dados que foram extraídos
36
das suas bases de dados. Neste contexto, dois aspectos merecem destaque. O primeiro se
refere ao aspecto da criação de uma taxonomia, que deve levar em consideração quais fatos
financeiros se deseja expressar e a hierarquia entre estes fatos. O segundo diz respeito à
criação do documento XBRL que pode capturar os fatos financeiros de um banco de dados e
deve ser validado pela taxonomia criada, ou seja, deve estar de acordo com o que foi definido
na taxonomia; (iii) disponibilizar o documento de instância XBRL ou intercambiar entre
sistemas e bases de dados. Podem também ser utilizados recursos como as folhas de estilos
XSLT (W3C, 2011) ou uma extensão da especificação XBRL 2.1 (XBRL, 2003), chamada de
iXBRL (IXBRL, 2010) para apresentar o relatório XBRL em outros formatos (e.g. HTML e
PDF), de forma que sua leitura seja mais aprazível ao usuário do que a instância XBRL.
2.3
CONSIDERAÇÕES FINAIS
Neste capítulo foram descritas as definições e conceitos relacionados com o modelo de
governança e gestão de TI proposto neste trabalho. Foram discutidos conceitos relacionados
com governança e gestão de TI, juntamente com as práticas do COBIT, ITIL e BPM e das
tecnologias SOA e XBRL, para a criação de um ambiente corporativo e de TI gerenciável e
que se adapte facilmente às mudanças que ocorrem nos requisitos de negócios, além de
contribuir para melhorar a flexibilidade dos sistemas de informações e aumentar a
confiabilidade e a qualidade dos relatórios financeiros.
Com o uso do COBIT, espera-se assegurar que a área de TI possa estar alinhada com
as metas de negócio da empresa. O uso do ITIL traduz os objetivos de controle do COBIT em
processos de TI estruturados e alinhados com o negócio. Mas, para deixar o ambiente
organizacional das empresas mais eficiente, torna-se relevante ter uma estrutura de
gerenciamento dos processos de negócio, como a fornecida pelo BPM, que possibilite não só
selecionar e alinhar os processos críticos de negócio à estratégia da organização, mas também
criar um mecanismo para estruturação, avaliação, medição e controle dos processos de
negócios.
A XBRL, utilizada no modelo proposto, fornece a estrutura necessária para realizar o
intercâmbio de dados e informações financeiras de maneira padronizada entre os diversos
sistemas de informações existentes, contribuindo, dessa forma, para facilitar a
interoperabilidade desses dados entre os sistemas de informação e proporcionando uma
melhor gestão desses sistemas e das informações financeiras.
Já a SOA possibilita a criação de serviços (aplicações) que irão automatizar os
processos de negócios, possibilitando que aplicações de software sejam mais flexíveis,
conectáveis e alinhadas com os processos de negócios, melhorando a implantação de
37
melhorias nesses processos e facilitando a alteração e modificação dos sistemas de
informações, o que é importante para fornecer agilidade para as organizações se adaptarem às
mudanças que acontecem nos requisitos de negócio das empresas.
38
3
REVISÃO BIBLIOGRÁFICA
Este capítulo discute os trabalhos relacionados com esta dissertação. Na pesquisa
bibliográfica realizada, para este trabalho, não foi encontrado um modelo de governança e
gestão de TI que reunisse as práticas do COBIT, ITIL e BPM, juntamente com as tecnologias
SOA e XBRL (contempladas no modelo proposto) e que tivesse como objetivo a resolução
dos problemas discutidos no Capítulo 01. No entanto, foram identificadas propostas que
reúnem algumas das boas práticas de governança e gestão e das tecnologias tratadas no
modelo proposto.
Este capítulo está organizado da seguinte maneira: inicialmente, a Seção 3.1 apresenta
uma análise dos trabalhos correlatos, relacionados com as boas práticas de governança e
gestão de TI; a Seção 3.2 discute os trabalhos correlatos que estão relacionados com as
tecnologias SOA e XBRL; finalmente, a Seção 3.3 trás as considerações finais deste capítulo.
3.1
BOAS PRÁTICAS DE GOVERNANÇA E GESTÃO DE TECNOLOGIA DA
INFORMAÇÃO
Esta seção discute os trabalhos relacionados com as práticas de governança e gestão de
TI do COBIT, ITIL e BPM. Esses trabalhos discutem e avaliam a utilização dessas práticas
para obtenção de benefícios nos ambientes organizacionais das empresas.
3.1.1 Governança e Gestão da Tecnologia da Informação: diferenças na Aplicação em
Empresas Brasileiras
O trabalho de (ASSIS, 2011) discute como a governança da tecnologia da informação
tem atraído interesse crescente nas organizações e no meio acadêmico, refletindo a
importância e a evolução da tecnologia da informação na sociedade moderna. Nesse trabalho,
a autora afirma que a governança de TI relaciona-se com a qualidade das decisões e
ambiciona assegurar que as expectativas das empresas para a tecnologia da informação sejam
realizadas, viabilizando a medição do desempenho, a gestão dos recursos e o controle dos
riscos.
(ASSIS, 2011) afirma que freqüentemente (e não adequadamente), a governança da
tecnologia da informação é considerada como um tipo especial de gestão. Esse trabalho
mostra como a governança da tecnologia da informação extrapola o gerenciamento e está
relacionada com os assuntos estratégicos.
A autora conclui que a governança de TI tem como objetivo realizar o alinhamento
estratégico da TI com o negócio, orientando as tomadas de decisão, além de se preocupar com
a estruturação (organização) da área de TI, viabilizando a sua coordenação corporativa,
39
enquanto que a gestão de TI se preocupa com a eficiência operacional, provisionando serviços
e produtos de tecnologia da informação. Assis (2011) ainda afirma, que a gestão se preocupa
com a implementação das decisões tomadas pela área de TI. É considerado, pela autora, que o
COBIT é uma referência na área de governança, sendo o ITIL voltado para a gestão.
No entanto, apesar desse trabalho contribuir para o direcionamento do uso das boas
práticas de governança e gestão de TI, ele não cobriu os aspectos relacionados com o uso e
integração das práticas de governança e gestão do COBIT e do ITIL.
3.1.2 Implantação da Governança de TI
Fernandes e Abreu (2012) discutem o conceito de governança de TI, procurando
mostrar como é relevante para a empresa, dependente de tecnologia da informação para
operar o negócio, obter o alinhamento estratégico entre o negócio e a área de tecnologia da
informação. Além disso, os autores afirmam a importância que a área de TI tem para gerar
valor para o negócio das organizações.
O trabalho de (FERNANDES; ABREU, 2012) resulta na construção de um modelo
genérico de implementação da governança de tecnologia da informação, abrangendo o
alinhamento estratégico da área de TI ao negócio, a elaboração do portfolio de TI, as
operações e serviços de TI, o relacionamento com usuários, clientes e fornecedores e, por fim,
a gestão de desempenho da tecnologia da informação.
Nesse trabalho, os autores discutem os conceitos e definições, objetivos, benefícios e
aplicabilidade (quando aplicar) de diversas práticas de governança e gestão de TI e negócios
como o COBIT, ITIL e BPM, juntamente com a governança SOA. Apesar disso, o modelo
proposto por (FERNANDES; ABREU, 2012) foca na utilização dos conceitos e processos de
tecnologia da informação do COBIT e do ITIL, além dos conceitos de Val IT (ITGI, 2007a),
ISO 27002 e BSC.
Esse trabalho contribuiu para validar a utilização do COBIT e do ITIL na construção
do modelo de governança e gestão de TI proposto nesta dissertação, além de mostrar que a
governança está relacionada com as boas práticas do BPM e com a arquitetura orientada a
serviços. Apesar de utilizar os conceitos e processos do COBIT e do ITIL para subsidiar a
construção do seu modelo, (FERNANDES; ABREU, 2012) não demonstraram como de fato
ocorre a integração entre essas duas práticas, nem como a estruturação dos processos de
tecnologia da informação, através do COBIT e do ITIL, são relevantes para dar o suporte
necessário aos serviços SOA providos pela organização. Ainda foi possível perceber a falta de
detalhamento sobre como as metas de negócio e de tecnologia da informação do COBIT
40
poderiam contribuir para a realização do alinhamento estratégico entre o negócio e a área de
TI das organizações.
Com relação ao uso do BPM e da SOA, os autores não demonstraram como ocorre a
integração da gestão de processos de negócio, através do BPM, com a arquitetura orientada a
serviços, limitando-se a apenas descrever seus conceitos e definições, objetivos, benefícios e
momentos de aplicação. Percebeu-se também a ausência de um exemplo de uso que retratasse
a aplicabilidade do seu modelo reunindo pelo menos as boas práticas do COBIT, ITIL, uma
vez que estas subsidiaram a construção do seu modelo.
3.1.3 Uma avaliação sobre as práticas de Gestão
Bertz (2011), afirma que o gerenciamento de TI é fortemente influenciado pelas
estruturas de processo do COBIT, ITIL e CMMI. Segundo o autor estas estruturas têm uma
influência profunda na indústria mundial de TI, servindo como frameworks de TI (estruturas
de processos de TI), que são frequentemente utilizados como critérios para a concessão de
contratos e avaliação de maturidade, risco e desempenho. No entanto, segundo o autor, estas
estruturas seriam incompatíveis com princípios de processos de negócios.
Bertz (2011) afirma que há uma extensa literatura associada com Business Process
Management (BPM), que inclui como estabelecer e melhorar, formalmente processos de
negócios. O autor ainda ressalta que as literaturas estão muito alinhadas com as preocupações
de desempenho geral da gestão empresarial. Desta forma, o autor procura analisar a definição
de processo, para fins operacionais do COBIT, ITIL e CMMI. De acordo com Bertz (2011),
os conceitos de BPM podem ser aplicados ao ITIL, COBIT e CMMI, pois, segundo o autor,
todos usam o termo processo, e são comumente referidos como frameworks de processos.
Bertz (2011) conclui a sua avaliação, afirmando que o COBIT, ITIL e CMMI fornecem uma
deficiente mensuração dos processos e promove a falta de gerenciamento de demandas, além
de causarem confusão nas nomenclaturas dos termos. O autor, então, sugere que eles
deveriam ser re-projetados para serem mais consistente com a abordagem BPM. Segundo
Bertz (2011), isso os tornaria mais simples e mais poderosos, além de mais fácil de
implementar, o que, por sua vez poderia levar ao melhor o desempenho da TI.
Esse trabalho apresenta uma visão crítica, porém equivocada, do COBIT e do ITIL,
pois apesar do COBIT e do ITIL tratarem de processos, ambos são voltados para área de TI,
possuindo particularidades diferentes dos processos de negócio. O ITIL é um conjunto de
boas práticas voltado para a gestão de TI, mais especificamente gestão de serviços de TI,
sendo indicado para estruturar e melhorar os processos de TI, diferente do COBIT, que é
41
voltado para avaliação, controle e monitoramento (ITGI, 2008) (PINHEIRO, 2009, 2010). O
COBIT é uma referência para governança de TI e possui componentes que fornecem entradas
e saídas para os processos, modelo de maturidade e metas e métricas de TI, processos e
atividades (ITGI, 2007a) (ITGI, 2008). Quando utilizados em conjunto, o COBIT e o ITIL
não permitem que os processos de TI tenham uma medição ruim ou tenha as demandas mal
gerenciadas, além dos seus termos estarem bem alinhados, uma vez que ambos se
complementam (MOREIRA, 2009) (PINHEIRO, 2009). Esse trabalho, também não discutiu
as questões relacionadas com a implantação da governança e gestão de TI através do COBIT e
do ITIL, uma vez que não é comprovado que implantação das práticas reflete em maus
resultados.
3.1.4 Método de Avaliação de Processo de Negócio habilitado por Tecnologia da
Informação
Motivado pela crescente integração entre a tecnologia da informação (TI) e os
processos de negócio das organizações públicas e privadas, (ROSA, 2010) desenvolveu um
método com potencial de avaliar o desempenho e a maturidade dos processos de negócio
habilitados por tecnologia da informação. De acordo com o autor, um processo de negócio é
habilitado por tecnologias da informação, quando a operação da empresa se vê impedida de
cumprir sua finalidade na ausência ou na falha dos recursos tecnológicos que a sustentem. O
método de avaliação proposto por (ROSA, 2010) propõe melhorar o relacionamento da TI
com o negócio, de tal forma que as iniciativas de negócio sejam alavancadas pelos recursos de
TI. Em razão disso, o autor examinou o nível de contribuição que o COBIT e o ITIL oferecem
ao cumprimento desse objetivo. O BPM também foi analisado pelo autor, em virtude do
mesmo possuir um modelo próprio de avaliação de processos de negócio.
O autor relatou que o método de avaliação de processos de negócio proposto difere do
COBIT e do ITIL, no que diz respeito aos processos alvo. Enquanto esses focam na área de
TI, o método proposto visa os processos de negócio. Ao término desse trabalho, (ROSA,
2010), concluiu que a aplicação do método revelou resultados que denotam sua adequação ao
propósito de avaliar processos de negócio habilitados por TI.
Embora (ROSA, 2010) tenha utilizado o COBIT, ITIL e BPM em seu trabalho, esse
não discutiu como essas práticas podem ser aplicadas nas empresas, nem como a sua união
pode resultar em um ambiente corporativo e de TI mais gerenciável e adaptável as mudanças
que ocorrem nos requisitos de negócio. Apesar disso, esse trabalho contribuiu para mostrar a
importância que estas práticas têm para estreitar o relacionamento da área de TI com a área de
42
negócio das organizações, corroborando, desta forma, para a utilização dessas práticas na
construção do modelo proposto nesta dissertação.
3.1.5 Uma Revisão dos Modelos de Gestão em TI e um Comparativo entre COBIT e
ITIL
O trabalho de (MORAES; MARIANO, 2008) apresentou uma análise de um conjunto
de metodologias de gestão, com o objetivo de identificar as características mais relevantes de
cada uma.
Os autores se propuseram a analisar práticas de gestão de TI que permitem gerenciar
com qualidade empresas em ambientes empresariais em rápida transformação e que possuem
características peculiares, como grandes e rápidos avanços tecnológicos e alto nível de
investimentos.
O trabalho analisou o BSC (Balanced Scorecard), COBIT (Control Objectives for
Information and Related Technology), ITIL (Information Technology Infrastructure Library),
PMBOK (Project Management Body Of Knowledge), o CMMI (Capability Maturity Model
Integration) e a norma ISO/IEC 20000.
A partir desse trabalho, os autores concluíram que os gestores podem avaliar a
adequação destas práticas aos diversos contextos empresariais. Isso foi possível, a partir de
uma análise do contexto atual da empresa, níveis de investimento, necessidade de retorno,
índices de crescimento e importância estratégica da área de TI para o negócio.
Já o trabalho de (SORTICA; CLEMENTI; CARVALHO, 2004) teve como objetivo
estudar as metodologias de gestão da tecnologia da informação (TI) mais utilizadas pelas
empresas. O trabalho buscou identificar as semelhanças e diferenças destas metodologias e
como elas podem ajudar a aumentar o grau de controle e automação dos processos
corporativos, relacionando a TI aos processos de gestão estratégica e administrativa de uma
organização.
Nesse trabalho, os autores apresentaram o conceito de governança de TI, juntamente
com os aspectos implementados pelo COBIT e pelo ITIL no suporte a esta definição. Os
autores concluíram que existem duas abordagens que visam resolver o problema da
implantação de processos de TI em uma organização. São elas a: abordagem procedimental e
a abordagem ferramental.
Na abordagem procedimental, os processos de TI necessários para suportar o negócio
devem ser selecionados a partir do pressuposto da existência de um plano estratégico vigente
que guie os objetivos da organização. Dessa forma, a partir dos processos é possível chegar à
definição dos sistemas e da infraestrutura de suporte ao negócio, minimizando o risco de
43
desvios entre o negócio e os processos de TI. Já abordagem ferramental, segundo os autores,
utiliza as opções de ferramentas de sistema de informações para definir os processos de TI,
neste caso, a visão top-down do modelo empresarial da organização não é considerada,
aumentando os riscos de desvios entre o modelo de negócio da empresa e seus processos de
TI.
Apesar do trabalho de (SORTICA; CLEMENTI; CARVALHO, 2004) ter contribuído
para relatar a importância que o alinhamento estratégico entre a TI e o negócio tem para as
organizações, além de mostrar a relevância que as duas práticas (COBIT e ITIL) possuem
para a estruturação dos processos de TI e a implementação da governança e gestão de TI nas
empresas, e do trabalho de (MORAES; MARIANO, 2008) ter descrito o COBIT e o ITIL,
ambos não detalham nem demonstram como de fato ocorre os a implementação e integração
do COBIT e do ITIL.
3.1.6 Gerenciamento de Processos de Negócios
O trabalho de (BALDAM et al. 2010) teve como objetivo descrever as boas práticas
do BPM, contribuindo para sua implantação em um ambiente corporativo. Para isso, os
autores criaram um modelo de ciclo de vida para implantação e manutenção do gerenciamento
de processos, utilizando BPM, nas empresas. O ciclo de vida definido pelos autores é
composto por 04 fases: planejamento do BPM; modelagem e otimização de processos;
execução de processos e; controle e analise de dados.
Dentre os benefícios gerados pelo modelo proposto pelos autores estão: (i) criar metas
de melhoria; (ii) eliminar retrabalhos; (iii) alinhar as atividades à estratégia da organização;
(iv) padronizar tarefas e; (v) melhorar informações para os sistemas de informações presentes
nas empresas.
Koster, Iacob e Pires (2009) afirmam, em seu trabalho que o número de produtos de
BPM disponíveis no mercado tem aumentado substancialmente nos últimos anos, de modo
que a escolha entre esses produtos tornaram-se uma tarefa difícil para os potenciais
utilizadores de BPM. Desta forma, esse trabalho define um framework para a avaliação de
produtos de BPM, e discute como ele foi aplicado no desenvolvimento de um método de
avaliação desses produtos. O framework foi desenvolvido com base no ciclo de vida de BPM
definido pelos autores.
A pesquisa de (KOSTER; IACOB; PIRES, 2009) conclui, que embora o método
tenha-se mostrado adequado para a tarefa de avaliação, a comparação de produtos, utilizando
este método pode necessitar de um grande dispêndio de tempo, dependendo da experiência do
avaliador com os produtos BPM. Os autores constataram que o uso mais adequado para o
44
framework, seria os cenários onde cada fornecedor atua como avaliador do seu produto,
enquanto um observador neutro realiza a classificação do produto. Isso resulta em uma análise
objetiva de todos os critérios relevantes do framework.
Embora o trabalho de (BALDAM et al. 2010) tenha embasado a construção da
camada de gestão de processos de negócios, utilizada nesta dissertação, e o trabalho de
(KOSTER; IACOB; PIRES, 2009) tenham mostrado a relevância e o crescimento do BPM ao
longo dos anos, esses trabalhos não discutiram a integração dos processos de negócios
estruturados, através das boas práticas de gerenciamento de processos do BPM, com as
aplicações SOA, nem tratou dos aspectos relacionados com os processos de TI do COBIT e
do ITIL, que suportam os serviços SOA.
3.1.7 Alinhamento dos Requisitos da Lei Sarbanes-Oxley com o RUP para o Processo
de Desenvolvimento de Sistemas
Nesse trabalho, (YOSHIDA, 2007) teve como objetivo, propor um guia para o
alinhamento do processo de desenvolvimento de sistemas de informações, utilizando RUP
(Rational Unified Process) (Shuja e Krebs, 2008), COSO (Committee of Sponsoring
Organizations) (ITGI, 2007a), COBIT e CMMI (Capability Maturity Model Integration)
(CMMI, 2006), com a lei Sarbanes-Oxley, focando nas seções 302 e 404. Seu propósito foi
fornecer condições à área de desenvolvimento de sistemas, para que os requisitos exigidos
pela lei Sarbanes-Oxley fossem devidamente atendidos.
Yoshida (2007) procurou mostrar que os sistemas de informações precisam refletir os
pontos de controle que são necessários para que os processos de negócios satisfaçam os
objetivos estratégicos da organização.
No entanto, o autor não trabalha questões relacionadas com a emissão dos relatórios
financeiros, como por exemplo, a diversidade de formato de dados que as informações
financeiras possuem e a flexibilidade que os sistemas de informações devem possuir.
Outro aspecto não discutido pelo autor é a necessidade de o ambiente corporativo e de
TI serem apropriados para deixar a organização mais aderente às leis e regulamentações, pois
somente sistemas de informações não garantem, por si só, a aderência às leis e
regulamentações.
3.1.8 O Impacto da Lei Sarbanes-Oxley Ato 2002 nos Sistemas de Informações das
Empresas Públicas
Nesse trabalho, (HOLMES; NEUBECKER, 2006) ressaltam o impacto que a lei
Sarbanes-Oxley (SOX) teve sobre as grandes e pequenas empresas. Os autores mostram que a
45
lei foi criada para proteger os investidores, melhorar a precisão e a confiança das informações
corporativas, além de fazer com que os executivos sejam responsáveis por estabelecer, avaliar
e monitorar a eficácia dos controles internos relacionados aos relatórios financeiros, punindo
rigorosamente os executivos responsáveis por fraudar tais informações. No entanto, tais
informações passam pela contabilidade das empresas e pelos sistemas de informação que
apóiam as atividades de contabilidade. Dessa forma, o trabalho de (HOLMES;
NEUBECKER, 2006) destaca elementos que impactam nos sistemas de informação das
empresas que devem estar em conformidade com a SOX.
Holmes e Neubecker (2006) propõe o uso do COBIT, ITIL e XBRL, como uma forma
das empresas construírem sistemas de informações em conformidade com a lei. No entanto, a
proposta dos autores não discute como realizar a integração do COBIT com o ITIL, nem
mostra como o uso deles impacta na conformidade dos sistemas de informações. Outra lacuna
deixada por esse trabalho, foi não tratar dos aspectos relacionados com a flexibilidade dos
sistemas que devem se adaptar às mudanças que ocorrem nos requisitos legais, que podem ou
não estar associados à SOX. Esta flexibilidade pode ser proporcionada com a orientação a
serviço, oriunda da SOA, em conjunto com um bom gerenciamento de processos de negócios,
obtido com o uso das práticas do BPM.
3.2
TECNOLOGIA SOA E XBRL
Esta seção discute os trabalhos relacionados com as tecnologias SOA e XBRL. Esses
trabalhos estão associados à flexibilidade dos sistemas de informações e à emissão de
relatórios financeiros.
3.2.1 XBRL e o Crescente Uso de Arquivamento Online e Pagamentos Eletrônicos
Ascenção e Souza (2006) afirmam que a tecnologia da informação tem evoluído em
uma velocidade difícil de ser acompanhada e a pressão competitiva tem forçado inovações
dentro das organizações. O trabalho de (ASCENÇÃO; SOUZA, 2006) teve como objetivo
demonstrar que para uma empresa ser competitiva, no mundo globalizado, deve adotar uma
nova postura e aderir a novas tecnologias, entre elas a XBRL, para permitir uma maior
flexibilidade, agilidade e eficiência aos gestores, que passam a avaliar melhor as diversas
decisões a serem tomadas.
Para isso, os autores discutiram os motivos que levam a adoção da XBRL, a sua forma
de funcionamento e os benefícios gerados pela adoção dessa linguagem para a emissão de
46
relatórios financeiros. Os autores concluem afirmando que a XBRL facilita a construção e
divulgação de relatórios financeiros, melhorando o trabalho da área contábil das organizações.
Já o trabalho de (HMRC, 2009) destaca que a implementação da XBRL para o
arquivamento online está em curso, através de um subgrupo técnico do XBRL International
(XBRL, 2011), para desenvolver soluções que permitam que as contas e os cálculos dos
impostos das empresas sejam arquivados online, no formato XBRL. O autor afirma que
existem vários benefícios ainda não quantificados que justificam a implementação da XBRL
para realizar arquivamento online e pagamento eletrônico. Os benefícios são difíceis de serem
quantificados, no entanto, o autor espera que os benefícios sejam superiores aos custos,
fornecendo, desta forma, um benefício real para as empresas. De acordo com HRMC (2009),
os beneficios incluem: (i) menor possibilidade de erro; (ii) transmissão de dados mais rápida;
(iii) reconhecimento imediato dos dados recebidos; (iv) facilidade de uso; (v) aumento da
confiabilidade e segurança para pagamentos eletrônicos e; (vi) melhoria na comunicação e
transferência de dados entre diferentes departamentos e escritórios das empresas.
No entanto, apesar do trabalho de (ASCENÇÃO; SOUZA, 2006) ter mostrado a
relevância da XBRL para a construção e divulgação dos relatórios financeiros e o trabalho de
(HMRC, 2009) tenha embasado a decisão sobre a utilização da XBRL, esses trabalhos não
cobrem os aspectos relacionados com a flexibilidade e o alinhamento com os processos de
negócios, relacionados com os relatórios financeiros, que os sistemas de informações, que
utilizam a XBRL, devem ter para comportar as modificações que ocorrem nos requisitos dos
relatórios financeiros, e.g. os legais e regulamentares aos quais as empresas encontram-se
vinculadas.
3.2.2 SOA na Prática – Governança de SOA
O trabalho de (MARZULLO, 2009), relata que a governança SOA representa um
subconjunto de elementos que compõe a governança de TI e tem como objetivo regulamentar
a gestão de processos e atividades que compõem o ciclo de vida de soluções orientadas a
serviço, por meio da definição de regras, políticas, ações e mapas de responsabilidades dentro
da organização.
De acordo com o autor, a governança SOA destaca-se como uma técnica para ajudar a
organização a implementar mecanismos de controle mais eficientes e seguros, focando no
desenvolvimento de soluções orientadas a serviços. Marzullo (2009) destaca que deve ser
considerada a criação do centro de competência SOA, que tem como objetivo ajudar na
realização do trabalho de infraestrutura, arquitetura e processos.
47
Conforme o autor, entre as atividades do ciclo de vida de governança SOA, as que
merecem um destaque são: (i) as atividades de definição da estratégia, que tem como objetivo
estabelecer a direção estratégica, identificando e priorizando os processos de negócios e
recursos de TI que serão usados na construção de serviços; (ii) a gerência de mudanças e
controle de versões, que tem como meta gerenciar as mudanças e versões dos serviços
permitindo, com isso, a evolução dos mesmos de maneira mais controlada; e (iii) a atividade
de segurança, que devido aos elevados níveis de vulnerabilidades que as arquiteturas
orientadas a serviço possuem, visa garantir níveis de segurança satisfatórios dentro do
contexto dos negócios que são sensíveis a ameaças.
Esse trabalho fundamentou a importância da governança de TI para a governança
SOA e foi utilizado na construção da solução proposta nesta dissertação, embora o autor não
tenha discutido a relevância do COBIT que, como modelo de referência para implantação da
governança de TI, ajuda a governança SOA a implementar mecanismos de controle mais
eficientes e seguros sobre os processos de TI, que apoiam o desenvolvimento e fornecimento
das aplicações orientadas a serviço, como é o caso dos processos de gerenciamento de níveis
de serviço, mudanças, configuração, aquisição e manutenção de sistemas.
3.2.3 O Papel dos Processos de Negócios na Arquitetura Orientada a Serviços
O trabalho de (AALST; LEYMANN; REISIG, 2007) mostrou que a arquitetura
orientada a serviço é um paradigma para a concepção e implementação de parcerias de
negócios (dentro e fora das fronteiras organizacionais), sendo objeto de interesse para
fornecedores de software e pesquisadores.
Nesse paradigma, ressaltam os autores, a funcionalidade oferecida por aplicativos de
negócios é encapsulada dentro de serviços web que podem ser invocados por aplicações ou
outros serviços, através de uma pilha de padrões da internet, incluindo o HTTP, XML, SOAP,
WSDL, e UDDI. Os autores também explanam que uma vez implantados, os serviços web,
fornecidos pelas várias organizações existentes, podem ser interligados, a fim de implementar
colaborações de negócios, criando, com isso, os serviços web compostos.
Nesse trabalho, (AALST; LEYMANN; REISIG, 2007) afirmam que os serviços web
são compostos para apoiar e dar mais flexibilidade aos processos de negócio, deixando-os
mais adaptáveis as mudanças que ocorrem nos requisitos de negócio, concluindo que a
relação entre gestão de processos de negócio e arquiteturas orientadas a serviço é altamente
relevante. No entanto, o trabalho não cobriu os aspectos relacionados com as boas práticas de
gerenciamento de processos de negócio, associadas com o BPM, nem abordou, mesmo sem
48
possuir este propósito, os aspectos relacionados com a governança de TI, uma vez que esta
engloba a governança SOA.
3.2.4 O Impacto da SOA nos Sistemas Empresariais e Estruturas Organizacionais e
Etapas de Implantação
O trabalho de (BIEBERSTEIN et al. 2005) afirma que com a economia global em
ritmo acelerado uma empresa deve ser flexível e ágil para atender a mudanças relacionadas
com as suas necessidades e operar em um ambiente variável. Para isso os autores mostram
que é necessário alinhar as necessidades empresariais com a tecnologia de informação, através
da arquitetura orientada a serviços (SOA). No entanto, para ser eficaz, o paradigma SOA
também precisa romper as barreiras relacionadas com as práticas comportamentais da
organização.
Dessa forma, os autores mostram os desafios corporativos da SOA (e.g. mudanças
culturais), bem como a necessidade de redesenhar os modelos organizacionais existentes,
otimizando, a força de trabalho e a interação dos processos de negócios entre departamentos
para alavancar os novos sistemas de TI.
Bieberstein et al. (2005) concluiram que para a organização obter o valor da SOA, é
essencial uma transformação organizacional e cultural. No entanto, embora essa mudança
esteja sempre acompanhada pela incerteza, segundo os autores, os potenciais benefícios
(flexibilidade e agilidade para atender as mudanças) superam os riscos (incertezas).
Brauer e Kline (2005) afirmam que as organizações variam enormemente em seu
propósito, escopo, tamanho e estrutura. No entanto, um estudo cuidadoso de suas
necessidades de tecnologia de informação, levou a identificar um amplo conjunto de
preocupações comuns. Segundo os autores, uma empresa dedica quase 80% do seu orçamento
em manutenção de sistemas existentes. A principal razão para este alto custo é a natureza
inflexível de aplicativos que são projetados. Os autores ainda mostraram que executivos de
empresas exigem cada vez mais aplicações de TI adaptáveis. De acordo com Brauer e Kline
(2005), pesquisas comprovaram que quase 90% das empresas mundiais citam velocidade,
flexibilidade e adaptabilidade como uma prioridade.
Dessa forma, os autores concluiram que o ideal para atender esses requisitos de
negócio (as preocupações e exigencias comuns) é o que denominaram de Empresa Adaptativa
(EA). A EA é uma visão organizacional em que os negócios e a TI estão sincronizados para
capitalizar a mudança. Ser uma EA ajuda a reduzir custos de TI, deixando a TI mais flexível
para entregar o que o negócio realmente precisa: simplicidade, agilidade e valor. De acordo
com os autores, a EA permite alcançar um forte acoplamento entre negócios e TI, permitindo
49
que a empresa responda de forma rápida e fácil à mudança, ajudando a maximizar o retorno,
mitigar riscos, melhorar o desempenho e aumentar a agilidade.
O trabalho de (WALDMAN, 2009) teve como objetivo, descrever um roteiro para
realizar a implementação de SOA em corporações de médio e grande porte. Para isso o autor,
sugere que a implantação deva ser feita em etapas, iniciando, primeiramente, por um único
sistema que seja pequeno e simples.
A partir do sucesso desta primeira etapa, segundo Waldman (2009), repete-se o
mesmo processo para outros sistemas, até que se tenha realizado para toda a organização.
Caso a avaliação da primeira implementação não seja satisfatória, devem-se realizar novas
tentativas até que a organização esteja familiarizada e confiante com o novo conceito (SOA)
e, com isso, possa avançar para outros sistemas.
Embora o trabalho de (BIEBERSTEIN et al. 2005) tenha ressaltado a importância da
SOA para dar agilidade e flexibilidade às organizações e o trabalho de (BRAUER; KLINE,
2005) ter comprovado a necessidade, que as empresas têm, de possuir um ambiente de TI
veloz, flexivel e adaptavel, além do trabalho de (WALDMAN, 2009) que contribuiu, através
do seu roteiro de implementação, para a construção do modelo de implantação SOA desta
dissertação, os trabalhos não aprofundaram a discussão a respeito dos aspectos referentes ao
alinhamento das aplicações SOA com os processos de negócios e não discutiram a relação da
SOA com a governança de TI, utilizando o COBIT e o ITIL.
3.2.5 Modelos de Governança para Arquiteturas Orientadas a Serviços
O trabalho de (NIEMANN et al. 2008) afirma que nos últimos anos, a arquitetura
orientada a serviços (SOA), juntamente com os sistemas de informações, construídos a partir
desta, tem sido cada vez mais reconhecida como uma alternativa aos sistemas de informações
comuns (sistemas desenvolvidos através de uma arquitetura tradicional). Os autores
descrevem que a SOA proporciona um meio flexível de mapear processos de negócios para
servicos de TI, apesar de grandes sistemas de TI exigirem uma governança de TI.
No contexto da SOA, a governança representa um novo desafio. Atualmente existe
uma série de abordagens diferentes para frameworks de governança SOA, que diferem
amplamente em escopo e capacidade. Segundo os autores, a maioria desses frameworks são
orientados a produtos e, consequentemente, desenvolvidos pela própria indústria de software
(e.g. HP, IBM, Microsoft).
Niemann et al. (2008) concluem apresentando uma abordagem para um modelo
genérico de governança SOA. Este modelo integra um ciclo de controle eficiente com um
conceito de modelo de maturidade em SOA. Os autores relatam que o modelo genérico de
50
governança SOA se baseia nas boas práticas do COBIT, e que este fornece um conjunto
comum de métricas de TI. Conforme Niemann et al. (2008), esse modelo representa uma
abordagem fundamental e genérica para a governança SOA.
Hojaji e Shirazi (2010) em seu trabalho, afirma que a governança de SOA é essencial
para perceber os benefícios da arquitetura orientada a serviços (SOA), pois sem uma
governança SOA eficaz, as organizações enfrentam desafios significativos, incluindo: (i)
dificuldades na concepção de estruturas eficazes de decisão; (ii) falta de financiamento para o
serviço SOA; (iii) falta de processos de governança consistentes e; (iv) falta de alinhamento
entre área de TI e de negócios.
De acordo com os autores, estudos realizados nos frameworks de governança SOA
existentes, revelam que essas estruturas não documentam completamente os processos de
governança SOA, juntamente com os procedimentos. Esses frameworks também não são
expressivos o suficiente para cobrir todos os elementos importantes de uma governança SOA.
Desta forma o trabalho de (HOJAJI; SHIRAZI, 2010) apresentou um framework de
governança SOA que possui um ciclo de vida formado pelas boas práticas de governança do
COBIT, juntamente com atividades de gerenciamento de serviços. De acordo com Hojaji e
Shirazi (2010), o COBIT foi utilizado, em razão da sua estrutura de governança de TI madura
e eficiente, que também aborda a avalição de processos de TI, e que pode ser utilizada para
descrever os processos, metas e objetivos de controle das atividades da área de TI.
Já o trabalho de (OTT et al. 2010) afirma que a falta de mecanismos de governança é
frequentemente visto como o principal motivo para falhas de projetos SOA. Nesse trabalho,
os autores apresentam elementos que podem orientar as organizações na implementação de
uma abordagem de governança para SOA. Para isso, (OTT et al. 2010) apresentam um
mapeamento das práticas de governança de TI, do COBIT e ITIL, para o domínio da SOA.
Nesse trabalho, (OTT et al. 2010) focaram nas alterações que são necessárias às
abordagens de governança de TI do COBIT e do ITIL, com a finalidade de maximizar o
potencial de negócios da arquitetura orientada a serviços. O trabalho possibilita às
organizações compararem o seu próprio modelo de governança de TI, com os papéis e
atividades, alinhando-os à abordagem de SOA. Isso permite identificar divergências e pontos
fracos na abordagem de governança de TI e adequá-las a orientação a serviços.
No entanto, os trabalhos de (NIEMANN et al. 2008), (HOJAJI; SHIRAZI, 2010) e
(OTT et al. 2010) não preenchem os aspectos referentes: (i) ao alinhamento que as aplicações
SOA devem ter com os processos de negócios; (ii) a importância que o gerenciamento de
processos de negócios tem para os projetos SOA, além de não discutir profundamente a
51
relação da SOA com as práticas de governança e gestão de TI do COBIT e do ITIL
respectivamente.
3.2.6 Traços inovadores da TI a serviço da Controladoria
Os autores (BIANCOLINO; CRITOFOLI, 2008) relataram que a complexidade dos
processos empresariais contemporâneos ligados à área de contabilidade e tecnologia da
informação, indica que o mercado acionário, os departamentos de controladoria e os órgãos
reguladores, como a US-SEC (ITGI, 2006) e o Banco Central, vêm gradativamente
demandando e, conseqüentemente, orientando as empresas a adotarem uma nova dinâmica
operacional-tecnológica que seja capaz de atender com rigor à demanda informacional das
organizações. Ao mesmo tempo, a diversidade de aplicativos e itens relacionados à
infraestrutura operacional de TI esta cada vez maior, levando a um entrave para se obter uma
maior eficácia informacional nesta área devido à sua complexidade.
Desta forma, os autores realizaram uma análise das tecnologias SOA e XBRL, que
constituem um importante recurso que pode ser utilizado pelas controladorias, com a
finalidade de prover uma solução de TI que proporcionasse um canal entre as demandas do
negócio e os órgãos reguladores.
Através da análise realizada, os autores concluíram que a SOA é um facilitador do
desenvolvimento de sistemas de informações corporativos como serviços de negócios
modulares que podem ser integrados e reutilizados facilmente, criando uma infraestrutura de
TI flexível e adaptável.
Já a análise realizada sobre a tecnologia XBRL demonstrou a importância que essa
linguagem tem para a área financeira, em razão da facilidade oferecida para compartilhar e
buscar informações financeiras no âmbito dos sistemas de informações das organizações.
No entanto, apesar dos autores ressaltarem a importância dessas tecnologias para a
área contábil e para emissão dos relatórios financeiros, para que o desenvolvimento dos
sistemas de informações, por meio da SOA e do XBRL, obtenha êxito, também é necessário
que haja a estruturação dos processos de negócio, os quais serão automatizados por meio da
SOA. Além disso, é relevante que a empresa possua uma estrutura de governança de TI para
assegurar que os processos de TI estejam definidos e controlados, para, com isso, prover o
suporte necessário aos serviços SOA que serão construídos.
3.2.7 Uma Solução Integrada de Relatórios Automatizados da Basiléia II
Nesse trabalho (GLUCHOWSKI; PASTWA, 2006) propuseram investigar formas de
realizar o intercâmbio de dados financeiros e de negócios. Os autores afirmam que geralmente
52
o processo de emissão de relatórios financeiros é caracterizado pelo uso de diferentes
formatos de dados e que os mesmos representam a saída de diversos sistemas de informações,
sendo necessária a transformação dos dados de um formato para outro. Os autores enfatizam
que essa manipulação pode gerar perdas, corrupção e incompatibilidade dos dados, o que
pode ocasionar impactos negativos para o negócio da organização.
Os autores discutiram questões relacionadas com o intercâmbio de informações
financeiras, de forma confiável e rápida, através das tecnologias SOA, com Web Services, e
XBRL, que juntas mostraram contribuir para eliminar problemas relacionados à emissão de
relatórios financeiros, deixando também, com isso, os processos de negócio e os sistemas,
mais flexíveis.
Gluchowski e Pastwa (2006) apresentaram uma proposta de como desenvolver
sistemas de informações financeiras, através da SOA com Web Services e XBRL, e discutiram
os benefícios que os serviços SOA trariam para a emissão de relatórios financeiros. No
entanto, não foram discutidos os aspectos relacionados com a organização dos processos de
negócios, os quais devem estar, antes de qualquer sistema de informação ser desenvolvido,
bem estabelecidos, estruturados e operando eficientemente, para que, dessa forma, os serviços
desenvolvidos, através da união da SOA, com Web Services, e da XBRL, tragam os
benefícios esperados para o negócio da organização.
3.3
Este capítulo discutiu os trabalhos relacionados com esta dissertação, avaliando os
benefícios e as deficiências identificadas, no que se refere ao seu propósito. O Quadro 3.1
apresenta uma comparação dos trabalhos correlatos, no que se refere à aplicação de modelos
de governança e gestão de TI e uso das tecnologias SOA e XBRL.
É possível verificar, por meio da análise dos trabalhos da Seção 3.1 que, embora,
existam trabalhos que abordem as práticas de governança e gestão do COBIT, ITIL e BPM,
nenhum deles demonstrou como essas práticas podem ser aplicadas nas empresas, nem como
a sua união pode resultar em um ambiente corporativo e de TI gerenciável e adaptável às
mudanças que ocorrem nos requisitos de negócio, incluído os requisitos legais. Também é
possível constatar, analisando os trabalhos da Seção 3.2 que, apesar de existirem trabalhos
relacionados com a SOA e XBRL, possibilitando, com isso, uma maior flexibilidade dos
sistemas de informações e relatórios financeiros confiáveis e de qualidade, nenhum deles
cobriu os aspectos relacionados ao alinhamento das aplicações SOA com os processos de
negócios, utilizando as práticas do BPM, além de não discutir a relação da SOA com as
práticas de governança e gestão de TI do COBIT e do ITIL respectivamente.
53
Quadro 3.1 - Comparativo dos Trabalhos Correlatos
PRÁTICAS DE GOVERNANÇA E GESTÃO
DE TI
COBIT
ITIL
BPM
TRABALHOS
SOA
XBRL
Orientação a
Serviços e
Sistemas
Flexíveis
Qualidade e
Confiabilidade
dos Relatórios
Financeiros.
-
-
SIM
-
-
-
-
Governança
de TI
Gestão dos
Processos de
TI
(ASSIS, 2011)
SIM
SIM
(FERNANDES e ABREU, 2012)
(BERTZ, 2011)
SIM
SIM
SIM
SIM
SIM
SIM
SIM
SIM
-
-
SIM
SIM
-
-
-
-
SIM
-
-
-
-
SIM
-
-
-
-
-
(ROSA, 2010)
(SORTICA, CLEMENTI E CARVALHO,
2004)
(MORAES E MARIANO, 2008)
(BALDAM et al. 2010)
(KOSTER, IACOB E PIRES, 2009)
Gestão dos
Processos de
Negócios
TECNOLOGIAS
SIM
SIM
SIM
(YOSHIDA, 2007)
SIM
(HOLMES E NEUBECKER, 2006)
SIM
SIM
-
-
SIM
(ASCENÇÃO & SOUZA, 2006)
-
-
-
-
SIM
(HMRC, 2009)
-
-
-
-
SIM
(MARZULLO, 2009)
-
-
-
SIM
-
(AALST, LEYMANN E REISIG, 2007)
-
-
-
SIM
-
(BIEBERSTEIN et al. 2005)
-
-
-
SIM
-
(BRAUER E KLINE, 2005)
-
-
-
SIM
-
(WALDMAN, 2009)
-
-
-
SIM
-
(NIEMANN et al. 2008)
SIM
-
-
SIM
-
(HOJAJI E SHIRAZI, 2010)
SIM
-
-
SIM
-
(OTT, KORTHAUS, BÖHMANN,
ROSEMANN E KRCMAR, 2010)
SIM
SIM
-
SIM
-
(BIANCOLINO & CRITOFOLI, 2008)
-
-
-
SIM
SIM
(GLUCHOWSKI & PASTWA, 2006)
-
-
-
SIM
SIM
Fonte: Autor deste Trabalho
Fica evidente, por meio da análise do Quadro 3.1, a necessidade de um modelo, que use em
conjunto as boas práticas de governança e gestão de TI do COBIT, ITIL e BPM, juntamente com as
tecnologias SOA e XBRL, uma vez que não foi encontrado nas literaturas pesquisadas, um trabalho
semelhante ou igual ao proposto nesta dissertação. Ressalta-se, que a utilização em conjunto, dessas
práticas e tecnologias, representa o diferencial, em termos de benefícios e contribuições para
54
resoluções de problemas, que o modelo propõe trazer para as organizações, uma vez que através
delas, pode ser possível construir um ambiente organizacional (corporativo e de TI) mais gerenciável
e adaptável às mudanças que ocorrem no negócio da organização, além de proporcionar uma maior
capacidade de adaptação dos sistemas de informações aos processos de negócios e uma maior
qualidade e confiabilidade na emissão de relatórios financeiros.
55
4
MODELO DE GOVERNANÇA E GESTÃO DE TI
Este capítulo apresenta o modelo de governança e gestão de TI, formado a partir da
utilização do COBIT, ITIL, BPM, SOA e XBRL. Este modelo está divido em 03 camadas: (i)
a camada de gestão de processos de negócio; (ii) a camada de implantação da governança de
TI e; (iii) a camada de implantação SOA e integração com a XBRL. Através do modelo,
espera-se obter uma maior facilidade de adaptação do ambiente corporativo e de TI das
empresas, às mudanças que ocorrem nos requisitos de negócio, além de aumentar a
flexibilidade dos sistemas de informações e melhorar a qualidade e confiabilidade da emissão
dos relatórios financeiros. Inicialmente, a Seção 4.1 apresenta o modelo de governança e
gestão de TI, juntamente com os elementos que compõem a sua estrutura. Na Seção 4.2, são
discutidos os aspectos relacionados com a camada de gestão de processos de negócios do
modelo. A Seção 4.3, descreve a camada relacionada com a implantação da governança de TI.
A Seção 4.4, apresenta a camada relacionada com a implantação SOA e integração com a
XBRL. Finalmente, na Seção 4.5 são feitas a conclusão e considerações finais deste capítulo.
4.1
ESTRUTURA DO MODELO
O modelo de governança e gestão de TI, proposto neste trabalho, foi construído a
partir da análise das boas práticas e tecnologias apresentadas no Capítulo 02. Sua arquitetura
foi elaborada com o propósito de solucionar os problemas discutidos no Capítulo 01.
Para proporcionar um melhor entendimento, visualização e agrupamento das práticas e
tecnologias envolvidas, uma vez que elas possuem finalidades diferentes, o modelo de
governança e gestão de TI proposto está dividido em três camadas, conforme pode ser visto
na Figura 4.1. Com o objetivo de manter a organização e o entendimento do modelo, cada
camada é composta por fases. As fases, por sua vez, possuem atividades, que podem se
subdividir em tarefas.
56
Figura 4.1 - Arquitetura do Modelo de Governança e Gestão de TI
É importante ressaltar, que a sequência de execução das camadas do modelo proposto
foi definida com o pressuposto de que a empresa precisa ter, antes de desenvolver os serviços
SOA, os processos de negócios definidos e alinhados com a estratégia da organização e os
processos de TI estruturados e alinhados com as metas de negócio.
A ordem de implantação das camadas se justifica, pois são os processos de negócios
que originarão as funcionalidades e as informações, que serão automatizadas e armazenadas
através dos serviços SOA. Se os processos não funcionam, em razão da sua desestruturação,
falta de amadurecimento ou ineficiência, não existe razão para uma empresa, com esses
processos, adotar uma arquitetura SOA para o desenvolvimento e manutenção de sistemas de
informações. A arquitetura SOA não melhorará o desempenho dos processos de negócios
desestruturados, uma vez que são eles que originam os fluxos e informações para os serviços
SOA. Outro aspecto que justifica a sequência de execução estabelecida para o modelo
proposto, refere-se à construção de serviços SOA. Para isto, é necessário que a empresa
possua uma estrutura de processos de TI que mantenha o desenvolvimento e a evolução dos
serviços, de maneira que gerem os resultados esperados pela empresa.
Embora o modelo proposto estabeleça uma ordem de implantação das camadas, essas
podem ser executadas independentemente umas da outras. Isso é importante, pois nem todas
57
as empresas possuem a necessidade de implantar todas as camadas, em virtude, por exemplo,
delas já possuírem a sua estrutura de gerenciamento de processos de negócios ou de TI.
Assim, as empresas que estiverem nesse contexto, poderão utilizar as camadas do modelo
como referência para amadurecer suas práticas e desenvolver novas iniciativas. Os principais
objetivos das três camadas que compõe o modelo proposto são:
(i) Camada de Gestão de Processos de Negócios: esta camada propõe-se a gerir os
processos de negócio, para que sejam executados com eficiência. Para isto, são
discutidos os aspectos relacionados com o planejamento, identificação, seleção,
avaliação, otimização e controle dos processos de negócios da organização, baseado
nas prioridades estratégicas da empresa. Nesta camada, é discutido todo o ciclo de
vida de gestão de processos de negócios, adotado para que os processos de negócios
da organização possam evoluir e se tornar maduros ao longo do tempo. As boas
práticas do BPM são usadas para a criação de um ambiente corporativo e de TI
eficiente;
(ii) Camada de Implantação da Governança de TI: o objetivo desta camada é permitir
a implantação da governança de TI nas organizações. Para isto, são discutidos os
aspectos do gerenciamento de processos de TI que possibilita, às empresas,
implantarem de forma eficiente a governança de TI. As práticas do COBIT e do ITIL
são utilizadas para identificar as metas de negócio e de TI, selecionar os processos de
TI, realizar análises e diagnósticos e implementar os processos e as melhorias
projetadas para eles. Assim como a camada de processos de negócio, esta também
contribui para a criação do ambiente corporativo e de TI gerenciável, adaptável e
eficiente;
(iii) Camada de Implantação SOA e Integração com a XBRL: esta camada tem como
objetivo permitir a implementação da SOA, integrando seus serviços web com a
linguagem XBRL, possibilitando, desta forma, maior flexibilidade para adaptação dos
sistemas aos processos de negócio e para a emissão com qualidade e confiabilidade
dos relatórios financeiros.
As seções seguintes discutem cada uma das camadas do modelo de governança e
gestão de TI proposto nesta dissertação.
58
4.2
CAMADA DE GESTÃO DE PROCESSOS DE NEGÓCIOS
Esta camada é responsável pela gestão de processos de negócios, utilizando as boas
práticas do BPM. Para isso, foi construído um modelo de gestão de processos de negócio.
Este modelo de gestão de processos de negócios é baseado no modelo proposto por
(BALDAM et al. 2010) , possuindo 04 fases (Entendimento do Negócio, Projeto, Implantação
e Monitoramento e Controle) que abrangem todo o ciclo de vida de gestão de processo de
negócio, conforme ilustra a Figura 4.2.
Este modelo foi construído, considerando não só os aspectos internos (necessidades
organizacionais de cada empresa), mas também os externos, relacionados com a maturidade e
eficiência dos processos das empresas concorrentes, juntamente com referências de
estruturação de processos de negócio, como, por exemplo, o Process Classification
Framework (PCF) (APQC, 2012) que será utilizado no exemplo de uso do modelo de
governança e gestão de TI, desta dissertação (capítulo 05). Isto permite projetar um
determinado processo ou grupo de processos, de acordo com as necessidades da empresa, sem
deixar de considerar a realidade encontrada em outras corporações, do mesmo segmento, e
referências de estruturação, de processos de negócios, reconhecidas pelo mercado (e.g. PCF).
Figura 4.2 - Camada de Gestão de Processos de Negócios
Para que uma organização gerencie os processos de negócios, através das boas práticas
do BPM, é necessário que exista uma infraestrutura aprorpiada. Essa infraestrutura deve ser
composta de uma estrutura física, composta por equipamentos e softwares que atendam as
necessidades da equipe de gestão, além de um ambiente que permita armazenar e publicar os
documentos relacionados com os processos da organização. Também é necessária uma
59
estruturação na gestão de pessoas. Esta estrutura é genérica, e foi criada para possibilitar a sua
adaptação, de acordo com as necessidades da empresa, embora se sugira a formação de 03
equipes distintas. A equipe relacionada com:
(i)
a gestão de processos de negócio, que pertencem à estrutura organizacional
e permanentemente cuida da coordenação das ações relacionadas com o
gerenciamento de processos de negócios, que são realizadas na empresa;
(ii)
o projeto e implantação de processos. Essa equipe representa um conjunto
multidisciplinar que atua temporariamente em um processo específico,
repassando-o para os usuários finais (pessoas que executam o processo no
cotidiano), após à sua implantação;
(iii)
a avaliação dos processos de negócios, implantados e melhorados. Essa
equipe é responsável pelas avaliações e homologações dos resultados,
relacionado com os processos implantados e melhorados.
Outro item importante relacionado com a infraestrutura é a concepção da política de
gestão de processos da organização. Esta política fornece as diretrizes de como a empresa
realiza o gerenciamento dos seus processos, através do BPM, mantendo o foco e o
alinhamento com a estratégia da organização. Na definição da política, é possível descrever
como o BPM é conduzido pela organização, como os processos são escolhidos, modelados,
otimizados, implantados e monitorados. A implantação do BPM deve ser formalizada e seus
propósitos divulgados para toda organização.
4.2.1 Fase de Entendimento do Negócio
Esta fase tem dois objetivos: (i) o primeiro é proporcionar uma visão holística e o
alinhamento dos processos de negócio à estratégia da organização, através do
desenvolvimento da visão global dos processos; (ii) o segundo é selecionar os processos de
negócios críticos para a organização, para que os mesmos possam ser, posteriormente,
avaliados e melhorados. As principais atividades desta fase são: (i) desenvolver a visão global
dos processos e; (ii) selecionar processos. Estas atividades serão descritas a seguir.
(i) Desenvolver Visão Global dos Processos
Esta atividade permite que a empresa tenha uma visão geral dos relacionamentos entre
processos. Esta atividade é relevante para que a empresa tenha uma melhor compreensão do
funcionamento e do relacionamento que existe entre os processos, desde o nível estratégico
até o nível operacional, adquirindo, desta forma, a compreensão de como a empresa funciona
60
e possibilitando um aperfeiçoamento nos projetos de modelagem e estudos de processos. O
desenvolvimento da visão global dos processos deve ser realizado antes de iniciar um projeto
de inclusão das práticas de BPM.
Através da visão global dos processos, a empresa melhora a visão holística das
atividades, a compreensão de como as atividades exercidas no processo impactam à
organização e de como as pessoas se relacionam com os processos. Esta visão global deve
levar em consideração a opinião da alta administração da empresa (opinião mais holística) e
dos funcionários (opinião mais específica, focada nos problemas do cotidiano das atividades
realizadas). É importante ressaltar, que a visão global dos processos não precisa ser totalmente
realizada em um primeiro momento. Isso se aplica, para os casos em que a empresa possui
muitos processos, resultando em uma construção complexa e demorada da visão global de
processos.
A construção da visão global de processos, neste modelo, resulta em um diagrama de
processos, que deve modelar os principais processos, subprocessos e seus relacionamentos,
abstraindo os detalhes relacionados às atividades, tarefas, fluxos de dados. Este diagrama
apresenta os processos e subprocessos da organização em uma determinada ordem, conforme
ilustra a Figura 4.3.
Existem diversas técnicas que podem ser utilizadas para criar a visão global de
processos dentro de uma organização. Dentre elas, está a proposta por (HARRINGTON;
ESSELING; NINWEGEN, 1997), que pode ser visualizada pelo exemplo ilustrado na Figura
4.3. Essa técnica permite uma fácil construção e compreensão da visão global de processos,
além de possibilitar a indexação dos subprocessos, criando referências que poderão ser
documentadas posteriormente. A visão global de processos também pode ser construída,
utilizando a técnica da cadeia de valor (LEAL, 2006). Essa técnica permite a organização
decompor suas atividades estratégicas em diversos níveis de detalhes, mostrando os seus
relacionamentos e permitindo, dessa forma, que a empresa tenha uma melhor visualização dos
processos que são necessários para entregar seus serviços aos clientes, sejam eles internos ou
externos à organização. A utilização da técnica da cadeia de valor está voltada para processos
estratégicos, embora possa ser utilizada em processos de suporte. Já a técnica de
(HARRINGTON; ESSELING; NINWEGEN, 1997) pode ser utilizada, quando a empresa
necessitar de uma abordagem que proporcione uma facilidade de construção e entendimento.
A Figura 4.4 ilustra um exemplo do método da cadeia de valor. As entradas e saídas
relacionadas com esta atividade estão dispostas no Quadro 4.1.
61
Figura 4.3Visão Global de Processos através do Método de (HARRINGTON; ESSELING; NINWEGEN,
1997)
62
Figura 4.4 - Visão Global dos Processos através do Método da Cadeia de Valor (PORTER, 1986)
63
Quadro 4.1 - Entradas e Saídas da Atividade Desenvolver Visão Global dos Processos
Entradas da Atividade
Entrevistas com os diretores e
Saídas da Atividade
Diagrama da Visão Global de Processos.
funcionários da empresa.
Qualquer documento da empresa que
proporcionem uma visão da estrutura de
processos de negócios da organização.
(ii) Selecionar Processos
Esta atividade busca selecionar os principais processos da empresa, identificando em
quais processos (estratégico, gerencial ou operacional) a organização é mais forte e/ou mais
fraca, quais os pontos fracos, quais ameaças e oportunidades que se apresentam, quais
indicadores são utilizados para medir o sucesso do processo e quais as metas definidas para os
processos não estão sendo alcançadas. Outro aspecto importante desta atividade é a
identificação dos processos candidatos à otimização (e.g. melhoria contínua, redesenho ou
inovação). É importante observar, que alguns processos, e não necessariamente processos
com problemas (e.g. de qualidade, custo e prazo) podem ser otimizados para que a empresa
obtenha maior eficiência. Ainda nesta atividade, deve ser realizada a classificação por ordem
de priorização dos processos de negócio da organização, dando atenção aos processos que
necessitam de soluções imediatas, e.g. devido a novas regulamentações ou problemas na
qualidade. As entradas e saídas relacionadas com esta atividade estão dispostas no Quadro
4.2.
Quadro 4.2 - Entradas e Saídas da Atividade Selecionar Processos
Planejamento Estratégico.
Processos Críticos Selecionados.
Leis e Regulamentações.
Oportunidades e Ameaças.
Ambiente Externo (e.g. concorrência)
4.2.2 Fase de Projeto
Esta fase da camada de gestão de processos de negócios visa realizar o estudo da
situação atual dos processos e propor melhorias para os processos selecionados, na fase
64
anterior, como candidatos à otimização. Esta fase é formada por duas atividades: (i) a
modelagem do estado atual do processo e; (ii) a modelagem do estado desejado do processo.
Estas atividades são realizadas de maneira sequencial, sendo que a primeira é a modelagem do
estado atual. Posteriormente deve ser realizada a modelagem do estado desejado.
Antes de iniciar o projeto de modelagem, é importante analisar a visão global dos
processos para que a empresa consiga definir o número de subprocessos relacionados com o
processo que será modelado e, com isso, consiga estimar o esforço e os recursos que serão
necessários para realizar a modelagem.
(i) Modelar Estado Atual
O objetivo desta atividade é procurar entender o processo existente e identificar suas
falhas para eliminar erros anteriormente cometidos, evitando que sejam repetidos. Além disso,
é possível também identificar as atividades dos processos de negócios que necessitam de
melhorias. A modelagem do estado atual envolve as seguintes tarefas: (a) planejar a
modelagem; (b) coletar informações sobre o processo, identificando possíveis melhorias; (c)
modelar o processo; (d) validar o modelo proposto para o processo e ajustá-lo, caso seja
necessário, ao processo que se encontra em execução. Estas tarefas são discutidas a seguir:
(a) Planejar a modelagem
Esta tarefa consiste na: (i) compreensão dos propósitos, métricas, prazos, custo, riscos,
artefatos entregáveis e alinhamento do processo à estratégia da organização; (ii) definição da
documentação que deverá ser produzida e consultada para obter informações a respeito do
processo; (iii) estabelecimento dos membros (incluindo os usuários) que formaram a equipe
de modelagem e; (iv) definição da infraestrutura física e de software necessária para
realização da modelagem.
Um aspecto relevante de a atividade modelar o estado atual, é que ela contribui para
que os usuários do processo não rejeitem as mudanças propostas pela atividade de modelagem
do estado desejado, em virtude desses usuários poderem constatar que o processo realmente
precisa de melhorias.
(b) Coletar informações
Esta tarefa tem como objetivo, realizar o levantamento de dados com os usuários do
processo e especialistas do negócio, para obter informações relevantes a respeito do processo
e que servirão para diagnosticar o estado atual do processo, além de permitir a identificação
de melhorias. Essas informações podem ser coletadas, por exemplo, através da utilização de
65
entrevistas. Em uma modelagem existem algumas informações, relacionadas com os
processos selecionados, que devem ser coletadas. Estas informações podem ser vistas no
Quadro 4.3.
Quadro 4.3 - Relação de Informações que devem ser coletadas
Dados normalmente coletados em
modelagem
Atividade
Comportamento
Recurso
Relação entre atividade
Agente
Exemplos de dados coletados que
dependem do objetivo da modelagem
Custo por atividade
Tempo da atividade
Competências necessárias
Sistemas em uso na atividade
Unidade organizacional relacionada
Itens de controle necessários para compor
indicadores
Leis, normas, regulamentos, aplicáveis
Novos conceitos, siglas, termos adotados no
processo
Desvios de processo
Posicionamento no Diagrama Global de
Processos
Informação
Entidade de informação
Evento
Validação
Procedimento de modelagem
Fonte: Lin, Yang e Pai (2002)
Ressalta-se, que essas informações também devem estar presentes na documentação
final emitida na atividade de modelagem do estado atual.
(c) Modelar o processo
Esta tarefa consiste na construção do modelo gráfico e descritivo do processo, com
base nas informações obtidas na coleta de dados. É necessária a utilização de ferramentas de
modelagem de processos para facilitar a atividade de modelagem e documentação, além de
possibilitar uma melhor visualização do processo modelado.
É sugerido o uso do BPMN (Business Process Management Notation) (BPMN, 2006)
que é um método para representação de processos de negócios, independente de fornecedor,
mantido pela OMG (Object Management Group). A decisão de utilizá-la foi devido ao fato
deste método prover uma notação gráfica simples e intuitiva, mas que também permite
especificar processos de negócios complexos.
(d) Validar e ajustar o processo
Esta tarefa consiste em verificar se o modelo construído para o processo modelado, na
atividade modelagem do estado atual, encontra-se de acordo com o processo que está em
66
execução na organização. Nesta tarefa também são feitos os ajustes necessários, em casos de
discrepâncias entre o modelo construído e o processo que se encontra em execução.
Espera-se obter, na etapa de modelagem do estado atual, os seguintes resultados: (i) o
modelo do estado atual do processo que está sendo trabalhado e; (ii) a documentação do
processo, incluindo: (a) as métricas, o desempenho, os prazos e os artefatos entregáveis, do
atual processo; (b) o que precisa melhorar no atual processo; e (c) quais os itens mais
relevantes que podem ter suas melhorias implementadas mais rapidamente. A relação entre as
entradas e saídas relacionadas com esta atividade estão dispostas no Quadro 4.4.
Quadro 4.4 - Entradas e Saídas da Atividade Modelagem do Estado Atual
Diagrama da Visão Global dos Processos.
Modelo que representa o estado atual do
processo.
Documentação relacionada com o
processo modelado, incluindo: (a) as
informações que estão relacionadas no
Quadro 4.3; (b) as métricas, o
Processos Críticos Selecionados.
desempenho, os prazos e os artefatos
entregáveis, do atual processo; (c) o que
precisa melhorar no atual processo; (d)
quais os itens mais relevantes que podem
ter suas melhorias implementadas
rapidamente.
(ii) Modelar Estado Desejado
A modelagem do estado desejado tem como objetivo propor melhorias no processo
que está sob análise. Essas melhorias são projetadas, considerando as necessidades
encontradas na atividade anterior. Para isso, esta atividade, da fase de projeto, envolve as
tarefas: (i) selecionar as técnicas de melhoria; (ii) modelar processo e; (iii) simular e validar o
modelo proposto. Dentre as técnicas de melhoria que podem ser utilizadas estão:
a.
Melhoria contínua: que busca estabelecer continuamente objetivos e
identificar oportunidades de melhoria, através de análises críticas realizadas
sobre dados do processo, relatórios de auditorias e outras fontes (Barbará et al.
2006);
67
b.
FAST (Fast Analysis Solution Technique): que permite melhorar rapidamente
um processo (em 90 dias), dando retornos imediatos à organização
(HARRINGTON; ESSELING; NIMWEGEN, 1997);
c.
Benchmarking: que permite definir, entender e evoluir criativamente os
processos, por meio do estudo de como as outras organizações desempenham
as mesmas atividades (LUIS; ROSENFELD, 2006).
d.
Redesenho: que procura refinar o processo atual. Esta técnica é aplicável a
processos que não estão produzindo bons resultados (HARRINGTON;
ESSELING; E NIMWEGEN, 1997) e;
e.
Inovação: que consiste em uma abordagem severa de melhoria de processos,
proporcionando uma visão totalmente nova do processo atual (HAMMER;
CHAMPY, 1994).
Cada uma das técnicas apresentadas resulta em melhorias e reduções de custo, tempo e
taxa de erros para o processo. A definição de qual técnica ou combinação de técnicas deve ser
utilizada, dependerá das necessidades da organização e da importância do processo para o
negócio. Desta forma, cada organização, a partir da análise realizada no processo, tomando
como base a importância do mesmo para o negócio e fatores como o tempo de execução e o
custo do processo, além da competitividade que o negócio exige, devem escolher e realizar as
associações de técnicas necessárias para alcançar o resultado almejado para o processo. O
Quadro 4.5 apresenta um estudo comparativo de melhorias (em relação ao processo atual),
proporcionados pelas técnicas (BARBARÁ et al. 2006) (HARRINGTON; ESSELING;
NIMWEGEN, 1997) (LUIS; ROSENFELD, 2006) (HAMMER; CHAMPY, 1994).
Nesta atividade (modelar estado desejado), deve ser realizada a modelagem do
processo que deve ser melhorado, juntamente com simulações para comprovar a eficiência do
modelo de processo proposto. Espera-se obter como resultado desta atividade: (i) o modelo do
estado desejado do processo e a documentação do processo, incluindo os dados das
simulações feitas que comprovem a eficiência do processo melhorado; (ii) o relatório com os
requisitos que precisam ser atendidos, para que o processo modelado funcione adequadamente
e; (iii) o plano de treinamento e capacitação dos usuários, para que o processo funcione com a
configuração modelada. A relação contendo as entradas e saídas relacionadas com esta
atividade estão dispostas no Quadro 4.6.
68
Quadro 4.5 - Comparação do desempenho das técnicas de melhoria de processo
Melhorias e Reduções de custo,
tempo de ciclo e taxa de erro
Técnica de otimização
Melhoria Contínua
FAST
Benchmarking
Redesenho
Inovação
5% a 10%
5% a 15%
20% a 50%
30% a 60%
60% a 90% (custo e tempo) / 40% a
70% (taxa de erros)
Fonte: Baldam et al. (2010)
Quadro 4.6 - Entradas e Saídas da Atividade Modelagem do Estado Desejado
Modelo que representa o estado atual do processo.
Modelo que representa o estado desejado do
processo.
Documentação relacionada com o processo modelado,
incluindo: (a) as informações que estão relacionadas no
Quadro 4.3; (b) as métricas, o desempenho, os prazos e
os artefatos entregáveis, do atual processo; (c) o que
precisa melhorar no atual processo; (d) quais os itens
mais relevantes que podem ter suas melhorias
Documentação relacionada com o processo
otimizado, incluindo os dados das
simulações feitas que comprovem a
eficiência do processo melhorado.
implementadas rapidamente.
Relatório com os requisitos que precisam ser
atendidos para que o processo funcione
adequadamente.
Plano de Treinamento e Capacitação dos
Usuários.
4.2.3 Fase de Implantação
Esta fase é responsável pela implantação dos processos que foram modelados na fase
de projeto. As atividades que compõem esta fase são: (i) treinar e capacitar os usuários e; (ii)
implantar processo.
69
(i) Treinar e capacitar os usuários
Esta atividade tem como objetivo fornecer os treinamentos e documentos (manuais)
necessários para que o processo seja executado com eficiência, pelos seus usuários, e se
traduza nos benefícios projetados. Esta atividade também engloba a divulgação do novo
processo dentro da organização, para que toda a empresa fique ciente do funcionamento do
processo. As entradas e saídas relacionadas com esta atividade estão dispostas no Quadro 4.7.
Quadro 4.7 - Entradas e Saídas Relacionadas com as Atividades da Fase de Implantação
Modelo que representa o estado desejado
do processo.
Treinamentos dos Usuários
processo otimizado, incluindo os dados
das simulações feitas que comprovem a
Plano de Divulgação do Novo Processo.
eficiência do processo melhorado.
Relatório com os requisitos que precisam
ser atendidos para que o processo
funcione adequadamente.
Usuários.
(ii) Implantar processo
A implantação coloca em prática o que foi definido na fase de projeto. É uma fase
crítica, pois é nela que o processo será executado pelos usuários, cujos impactos negativos e
positivos, provenientes das mudanças realizadas, serão avaliados no ambiente de operação da
organização.
A implantação do processo pode ser tratada como um projeto em particular, podendo
ser gerenciada, através das boas práticas do Project Management Institute (PMI) (PMI, 2008).
As implantações dos processos podem exigir a criação de subprojetos para configuração,
personalização ou criação de sistemas de informações específicos, para o processo em
implantação, apesar da execução de um processo não exigir obrigatoriamente esses sistemas,
embora a sua utilização favoreça o desempenho e produtividade do processo. As entradas e
saídas relacionadas com esta atividade estão dispostas no Quadro 4.8.
70
Quadro 4.8 - Entradas e Saídas Relacionadas com as Atividades da Fase de Implantação
Modelo que representa o estado desejado
do processo.
Processo implantado e em execução.
processo otimizado.
Relatório com os requisitos que precisam
ser atendidos para que o processo
funcione adequadamente.
Usuários.
Treinamentos dos Usuários.
4.2.4 Fase de Monitoramento e Controle
Esta fase se propõe a realizar o monitoramento, controle e avaliação dos resultados dos
processos que estão implantados. A partir dos resultados obtidos e após sua devida análise,
esta fase pode fazer com que ocorram ajustes na visão global dos processos e nos processos
que já foram implantados, fornecendo uma realimentação para as fases de entendimento do
negócio e projeto (Figura 4.2). As atividades que compõem esta fase são: (i) monitorar e
controlar o processo e; (ii) avaliar os resultados.
(i) Monitorar e controlar o processo
Esta atividade realiza o constante monitoramento e controle dos processos que foram
implantados, proporcionando aos tomadores de decisão uma maior segurança em relação à
correção de possíveis desvios de metas, que podem ocorrer durante a execução do processo. A
relação contendo as entradas e saídas relacionadas com esta atividade estão dispostas no
Quadro 4.9.
Quadro 4.9 - Entradas e Saídas Relacionadas com a Atividade Monitorar e Controlar Processo
Monitoramento e controle dos processos
implantados.
71
(ii) Avaliar os resultados
Esta atividade foca na avaliação dos resultados obtidos com o monitoramento e
controle dos processos em execução. A partir das avaliações realizadas é possível fornecer aos
tomadores de decisões, informações sobre o comportamento dos processos, que possibilitam
analisar se esses processos estão conforme o esperado e se atendem as estratégias da
organização. Técnicas como, por exemplo, o BSC (Balance Scorecard) (KAPLAN;
NORTON, 1997) oferecem uma visão do desempenho geral e mostra se a organização esta na
direção desejada ou se ajustes nas metas, processos ou até mesmo na estratégia são
necessários. A relação contendo as entradas e saídas relacionadas com esta atividade estão
dispostas no Quadro 4.10.
Quadro 4.10 - Entradas e Saídas Relacionadas com a Atividade Avaliar Resultados
Relatório contendo as informações sobre o
comportamento dos processos, que
permitem o acompanhamento dos
processos que estão em execução.
4.3
CAMADA DE IMPLANTAÇÃO DA GOVERNANÇA DE TI
Esta camada aborda os aspectos relacionados com o gerenciamento de processos de TI
e a implantação da governança de tecnologia da informação. Para isso, é proposto um modelo
de implantação da governança TI que utiliza as boas práticas do COBIT e do ITIL. A Figura
4.5 ilustra a organização desta camada. As fases que a compõe são:
(i) Identificação das Necessidades de Negócio e de TI: tem como objetivo identificar as
necessidades de negócio e de TI e selecionar os processos que devem ser
reorganizados dentro da organização, baseado nas prioridades de negócio e riscos de
TI na empresa;
(ii) Avaliação e Diagnóstico: fornece a solução para as necessidades da área TI, com base
nos processos críticos selecionados através das metas de TI e das metas de negócio;
(iii) Planejamento dos Projetos de Melhorias: visa organizar e definir os projetos que
devem estar alinhados com o negócio da organização, para implementação da
governança de TI, com base nas melhorias propostas pela fase de avaliação e
diagnóstico;
72
(iv) Execução dos Projetos de Melhorias: se propõe a executar os projetos de melhoria
que foram criados na fase anterior e a avaliar os resultados da implantação da
governança de TI.
Inicialmente, para que os objetivos das duas primeiras fases sejam alcançados, o
modelo de implantação da TI utiliza o COBIT. O ITIL será inicialmente utilizado na atividade
de análise de GAP (que será explicada mais adiante no texto) que pertence à fase de avaliação
e diagnóstico da camada de implantação da governança de TI. Posteriormente, nas fases de
planejamento e execução, o ITIL será usado para realizar as definições dos projetos de
melhorias e implementar esses processos. No entanto, nas fases de planejamento e execução
dos projetos de melhorias, o COBIT, também, deverá ser utilizado como referência, para
abordar as questões relacionadas com os objetivos e práticas de controle associadas aos
processos de TI, que fazem parte dos projetos de melhoria. A Figura 4.5 ilustra a estrutura da
camada de implantação da governança de TI.
Figura 4.5 - Camada de Implantação da Governança de TI
4.3.1 Fase de Identificação das Necessidades de Negócio e de TI
Nesta fase é realizada a identificação das metas da área de TI e das metas de negócio,
obtidas, através da análise do planejamento estratégico da empresa em conjunto com outros
documentos como, por exemplo, o Balance Scoredcard (BSC) (KAPLAN; NORTON, 1997).
É relevante ressaltar que as atividades relacionadas com a obtenção do planejamento
estratégico e do BSC da empresa se encontram fora do escopo do modelo proposto neste
73
trabalho. Nesta fase acontece a seleção dos processos de TI, levando em consideração a área
de atuação da empresa e avaliação dos riscos de tecnologia da informação. É importante que
a área de TI tenha o apoio da alta administração da empresa, em razão dos conflitos de
interesses e falta de compreensão das metas que podem ocorrer. Esta fase é composta por 03
atividades, que serão vistas em detalhes nas subseções seguintes.
(i) Definir Metas
Esta atividade compreende a identificação das metas de negócio e das metas de
tecnologia da informação. As metas de TI são selecionadas a partir das metas de negócio, que
satisfazem a estratégia corporativa da empresa. Com isso, as metas de tecnologia da
informação, tornam-se parte de uma estratégia da área de TI que esta alinhada com a
estratégia corporativa para satisfazer os objetivos de negócio da empresa. O COBIT é usado
nesta atividade para fazer o mapeamento entre as metas de negócio corporativas da
organização (resultado do planejamento estratégico e da utilização de técnicas como, por
exemplo, o BSC) e as metas de negócio propostas pelo próprio COBIT (ITGI, 2007a), além
de promover o mapeamento das metas de negócio com as metas de TI e os seus processos. Os
Quadros 4.11 e 4.12 mostram os documentos que mapeiam as metas de negócio do COBIT
(que representam o que o negócio espera da tecnologia da informação) e as metas de TI (que
representam os objetivos que a área de tecnologia da informação deve satisfazer para suportar
as metas de negócio), além dos respectivos processos relacionados com as metas de
tecnologia da informação.
É possível observar, no Quadro 4.11 que para cada meta de negócio existe uma de
tecnologia da informação associada. Por exemplo, a meta de negócio 01 (Prover um retorno
de investimento adequado para os investimentos de TI relacionados aos negócios), está
associada à meta de tecnologia da informação de número 24. Já o Quadro 4.12, apresenta a
descrição da meta 24 (Aprimorar a eficiência dos custos de TI e sua contribuição para
lucratividade do negócio), relacionando os processos de TI que contribuem para a realização
da mesma. É importante ressaltar que, segundo Pinheiro (2009), as metas de negócio não
representam todas as possibilidades de metas, mas sim as mais relevantes que podem impactar
na área de tecnologia da informação de uma organização.
Nesta atividade, é importante entender o relacionamento que existe entre as metas de
negócio e as metas de TI. Pois, somente assim será possível descrever como a área de
tecnologia da informação irá contribuir para: (i) entregar mais valor para o negócio da
empresa; (ii) deixar os atuais processos de negócio eficientes; (iii) dar suporte para novos
processos de negócio; (iv) permitir que a empresa se torne mais eficiente (v) gerenciar melhor
74
os riscos e; (vi) estar em conformidade com exigências legais e conformidades regulatórias,
além de conseguir o alinhamento estratégico entre o negócio e a TI. As tarefas para execução
desta atividade são: (i) analisar o plano estratégico da organização, juntamente com os
documentos derivados, e.g. o BSC da empresa; (ii) identificar as metas de negócio voltadas
para TI a partir da derivação feita no planejamento estratégico e BSC da organização e; (iii)
identificar as metas de TI relacionadas com as metas de negócio.
Quadro 4.11 - Mapeamento das metas de negócio e TI
Fonte: ITGI (2007a)
75
Quadro 4.12 - Mapeamento das metas e processos de TI
Fonte: ITGI (2007a)
76
Ao final desta atividade, deverá ser gerado um documento contendo uma lista dos
documentos analisados, as metas de negócio identificadas a partir da análise dos documentos
fornecidos e as metas de TI que contribuirão para agregar mais valor para o negócio. As
Quadro 4.13 - Entradas e Saídas Relacionadas com a Atividade de Definir Metas
Plano Estratégico
Lista dos documentos analisados.
Mapa Estratégico (BSC)
Metas de Negócios.
Outros documentos que possam ajudar na
identificação das metas.
Metas de TI.
(ii) Selecionar Processos
Esta atividade tem como objetivo, selecionar os processos de TI críticos para o
negócio da organização, dentre os processos que se relacionam com as metas de TI
encontradas na atividade anterior. As metas de TI selecionadas devem fazer parte de uma
estratégia de TI que, por sua vez, deve estar alinhada com a estratégia corporativa para
satisfazer os objetivos de negócio da empresa. Após identificar as metas de TI que satisfazem
as metas de negócio, é possível identificar os processos associados, que vão garantir que a
meta de TI seja satisfeita. Nesta etapa, deve-se selecionar somente os processos que estão
relacionados com o negócio da organização e que têm relação direta com as metas de TI
identificadas. Com isso, fica evidente que não é preciso implantar ou melhorar todos os
processos que se relacionam com uma determinada meta de TI para que a mesma seja
satisfeita.
Após a seleção dos processos que devem ser melhorados ou implantados dentro da
organização, é necessário selecionar os indicadores de objetivos, medidas de resultado,
recursos de TI afetados, além dos objetivos de controle necessários para satisfazer cada um
dos processos selecionados. É importante observar, que os indicadores de objetivos e medidas
de resultado fazem parte das métricas de TI, processos e atividades. Ao final desta atividade a
empresa deve ter documentado todos os processos selecionados, juntamente com seus
respectivos objetivos de controle. Também devem ser documentados os recursos de TI
afetados pelo processo, juntamente com os indicadores selecionados.
77
Outras informações que também podem ser registradas, são as relacionadas com as
entradas, que são importantes para que os processos sejam iniciados, e saídas que os
respectivos processos irão gerar. As entradas e saídas relacionadas com esta atividade estão
Quadro 4.14 - Entradas e Saídas Relacionadas com a Atividade de Selecionar Processos
Relação dos processos selecionados,
Metas de Negócios.
juntamente com os seus objetivos de
controle.
Metas de TI.
Recursos de TI que são afetados por cada
processo selecionado.
Entradas e Saídas geradas por cada
processo selecionado.
(iii) Identificar e Avaliar Riscos
Esta atividade tem como principal objetivo a identificação de riscos de tecnologia da
informação, relacionados com a empresa, que podem afetar a implantação da governança de
TI. Para isso, é necessário entender como a administração da empresa trata dos assuntos
referentes a riscos para identificar o perfil de tratamento de risco da empresa, pois isso pode
variar em cada empresa, indo de perfis mais cautelosos até perfis mais agressivos. Sendo
assim, avaliar documentações relacionadas a incidentes e a política de gerenciamento de
riscos podem ajudar na identificação do perfil de riscos da empresa. Uma vez identificado este
perfil, os riscos relacionados com as metas de negócio e com as metas e processos de TI
precisam ser encontrados.
Deve-se analisar e documentar todas as ameaças e vulnerabilidades relevantes, além
de seus respectivos impactos sobre os serviços que são entregues pela área de TI da empresa e
que têm relações com as metas de negócios e com as metas e processos de TI que foram
selecionados (ITGI, 2007b). Essa análise das ameaças e vulnerabilidades deve levar em conta:
(i) o relacionamento da área de TI para com os serviços providos, com fornecedores e
contratos; (ii) as habilidades e capacidades operacionais de TI; (iii) o histórico de incidentes e;
(iv) a complexidade do ambiente de TI da organização, referentes aos serviços e recursos
críticos. Para isso, devem ser avaliados alguns documentos, e.g. o plano de continuidade de
78
serviços de TI, as análises de impactos realizadas, a política de gerenciamento de riscos da
empresa, os planos de gerenciamento de risco dos principais projetos da empresa, os acordos
de níveis de serviço, se estiverem documentados, ou qualquer outra documentação, associada
aos projetos, processos e serviços de TI, relacionados com o negócio da empresa, que permita
a identificação de vulnerabilidades, ameaças e riscos que sejam relevantes.
Após identificar os riscos relacionados com os serviços entregues, pela organização de
TI da empresa, e que tem relação com as metas de negócio e com as metas e os processos de
TI selecionados, deve-se identificar e relacionar os riscos referentes à implantação da
governança de TI, no que se refere aos novos desenvolvimentos e atividades executadas na
implantação da governança de TI. Esta análise e identificação de riscos devem considerar: (i)
a capacidade da empresa em efetuar as mudanças necessárias para perceber os benefícios da
implantação da governança de TI; (ii) a metodologia de gerenciamento de projeto utilizada;
(iii) o orçamento destinado à implantação e; (iv) a adequação das metodologias e práticas de
gerenciamento de risco, caso seja necessário. Após os riscos terem sido identificados, deve-se
definir como os mesmos serão tratados. Esta definição deve considerar o plano de
gerenciamento de riscos, que definirá como os riscos, relacionados com a implantação da
governança de TI, serão gerenciados.
Deve-se documentar como será realizado o gerenciamento de riscos e registrar todos
os riscos identificados durante esta atividade e no decorrer da implantação. As tarefas para
concluir com êxito esta atividade são: (i) identificar o perfil de tratamento de risco da
empresa; (ii) definir o plano de gerenciamento de riscos; (iii) identificar os riscos relacionados
com os serviços de TI entregues pela área de TI da empresa, e que tem relação com as metas
de negócio e com as metas de TI e processos selecionados; (iv) identificar os riscos que estão
relacionados com os novos desenvolvimentos e atividades que serão executadas na
implantação de governança de TI; e (v) definir o tratamento que vai ser dado aos riscos
encontrados. Este tratamento deve estar de acordo com o plano de gerenciamento de riscos
criado para a implantação da governança de TI.
Para finalizar a fase de identificação das necessidades de negócio e de TI, é necessário
definir o plano de implantação da governança de TI, que contém a estrutura organizacional da
equipe de implantação, juntamente com seus papéis e responsabilidades. É importante criar
uma equipe multidisciplinar, com pessoas que tenham expertise na área do negócio e na área
de TI e que promovam a implantação da governança de TI com eficiência. No plano de
implantação se faz necessário definir o prazo estimado para a sua conclusão, seus marcos,
79
objetivos e entregas. As entradas e saídas relacionadas com esta atividade estão dispostas no
Quadro 4.15.
Quadro 4.15 - Entradas e Saídas Relacionadas com a Atividade de Identificar e Avaliar Riscos
Plano de Implantação da Governança de
TI (relaciona-se com todo o processo de
Metas de Negócio.
implantação da governança de TI e não
somente com esta atividade).
Metas de TI.
Plano de Gerenciamento de Riscos.
Processos Selecionados.
Lista de Riscos.
Política de Gerenciamento de Risco da
Empresa.
Plano de Resposta a Riscos.
Relatório contendo todas as ameaças e
Plano de Gerenciamento de riscos dos
vulnerabilidades, juntamente com os seus
projetos da empresa.
respectivos impactos nos serviços de TI da
empresa.
Plano de Continuidade de Serviços de TI.
Documentos relacionados com os últimos
incidentes de serviços de TI.
4.3.2 Fase de Avaliação e diagnóstico
Esta fase tem como principal objetivo, avaliar e diagnosticar as necessidades da área
de TI, com base nos processos críticos que foram selecionados através das metas de TI e das
metas de negócio. Isto é realizado para entender a situação atual e quais os objetivos futuros
que a organização deseja para esses processos, considerando a distância entre o estado atual e
o estado desejado e as prioridades do negócio. Está fase está divida em 03 atividades que
serão vistas a seguir.
(i) Avaliar situação atual
Esta atividade tem como objetivo, avaliar a maturidade atual dos processos que foram
selecionados na fase de identificação e análise das necessidades de negócio e de TI (Seção
4.3.1). Ela é responsável pelo entendimento de como esses processos, estão sendo executados
e gerenciados dentro da empresa. O COBIT é usado nesta atividade, por meio do seu modelo
80
de maturidade. Através desse modelo de maturidade, é possível medir o estágio atual dos
processos selecionados e estabelecer uma visão de possíveis melhorias para esses processos.
Esta atividade identifica o estágio atual dos processos selecionados. Uma prática
adotada para realizar essa identificação é confrontar os requisitos do nível de maturidade que
se está avaliando, com os objetivos de controles (relevantes para tais requisitos) que estão
implementados no processo sob avaliação. A utilização dessa prática é mais comum a partir
do nível 03 de maturidade (discutido na Seção 2.2), quando o processo já se encontra definido
e documentado. Para realizar esta atividade, é importante ter o conhecimento das práticas de
controle que estão associadas ao objetivo de controle do processo, com a finalidade de
comprovar se o objetivo de controle especificado possui os atributos necessários para estar
implantado. De um modo geral, documentos comprobatórios como a descrição do processo
avaliado, padrões e procedimentos adotados, por este processo, e especificações técnicas,
serão solicitados pelo avaliador, para determinar se o processo está suportando os objetivos de
controle e as práticas de controle associadas ao mesmo. Caso o processo não satisfaça todos
os requisitos do nível de maturidade, o processo deve receber a nota do nível de maturidade
inferior. As entradas e saídas relacionadas com esta atividade estão dispostas no Quadro 4.16.
(ii) Definir Situação Ideal
Esta atividade tem como principal objetivo, estabelecer o nível de maturidade ideal
para os processos críticos que foram selecionados na fase de identificação e análise das
necessidades de negócio e de TI, da camada de implantação da governança de TI, visando a
melhoria e evolução dos processos selecionados. Essa definição, do nível de maturidade ideal,
deve ser feita, levando em consideração a importância do processo de TI para o negócio e
para a área de TI da empresa e as entradas e saídas obtidas e geradas pelo processo analisado.
Pode-se também, realizar um benchmarking para analisar os níveis de maturidade atual do
processo, que está sendo analisado, nas empresas que atuam no mesmo segmento de mercado,
para que a empresa tenha um comparativo externo, para fins de análises e tomada de decisões.
81
Quadro 4.16 - Entradas e Saídas Relacionadas com a Atividade de Avaliar Situação Atual
Relatório contendo o nível de maturidade
atual dos processos selecionados,
Metas de Negócio.
juntamente com as informações que,
depois de compiladas, comprovam esse
nível.
Metas de TI.
Documentação dos processos.
Algumas vezes, um processo pode apresentar um alto nível de maturidade e estar com
um desempenho ruim (PINHEIRO, 2009). Nesses casos, antes de sugerir um aumento do
nível de maturidade a fim de melhorar o desempenho do processo avaliado, é importante
analisar as entradas (documentos, relatórios etc.) do processo, para ter a certeza de que o
problema está no processo em análise. É preciso constatar, se o problema é no processo ou na
entrada que o processo está recebendo, ou seja, o problema pode estar em outros processos
que geram como saídas, informações de baixa qualidade, ou nas informações que a empresa
(negócio) passa para o processo em análise.
Outro aspecto relevante, antes de definir o nível de maturidade ideal para um
determinado processo, é que em algumas vezes o processo não precisa estar em um nível
superior de maturidade para todos os serviços fornecidos, mas apenas para alguns serviços.
Um exemplo disso pode ser visto no processo DS5 do COBIT (ITGI, 2007a), que trata da
segurança nos sistemas de informações. É possível que sistemas críticos, para o negócio da
empresa, precisem estar em um nível de maturidade elevado, mas por outro lado, sistemas
mais simples, e que servem de apoio, talvez não precisem estar em níveis de maturidade tão
elevados. Sendo assim, um processo que às vezes possui uma maturidade baixa deve ser
apenas melhorado para atender as necessidades dos serviços críticos para o negócio.
É importante observar também, que para o processo passar do nível de maturidade 02,
por exemplo, para o nível 05, todas as exigências pertencentes aos níveis de maturidade 03 e
04, além das exigências propostas pelo nível 05 devem ser atendidas. Outro fator que deve ser
considerado, quando se estiver definindo o nível de maturidade desejado, é o benefício que
este novo nível vai gerar para a empresa, pois nem sempre um determinado nível de
82
maturidade se traduz em benefícios para a organização. O custo para uma empresa aumentar o
seu nível de maturidade, e se manter nele, é alto, portanto, deve-se observar se o retorno que a
empresa vai obter compensa o custo que ela vai ter. Uma das formas de se verificar isso é
analisando o nível de risco que a empresa pode ter em um determinado processo, e isso vai
variar de acordo com a importância que o processo de TI tem para o negócio da empresa.
As tarefas necessárias para encontrar o nível de maturidade ideal de um determinado
processo de TI são: (i) analisar a importância do processo de TI para o negócio da empresa,
identificando o nível de risco que a empresa pode ter no processo que esta sendo analisado;
(ii) analisar o desempenho do processo em relação a sua maturidade atual, verificando as
entradas e saídas do processo; (iii) verificar se o processo precisa ser melhorado de maneira
geral ou apenas para determinados tipos de serviços e; (iv) analisar o nível de maturidade
atual do processo em relação ao nível de maturidade do mesmo processo em empresas que
atuam no mesmo segmento de mercado. As entradas e saídas relacionadas com esta atividade
estão dispostas no Quadro 4.17.
Quadro 4.17 - Entradas e Saídas Relacionadas com a Atividade de Avaliar Situação Ideal
Ideal dos processos selecionados,
nível.
Entradas e Saídas de cada processo.
Pesquisa de Benchmarking.
atual dos processos selecionados,
nível.
(iii) Analisar o GAP
Esta atividade tem como principal objetivo, analisar o nível de maturidade atual dos
processos selecionados em relação ao nível de maturidade ideal, traduzindo em oportunidades
83
de melhorias, para os processos, a diferença (GAP) que existe entre os dois níveis de
maturidade. Para isso, deve-se determinar para cada um dos processos analisados, a causa dos
problemas, os riscos existentes, as questões comuns relacionadas e as boas práticas e padrões
que podem estar contribuindo para eliminar a diferença existente entre o nível de maturidade
atual e o ideal para um determinado processo de TI.
Para assegurar que esta atividade será realizada de maneira eficiente, os gestores dos
processos devem estar envolvidos e, caso seja necessário, deve-se contratar especialistas em
governança de TI para ajudar nesta tarefa. Deve-se levar em consideração que todos os riscos
relacionados com os processos de TI selecionados, que não puderem ser mitigados, devem ser
formalmente informados para que sejam aceitos. Para realizar esta atividade, precisa-se
analisar toda a documentação produzida até o momento, focando nas documentações que
tratam dos riscos, seleção de metas e processos. O principal objetivo desta atividade é
selecionar todos os objetivos de controle necessários para estar satisfazendo o nível de
maturidade ideal para o processo, juntamente com as suas práticas de controle relacionadas.
Devem-se analisar quais objetivos de controle, relacionados com o nível de
maturidade ideal do processo, são necessários para que se obtenha um controle eficaz do
processo, satisfazendo, com isso, o nível de maturidade desejado. Para isso, deve se utilizar as
práticas de controle do COBIT, que determinam o que deve ser feito para alcançar os
objetivos de controle, identificando os riscos que podem ser mitigados e os benefícios que
podem ser alcançados com a implantação dos objetivos de controle (ITGI, 2007c). Mas, para
executar o que as práticas de controle sugerem, é necessário utilizar uma estrutura que permita
reorganizar os processos, para obter os benefícios e mitigar os riscos encontrados nas práticas
de controle do COBIT. Essa estrutura é fornecida pelo ITIL, que define como a área de TI
deve fazer o que as práticas de controle sugerem para alcançar os objetivos de controle,
fornecendo, assim, o controle necessário para a execução eficiente do processo. As tarefas
para executar com êxito esta atividade são: (i) identificar os objetivos de controle necessários
para satisfazer o nível de maturidade desejado; (ii) identificar as práticas de controle
necessárias para se alcançar os objetivos de controle; (iii) identificar os padrões ou melhores
práticas que serão adotados para realizar as práticas de controle (no caso deste trabalho será
adotado o ITIL); (iv) identificar os riscos que podem ser mitigados e os que vão ser aceitos; e
(v) identificar os benefícios a serem obtidos com a implantação da melhoria nos processos.
Deve ser feito um registro com todas as melhorias encontradas, seus benefícios para o
negócio e para a TI, e os riscos que a empresa pode mitigar, implantando essas melhorias. As
84
Quadro 4.18 - Entradas e Saídas Relacionadas com a Atividade de Análise de GAP
Objetivos de Controles, que são necessários
para satisfazer o nível de maturidade ideal de
cada processo.
Entradas, Saídas e Recursos Afetados de
Práticas de Controles necessárias para
cada processo.
alcançar os objetivos de controle.
Padrões e boas práticas que podem ser
Metas de negócios e de TI.
utilizados para satisfazer as práticas de
controle.
atual dos processos selecionados.
Riscos que podem ser mitigados, com a
implantação do processo no nível de
maturidade ideal, e os que vão ser aceitos.
Benefícios obtidos com a implantação do
Ideal.
processo no nível de maturidade ideal.
Lista de Riscos
4.3.3 Fase de Planejamento dos Projetos de Melhorias
Esta fase se propõe a planejar os projetos de melhorias dos processos de TI, que estão
alinhados com o negócio da empresa, para implantar a governança de TI com base nas
melhorias propostas pela atividade de análise de GAP, realizada na fase de avaliação e
diagnóstico, na Seção 4.3.2. Essas melhorias são projetadas e executadas através das boas
práticas do ITIL, levando em consideração os objetivos e práticas de controle do COBIT. Esta
fase é composta por 02 atividades: (i) definir projetos de melhorias e; (ii) desenvolver plano
de ação. Estas atividades serão descritas em detalhes nas subseções seguintes.
(i) Definir Projetos de Melhoria
Esta atividade visa transformar as melhorias, propostas na fase de avaliação e
diagnóstico, discutida na Seção 4.3.2, em projetos que serão posteriormente executados. Essas
melhorias são o conjunto dos objetivos de controle, práticas de controle e melhores práticas
do ITIL que foram relacionadas na fase de avaliação e diagnóstico, para atingir o nível de
maturidade desejado pela organização, considerando os riscos e benefícios provenientes da
implantação dos projetos de melhoria.
85
Uma vez que, todas as oportunidades de melhoria, associadas com os processos de TI,
estiverem relacionadas, as mesmas devem ser traduzidas em projetos de melhorias (ITGI,
2007b). Para isso, é relevante agrupar as melhorias, tomando como base os processos de TI,
aos quais essas melhorias pertencem, definindo assim os projetos de melhoria de cada
processo.
Uma vez que os projetos de melhorias estejam definidos, é importante analisar quais
trarão os maiores benefícios para a empresa e que serão mais fáceis de executar. Desta forma,
deve-se analisar os benefícios e a facilidade de implantação de cada melhoria relacionada com
o projeto, levando em consideração o custo, o esforço, os recursos necessários, e os riscos
relacionados. Caso o projeto apresente uma difícil execução, o mesmo pode ser dividido em
projetos menores para facilitar a implantação das melhorias. A importância que o processo
tem para o negócio da organização também deve ser considerada como critério de análise.
Com isso, pode-se definir o nível de impacto dos projetos e, consequentemente, a prioridade
que deve ser atribuída ao mesmo. É relevante observar que um projeto de melhoria, deve
possuir uma prioridade associada e esta precisa ser baseada na análise feita nos aspectos
relacionados com o custo, prazo, importância do projeto para o negócio e benefícios que serão
gerados. Após esta análise, os projetos aprovados seguirão para a próxima atividade.
Os projetos que não forem aprovados, para serem executados, devem ter todas as suas
informações, incluindo as da sua reprovação, registradas para servir como uma base de dados
de oportunidades futuras e para poderem ser analisadas no momento em que a empresa achar
conveniente. Em toda a fase de planejamento dos projetos de melhorias, pode-se utilizar as
melhores práticas de gerenciamento de projetos sugeridas pelo PMI, para se obter um melhor
resultado nos projetos realizados. Devem-se registrar as informações da análise realizada em
cada melhoria (estimativas, riscos, benefícios etc.), além das informações pertinentes aos
projetos que não forem aprovados. As entradas e saídas relacionadas com esta atividade estão
86
Objetivos de Controles, que são
necessários para satisfazer o nível de
maturidade ideal de cada processo.
Documento da análise das melhorias
propostas agrupadas por processo de TI.
Práticas de Controles necessárias para
Documento contendo o registro dos
alcançar os objetivos de controle.
projetos não aprovados.
Padrões e boas práticas que podem ser
Relação dos projetos aprovados,
utilizados para satisfazer as práticas de
juntamente com as suas prioridades de
controle.
execução.
Riscos que podem ser mitigados, com a
implantação do processo no nível de
maturidade ideal, e os que vão ser aceitos.
Benefícios obtidos com a implantação do
processo no nível de maturidade ideal.
Relação das melhorias que poderão ser
implantadas.
(ii) Desenvolver Plano de Ação
Esta atividade define a sequência na qual os projetos aprovados serão executados. Essa
sequência pode ser definida levando em consideração a prioridade que cada projeto obteve na
atividade anterior.
Outro fator relevante nesta atividade é a importância que as métricas de processo e de
atividades têm para assegurar que as melhorias, relacionadas com o processo, estão atingindo
os seus objetivos. As entradas e saídas relacionadas com esta atividade estão dispostas no
Quadro 4.20.
87
Documento da análise das melhorias
propostas agrupadas por processo de TI.
Documento contendo o registro dos
projetos não aprovados.
Plano de Execução dos projetos.
Relação de Métricas de processo e
atividade de cada processo que terá suas
melhorias implantadas.
Relação dos projetos aprovados
juntamente com as suas prioridades de
execução.
4.3.4 Fase de Execução dos Projetos de Melhoria
Esta fase se propõe a realizar a implementação dos projetos de melhoria, utilizando
para isso as boas práticas do ITIL e as considerações das práticas de controle do COBIT.
Além disso, esta fase também visa avaliar os resultados obtidos com a implantação da
governança de TI. Nesta fase, pode-se utilizar as boas práticas de gerenciamento de projetos
do PMI, para assegurar que os resultados desejados para os negócios sejam obtidos, através da
execução dos projetos de melhoria. Esta fase é composta por 02 atividades, executar projetos
de melhoria e avaliar resultados. Estas atividades serão descritas em detalhes nas seções
seguintes.
(i) Executar Projetos de Melhoria
Esta atividade consiste na execução dos projetos de melhoria que foram aprovados na
fase de planejamento dos projetos de melhoria, Seção 4.3.3, de acordo com a sequência
definida pela priorização de projetos. Toda a implementação dos projetos de melhoria deve
utilizar as boas práticas do ITIL, para que os processos que estão sendo melhorados ou
implantados sejam reorganizados ou estruturados de maneira eficiente. Esta atividade também
é responsável por adquirir e/ou desenvolver, testar e executar soluções de software que
melhor satisfazem aos objetivos dos projetos de melhorias, para que no final os objetivos da
implantação da governança de TI sejam alcançados. As entradas e saídas relacionadas com
esta atividade estão dispostas no Quadro 4.21.
88
Quadro 4.21 - Entradas e Saídas Relacionadas com a Atividade Executar Projetos de Melhoria
Implantação das melhorias relacionadas
Plano de Execução dos projetos.
com cada um dos processos que estão
associadas aos projetos.
Relação de Métricas de processo e
atividade de cada processo que terá suas
melhorias implantadas.
(ii) Avaliar Resultados
Esta atividade se propõe a avaliar e registrar as experiências e os resultados obtidos
com a implantação da governança de TI. Esta atividade permite que a organização avalie o
que a implantação da governança de TI proporcionou, comparado com as expectativas dos
envolvidos. Essa avaliação pode ser feita através de workshops, pesquisas de satisfação e
entrevistas (ITGI, 2007b). Através desta avaliação é possível identificar novas necessidades
de governança de TI para a organização, fornecendo, desta forma, a realimentação para a fase
de identificação das necessidades de negócio e de TI (Figura 4.5) (Seção 4.3.1).
É relevante também registrar e compartilhar as lições aprendidas, pois, elas contêm
informações importantes que podem ser usadas não só pela equipe de implantação, como
também pelos envolvidos em futuros projetos de melhoria de processos, dentro da
organização. Desta forma, as tarefas para conclusão desta atividade são: (i) realizar avaliações
de satisfação, entrevistas e workshops; (ii) comparar e relatar os resultados obtidos frente ao
que foi inicialmente proposto e; (iii) promover um brainstorming (PINHEIRO, 2009) com
todos os envolvidos na implantação da governança de TI para registrar as lições aprendidas.
As entradas e saídas relacionadas com esta atividade estão dispostas no Quadro 4.22.
Quadro 4.22 - Entradas e Saídas Relacionadas com a Atividade Avaliar Resultados
Relação de Métricas de processo e atividade de
cada processo que terá suas melhorias implantadas.
Relatórios das Pesquisas de Satisfação.
Registro de Lições Aprendidas
89
4.4
CAMADA DE IMPLANTAÇÃO SOA E INTEGRAÇÃO COM A XBRL
Nesta camada é discutida a implantação SOA, incluindo o gerenciamento de riscos e a
sua integração, através de Web Services, com a XBRL, para a emissão de relatórios
financeiros. Para isso, é proposto um modelo de implantação e integração da SOA com a
XBRL, que através de serviços web, se propõe a prover sistemas de informações mais
flexíveis, interoperáveis e alinhados com os processos de negócios, fornecendo uma maior
facilidade de adaptação às mudanças que ocorrem no negócio da organização, além de
fornecer a integração desses serviços com a XBRL.
O modelo de implantação SOA e integração com a XBRL, considera que as seguintes
ações devem ser seguidas para que a empresa alcance um desempenho satisfatório: (i) iniciar
a implementação SOA por um único sistema, pequeno e simples, de preferência um sistema
que proporcione uma boa migração; (ii) repetir o mesmo processo para outros sistemas, até
que se tenha realizado para toda a organização; e (iii) realizar composições de serviços ao
invés do desenvolvimento de novos sistemas de informações.
A Figura 4.6 ilustra a organização da camada de implantação SOA e integração com a
XBRL. Suas fases serão discutidas nas seções seguintes.
Figura 4.6 - Camada de Implantação SOA e Integração com a XBRL
90
4.4.1 Fase de Identificação das Necessidades Organizacionais
Esta fase tem como objetivo, avaliar o contexto atual da organização, além de
identificar os elementos que se transformarão em serviços SOA e prover o gerenciamento de
riscos. Para isso, esta fase contém as seguintes atividades:
(i)
Avaliar contexto empresarial
Esta atividade tem como objetivo a avaliação do cenário atual da empresa, analisando
os seguintes elementos: (a) os processos de negócios, que já devem estar estruturados e
definidos; (b) os sistemas de informações, que automatizam os processos de negócios e dos
quais serão extraídas as funcionalidades que serão transformadas em serviços e; (c) o modelo
de governança de TI, existente ou definido na Seção 4.2.1, necessário para estruturar e
controlar os processos de TI, que permitirá o uso adequado de recursos para o
desenvolvimento e manutenção das soluções orientadas a serviço. As entradas e saídas
relacionadas com esta atividade estão dispostas no Quadro 4.23.
Quadro 4.23 - Entradas e Saídas Relacionadas com a Atividade Avaliar Contexto Empresarial
Processos de Negócios da Organização.
Relatório de Análise do Cenário Atual da
Empresa.
Sistemas de Informações da Organização.
Modelo de Governança de TI da
Organização.
(ii)
Selecionar Funcionalidades / Componentes
A execução desta atividade produz a seleção de componentes ou funcionalidades dos
sistemas de informações que se transformarão em serviços. As entradas e saídas relacionadas
com esta atividade estão dispostas no Quadro 4.24.
Quadro 4.24 - Entradas e Saídas Relacionadas com a Atividade Selecionar Funcionalidade/Componentes
Processos de Negócios.
Relação dos componentes e/ou funcionalidades
que se transformarão em serviços.
Sistemas de Informações.
91
(iii)
Gerenciar riscos
Esta atividade tem com objetivo, realizar o gerenciamento de risco na implementação
SOA. Esta atividade se divide em duas tarefas: (a) identificar e avaliar riscos na
implementação SOA e; (b) controlar riscos na implementação SOA. Essas tarefas são
detalhadas a seguir:
a)
Identificar e Avaliar Riscos na Implementação da SOA
Esta tarefa identifica e avalia os riscos que estão associados à implementação SOA. O
processo de adoção da SOA está suscetível a algumas ocorrências (riscos) que podem ser
decisivas para sua concepção e devem ser identificadas, pois podem inviabilizar ou paralisar a
implementação da SOA nas organizações.
Uma vez que o perfil de tratamento de riscos da empresa já foi definido na fase de
identificação das necessidades de negócio e de TI (Seção 4.3.1), os riscos relacionados com a
implementação SOA devem ser identificados. A identificação de riscos no processo de
implementação SOA deve avaliar: (i) se a equipe técnica da empresa tem o entendimento do
que é a arquitetura orientada a serviço e tem capacidade técnica para a sua adoção; (ii) as
funcionalidades que serão transformados em serviços SOA; (iii) a capacidade da empresa em
efetuar as mudanças necessárias para perceber os benefícios da implementação SOA; (iv) a
existência de governança de TI e apoio da alta administração; (v) a metodologia de
gerenciamento de processos de negócios utilizada e se existe processos de negócios bem
estruturados e eficientes; (vi) o orçamento destinado a adoção da SOA; (vii) a adequação das
metodologias e práticas de gerenciamento de risco. Uma vez identificados os riscos, deve-se
definir como eles serão tratados.
Algumas situações e questões remetem à importância da empresa realizar a
identificação de riscos, contribuindo para o registro e possível mitigação ou eliminação do
risco (MOREIRA; VIVONE; SILVA, 2011):

A falta de compreensão, por parte das empresas, do que é essa arquitetura e de como
realmente adotá-la, pode resultar em risco para implementação da SOA. É importante
observar que quando a área de TI desenvolve um sistema para atender uma
necessidade específica da área de negócios, ela o faz de maneira satisfatória, em
menores prazos e com custos de desenvolvimento mais baixos, quando comparado
com os modelos de desenvolvimento não orientados a serviços. Mas, por trabalhar
92
com sistemas distribuídos, reusabilidade e acoplamento fraco, a SOA é inicialmente
mais demorada e mais cara, podendo inviabilizar a sua implementação;

Iniciar a adoção da SOA sem ter os processos de negócios da empresa mapeados e
bem definidos, representa um grande risco para organização e, provavelmente, levará a
um final de insucesso. Nesse cenário, o nível de esforço requerido pode aumentar em
relação às vantagens, que serão obtidas com processo de implementação SOA,
especialmente se a falha ocorrer em razão dos processos de negócios serem
complexos, e envolverem várias áreas da organização;

Ainda na fase inicial, a escolha das funcionalidades dos sistemas e processos de
negócio, que se transformarão em serviços (aplicações SOA), é fundamental para a
sequência do processo, pois uma escolha errada pode ocasionar problemas de
reutilização e manutenção dos futuros serviços, representando um risco para as etapas
posteriores do processo de implementação SOA. Essa escolha procura identificar
redundâncias e inconsistências de negócios que existem nos sistemas, para que isso
não seja incorporado nos serviços. As funcionalidades mais solicitadas pelas
aplicações da organização devem ser as primeiras a serem transformadas em serviços
no novo ambiente;

Para desenvolver um projeto, empregando a SOA como estratégia, é necessário
incorporar, desde o seu início, um modelo de governança que ofereça consistência no
desenvolvimento das aplicações. Caso o modelo de governança não seja estabelecido
de forma integral, há risco da implementação SOA não ter sucesso ou consumir muitos
recursos. Isso porque, a adoção da SOA em uma empresa pode criar níveis de
complexidade maiores do que a organização está acostumada a lidar;

No aspecto relacionado com o comprometimento de todos os setores da organização,
existe um grande risco de insucesso, caso não haja o comprometimento da alta
administração (Chief Executive Officer e Chief Information Officer) das empresas. O
suporte desses profissionais deve ocorrer no aporte financeiro e de recursos, no apoio à
mudança de cultura, junto aos demais funcionários e na garantia da continuidade do
processo ao longo dos anos;

Um situação que pode representar um risco para a adoção da SOA, esta associada à
descrição e a prototipação do software na etapa inicial do processo de implementação.
Quando esta prototipação é realizada de maneira superficial, o modelo poderá não
93
descrever todos os componentes básicos da estrutura do software e, com isso, não
identificar todas as funcionalidades que serão geradas, quando os processos de
negócios forem automatizados, resultando em possíveis problemas no processo de
implementação;

A instalação de uma infraestrutura de Web Services ajuda inicialmente, mas não
garante a escalabilidade. Para que a empresa tenha uma arquitetura SOA
implementada, todos os seus 05 componentes básicos (serviços, infraestrutura,
políticas, processos e pessoas) devem estar em pleno funcionamento. Sem esses
componentes a implementação corre risco de insucesso (MARZULLO, 2009);

Não encontrar o equilíbrio correto entre a centralização e a descentralização é uma
possibilidade de risco dessa nova abordagem. Se a organização utilizar uma estrutura
muito centralizada, o processo de implementação SOA tende a se tornar muito lento, o
que pode tornar o negócio da empresa ineficiente e em desvantagem em relação aos
concorrentes de mercado. Caso a tendência seja a descentralização exagerada, os
fundamentos da arquitetura SOA tendem a desaparecer e toda sua implementação é
colocada em risco.
Deve-se documentar como será realizado o gerenciamento de riscos e registrar todos
os riscos identificados durante esta atividade e no decorrer da implementação SOA. Os passos
para executar com êxito esta tarefa são: (i) identificar os riscos relacionados com os serviços
oferecidos pela empresa; (ii) identificar os riscos que estão relacionados com os novos
desenvolvimentos e atividades que serão realizadas na implantação da SOA e; (iii) definir o
tratamento que vai ser dado aos riscos encontrados.
b)
Controlar Riscos na Implementação da SOA
Esta tarefa tem como objetivo fornecer o subsídio necessário para que a empresa
realize o controle de riscos na implementação SOA. A implementação da governança de TI,
por meio da utilização das boas práticas do COBIT e do ITIL, e de um bom gerenciamento de
processos de negócios, através da utilização das boas práticas do BPM, ajuda a entender,
estruturar, manter e evoluir os processos (de TI e de negócios), além de garantir um
comprometimento da alta administração (MOREIRA; VIVONE; SILVA, 2011). O uso dessas
boas práticas contribui para o controle dos riscos e ameaças que podem surgir na
implementação da SOA. Por isso, a necessidade de criar um ambiente corporativo e de TI
através delas.
94
As empresas que desejam evitar e controlar os diversos fatores (organizacionais ou
técnicos) que geram riscos ao processo de adoção da SOA, devem ter um entendimento
singular sobre os seus processos de negócio e de TI e devem possuir o apoio integral da alta
administração, garantindo, com isso, o suporte de todos os departamentos que estão
envolvidos na iniciativa (MOREIRA; VIVONE; SILVA, 2011). A empresa também deve
promover e divulgar todas as informações necessárias para que o processo de implantação
SOA transcorra de uma maneira aceitável (MOREIRA; VIVONE; SILVA, 2011). As entradas
e saídas relacionadas com esta atividade estão dispostas no Quadro 4.25.
Quadro 4.25 - Entradas e Saídas Relacionadas com a Atividade Gerenciar Riscos
Plano de Gerenciamento de Riscos da
Empresa.
Implantação da SOA.
Relação dos componentes e/ou
funcionalidades que se transformarão em
Lista de Riscos.
serviços.
Plano de Resposta a Riscos.
4.4.2 Fase de Implementação
Esta fase se propõe a desenvolver a solução SOA que atenderá e estará de acordo com
as necessidades da organização. Para isso, esta fase contém a seguinte atividade:
(i)
Desenvolver solução SOA e Integrar com a XBRL
Esta atividade está relacionada com a implementação de um ciclo de vida para o
desenvolvimento de softwares, composto pelas atividades de levantamento de requisitos,
análise, projeto, implementação e teste dos serviços. É relevante ressaltar, que na análise e
projeto, sejam considerados os aspectos relacionados com o reuso e integração dos serviços
que irão compor a solução SOA para o negócio. Para realizar a decomposição dos processos
de negócios em serviços de TI, este trabalho irá adotar a abordagem top-down (MARZULLO,
2009), conforme mostra a Figura 4.7. De acordo com esta abordagem, um processo de
negócio pode se decompor em vários subprocessos, que por sua vez se desdobram em
atividades, que se dividem em tarefas. Estas tarefas são automatizadas e transformadas em
serviços web, que são agrupados em módulos que uma vez integrados formam o sistema de
95
informação que automatiza todo o processo de negócio. Nesta atividade ocorre a integração
dos serviços web com a tecnologia XBRL, que será descrita como se segue.
Figura 4.7 - Decomposição de processos de negócios em serviços de TI
Fonte: Adaptado de Marzullo (2009)
Os Web Services representam uma forma de implementar serviços em um arquitetura
orientada a serviços e proveem uma infraestrutura independente de plataforma, facilitando o
desenvolvimento e integração de diferentes tecnologias. Esta atividade, também tem como
objetivo, integrar os Web Services com a linguagem XBRL. Para isso, é apresentado um
modelo arquitetural que ilustra esta integração.
O modelo arquitetural de integração pode ser visto na Figura 4.8, que mostra como
pode acontecer a integração entre a XBRL e os Web Services. É possível observar no modelo
arquitetural que o uso de Web Services serve tanto para formatar os dados com XBRL, quanto
para consolidá-los em relatórios financeiros. Inicialmente, é necessário transformar em
serviços web as funcionalidades dos sistemas que são responsáveis pelas informações que
constarão nos relatórios financeiros que serão emitidos. Isso deve ocorrer, para que os Web
96
Services consigam extrair os dados dos sistemas, colocando-os no formato XBRL para,
posteriormente, através da consolidação destes dados, seja possível criar o relatório
financeiro, realizando, desta forma, a integração entre as duas tecnologias. Uma questão a ser
considerada, neste modelo arquitetural, é que os processos de negócios são os elementos do
modelo arquitetural que direcionam, através das leis e regulamentações a que estão
vinculados, as necessidades dos documentos XBRL que, por sua vez, serão construídos pela
organização, através dos seus Web Services.
Figura 4.8 - Arquitetura de Integração SOA e XBRL
A integração da XBRL com os Web Services ocorre, quando o documento de instância
XBRL é empacotado dentro da mensagem SOAP que será transmitida. Isto acontece após a
definição ou seleção da taxonomia XBRL e a posterior criação do documento de instância
XBRL, de acordo com as necessidades da organização.
97
É importante ressaltar, que a taxonomia definida deve servir como padrão, pois o
documento XBRL deverá ser validado, através dela, durante a sua criação e após o
desempacotamento da mensagem SOAP, com o seu recebimento (e.g. pelo órgão regulador ou
matriz da empresa) para processamento. As entradas e saídas relacionadas com esta atividade
estão dispostas no Quadro 4.26.
Quadro 4.26 - Entradas e Saídas Relacionadas com a Atividade Desenvolver Solução SOA
Serviços Web desenvolvidos e integrados
Empresa.
com a XBRL.
Relação dos componentes e/ou
funcionalidades que se transformarão em
serviços.
Esta fase visa implantar a solução SOA, desenvolvida na fase de implementação desta
camada. Esta fase contém a atividade: implantar solução SOA, que é responsável por colocar
em operação os serviços desenvolvidos na fase anterior.
Caso a primeira tentativa de implantação da SOA não seja satisfatória, a empresa deve
realizar, uma análise dos motivos que levaram ao insucesso, para que os erros cometidos ou
riscos que se concretizaram, durante a tentativa de implantação, possam ser devidamente
corrigidos ou eliminados. Posteriormente, quando a organização estiver mais familiarizada e
confiante com o conceito (SOA), novas tentativas poderão ser executadas. Existe também a
possibilidade do insucesso (da implantação SOA) estar relacionado a outros fatores,
negligenciados na identificação e analise de riscos (Seção 4.4.1. item (iii)), neste caso a
equipe responsável pela implantação SOA deve realizar uma avaliação crítica para identificar
quais fatores levaram a implementação SOA a um desfecho negativo. Após o sucesso da
primeira implantação, a organização deverá estender a sua implementação para outros
sistemas. No entanto, até o final da implantação SOA, os sistemas de informações (Sistemas
legados) e as aplicações SOA irão existir de maneira concomitante. Durante o processo de
adoção da SOA, as políticas de governança da área de TI e de processos de negócio devem
estar totalmente implantadas.
98
Com o amadurecimento da organização, no que se refere ao uso da SOA, espera-se
que os novos projetos se tornem mais rápidos de serem implantados, menos custosos e com
menos problemas de implantação, pois, quanto maior for o nível de reutilização, menor será o
esforço de desenvolvimento e a chance de ocorrência de problemas.
Quando todos os sistemas se encontrarem orientados a serviço, a organização deve
possuir um cenário estabilizado e os serviços devem se encontrar no repositório de serviços da
empresa, não existindo a presença de serviços duplicados. Neste contexto, é importante que
qualquer novo serviço siga o processo de desenvolvimento e as políticas organizacionais
direcionadas para a SOA. A utilização dos serviços, disponibilizados pela empresa, também
deve ser feita por meio do repositório de serviços e com um contrato formal de prestação de
serviços (WALDMAN, 2009).
4.5
Este capítulo apresentou o modelo de governança e gestão de TI. O modelo se divide
em 03 camadas e proporciona a criação de um ambiente corporativo e de TI gerenciável e que
se adequa as mudanças que ocorrem nos requisitos de negócios da organização, incluindo os
requisitos legais e regulamentares. Além disso, o modelo proposto contribui para dar mais
flexibilidade aos sistemas de informações e mais qualidade e confiabilidade à emissão dos
A camada de gestão de processos de negócios mostrou como planejar, avaliar,
otimizar e controlar os processos de negócios da organização, através da utilização das boas
práticas do BPM.
Na camada de implantação da governança de TI foi mostrado como implantar a
governança da área de TI, baseada nas prioridades do negócio e riscos de TI, utilizando para
isso as boas práticas do COBIT e do ITIL. Nesta camada são utilizadas técnicas para
selecionar, analisar e implementar os processos de TI de uma organização. A camada de
gestão de processos de negócios e a camada de implantação da governança de TI contribuem
para a criação do ambiente corporativo e de TI de uma organização. O COBIT, como modelo
de governança de TI, permite medir, controlar e avaliar todos os processos de TI que, por sua
vez, suportam os objetivos de negócio da organização, contribuindo para que a estratégia da
empresa seja alcançada. Já o ITIL contribui, através das suas práticas, para projetar e
estruturar processos de maneira adaptável, deixando-os mais eficientes e controlados dentro
da organização. Dessa forma, pode se observar os efeitos benéficos que a implantação da
governança de TI poderá fornecer para a organização.
99
Na camada de implantação SOA e integração com a XBRL foram discutidos os
aspectos relacionados com a identificação e controle de riscos na implementação da
arquitetura orientada a serviços. Nesta camada foi apresentado um modelo para implantação
da SOA e integração com a tecnologia XBRL, através de Web Services, possibilitando o
provimento de sistemas de informações mais flexíveis, interoperáveis e alinhados com os
processos de negócios, além de melhorar a qualidade e confiabilidade da emissão dos
Com a utilização da XBRL, este modelo contribui para a diminuição da necessidade
de transformação de formato de dados financeiros e para a diminuição do custo de extração de
dados de relatórios financeiros. O risco de erros e, consequentemente, aumento da
confiabilidade das informações financeiras também são alcançados, em razão da diminuição
da necessidade de esforços para transformar e extrair dados de diferentes formatos. Com a
utilização da SOA, o modelo consegue prover aos sistemas de informações mais flexibilidade
às mudanças que ocorrem no negócio da organização.
100
5
EXEMPLO DE USO DO MODELO DE GOVERNANÇA E GESTÃO DE TI
Este capítulo discute a aplicação do modelo de governança e gestão de TI dentro de
uma organização. O objetivo deste capítulo é avaliar o modelo proposto e demonstrar, por
meio de um exemplo de uso, as principais ideias e contribuições discutidas no Capítulo 04.
Devido a complexidade do modelo e às restrições de tempo impostas em um projeto de
mestrado, não foi possível realizar um estudo de caso prático de aplicação do modelo, nem
contemplar, em detalhes, todas as fases e atividades do modelo proposto nesta dissertação.
Desta forma, apenas algumas fases das 03 camadas do modelo foram selecionadas
para serem vistas em detalhes neste exemplo de uso. Na camada de gestão de processos de
negócios, apenas as fases de entendimento do negócio e projeto foram selecionadas, uma vez
que estas representam a parte estratégica da camada e permitem a modelagem e otimização
dos processos de negócios. Já na camada de implantação da governança de TI foram
selecionadas as fases de identificação das necessidades de negócio e de TI e avaliação e
diagnóstico. Estas fases foram escolhidas, em razão delas objetivarem o alinhamento
estratégico entre a TI e o negócio, além da avaliação e definição dos critérios necessários à
estruturação dos processos. A camada de implantação SOA e integração com a XBRL, por
sua vez, teve apenas a fase de desenvolvimento da solução SOA e integração com a XBRL
selecionada, uma vez que é nesta fase que ocorre a integração dos web services com a XBRL.
Este capítulo está organizado da seguinte maneira: inicialmente, a Seção 5.1
contextualiza o cenário da empresa utilizada no exemplo de uso; a Seção 5.2 aplica a camada
de gestão de processos de negócios; a Seção 5.3 discute a implantação da camada de
implantação da governança de TI; já a Seção 5.4 aplica a camada de implantação SOA e
integração com a XBRL; finalmente, a Seção 5.5 descreve a conclusão e considerações finais
deste capítulo.
5.1
CONTEXTUALIZAÇÃO DO EXEMPLO DE USO
A seguir é apresentado um exemplo de uso do modelo de governança e gestão de TI
em uma empresa fictícia que atua na área industrial e que deve estar aderente aos requisitos da
Lei Sarbanes-Oxley (SOX). A SOX foi escolhida, para ser utilizada neste estudo, por ser uma
referência legal e regulamentária da área financeira americana, além de ter influenciado e
servido de base para a criação de diversas outras regulamentações (que têm os mesmos
princípios e objetivos da SOX) como, por exemplo, a Japanese Internal Control Report
System (JSOX) no Japão (JSOX, 2005) e a Loi de sécurité financière (LSF) na França (LSF,
2003).
101
Para exemplificar o uso do modelo, será simulada a sua implantação para solucionar
os problemas que refletem o contexto atual da empresa fictícia. Os problemas são:
(i)
Baixa flexibilidade dos sistemas, em razão da reduzida capacidade das
aplicações serem adaptadas as alterações que ocorrem em requisitos legais;
(ii)
Falta de controle de mudanças, principalmente sobre os sistemas de
informações;
(iii)
Ausência de processos de negócios e de TI definidos, institucionalizados e
gerenciados;
(iv)
Dificuldade de consolidação dos dados financeiros, em virtude da diversidade
de sistemas de informações presentes na matriz e filiais da empresa;
(v)
Baixa aderência à SOX, devido a falta de um adequado ambiente corporativo e
de TI e, consequentemente, de um processo de controle de mudanças.
O restante deste capítulo descreverá a aplicação de cada camada do modelo, com o
objetivo de demonstrar como esse modelo poderia ser aplicado em uma situação real.
5.2
APLICAÇÃO DA CAMADA DE GESTÃO DE PROCESSOS DE NEGÓCIOS
A partir do entendimento dos problemas elencados na Seção 5.1 e da necessidade de
solucioná-los, é possível iniciar a execução das fases e atividades desta camada, com o
objetivo de resolver o problema relacionado com a falta de processos de negócios estruturados
e controlados, para proporcionar uma diminuição dos riscos na implantação SOA.
Antes de iniciar a execução do modelo de gestão de processos de negócios, através das
práticas de BPM, deve-se realizar uma análise da infraestrutura da empresa com a finalidade
de avaliar a estrutura física, de software e pessoal.
5.2.1 Fase de Entendimento do Negócio
Deve-se realizar uma avaliação dos atuais processos de negócios para identificar se
eles contribuem para alcançar as metas da organização, que tinha como um de seus objetivos
estar em conformidade com a SOX. Com isto, é possível ter uma visão global dos processos
da organização e selecionar um processo para ser otimizado.

Desenvolver Visão Global dos Processos
Em razão da importância da área financeira para a conformidade com a SOX, a visão
global deve ser construída apenas com os processos da área financeira da empresa. Pode-se
utilizar a técnica de (HARRINGTON; ESSELING; NINWEGEN, 1997) para construir a
visão global dos processos (Seção 4.2.1). A escolha dessa técnica se baseou apenas no
102
princípio da facilidade de visualização e construção de diagramas que a técnica possui (Seção
4.2.1), uma vez que somente a área financeira seria contemplada. A Figura 5.1 ilustra uma
visão global dos processos da área financeira, é possível identificar os subprocessos que
compõem o processo gerenciar recursos financeiros.
Figura 5.1 - Visão Global de Processos da Área Financeira

Selecionar Processos
De uma forma geral, os processos da área financeira precisariam estar formalmente
estruturados (com fluxo definido, testado e institucionalizado, além de estarem devidamente
documentados) para proporcionarem uma redução de custo e prazo de realização das suas
atividades, resultando, com isso, em um aumento da qualidade. A estruturação pode ser feita a
partir do processo de contas a receber, pois, dentre os processos da área financeira, este é o
processo que trabalha diretamente com a receita da empresa. Uma falha neste processo pode
resultar em perdas financeira para empresa, o que se traduz em uma ameaça para os negócios.
5.2.2 Fase de Projeto
Uma vez construída a visão global dos processos e selecionado o processo a ser
otimizado, pode-se iniciar a modelagem do estado atual e desejado do processo de contas a
receber, priorizado na fase de entendimento do negócio (Seção 5.2.1).

Modelagem do Estado Atual
Para mapear o processo atual, deve-se analisar o modelo da visão global dos
processos. Mas, uma vez que o processo não está formalmente estruturado, definido e
documentado, essa análise fica limitada, não sendo possível estendê-la para outros
103
documentos relacionados com a sua especificação e funcionamento. Como a empresa possui
infraestrutura física, ferramentas e pessoal para executar esta atividade, a tarefa de
planejamento da modelagem definirá, apenas, que será necessário documentar as atividades
do processo, juntamente com suas deficiências.
Um mapeamento do processo deve considerar a informação obtida com todos os
usuários envolvidos no processo de otimização e identificar aspectos do processo atual como,
por exemplo, se o processo: (i) possui uma atividade responsável por estabelecer as políticas
de como o processamento das contas a receber deve ser realizado; (ii) considera uma
avaliação de risco e solvência dos clientes para o fornecimento de crédito; (iii) possui um
controle eficaz sobre as cobranças das contas que estão inadimplentes; e (iv) contém uma
atividade formal para enviar as contas recebidas para o registros de vendas, pois a sua
ausência pode gerar inconsistências nos relatórios produzidos pela empresa.
A construção do modelo do estado atual pode ser feita através do método BPMN
(Seção 4.2.2). O modelo deve ser devidamente validado com todos os envolvidos na
estruturação do processo e, caso seja necessário, deve-se realizar os ajustes provenientes da
validação. Após isso, o processo deve ser documentado. A simulação do modelo do processo
atual pode ser visualizada na Figura 5.2. Nela é possível observar as 03 atividades que
compõe processo que está em execução.
Figura 5.2 - Modelo do Estado Atual do Processo de Contas a Receber

Modelagem do Estado Desejado
Uma vez que o modelo atual do processo tenha sido definido e documentado, esta
atividade transforma as deficiências do processo atual em melhorias no novo processo. Para
isso, pode-se realizar um redesenho do processo, baseado no framework de benchmarking do
Process Classification Framework (PCF) da American Productivity & Quality Center
(APQC) (APQC, 2012). A combinação do redesenho com o benchmarking promovem um
refinamento no processo atual, sem deixar de observar o padrão de referencia do PCF, que
permite (através do estudo de como as outras organizações desempenham as mesmas
atividades) evoluir e deixar mais competitivo o processo a ser melhorado. O diagrama do
modelo do estado desejado deve ser construído usando o método BPMN (Seção 4.4.2) e pode
104
ser visualizado na Figura 5.3. O novo processo estará reestruturado, contemplando novas
atividades. Estas novas atividades, juntamente com o fluxo delas, devem ser criadas para
corrigir as deficiências encontradas na atividade anterior (modelar estado atual).
Figura 5.3 - Modelo do Estado Desejado do Processo de Contas a Receber
5.2.3 Fases de Implantação e Monitoramento e Controle
Ao final da fase de projeto, pode-se perceber alguns benefícios da otimização e se
iniciar treinamentos sobre o processo aos usuários em conjunto com sua implantação. Após a
implantação do processo, deve-se realizar o monitoramento e controle do mesmo, além da
avaliação dos resultados, visando proporcionar aos tomadores de decisões, as informações
sobre o comportamento deste processo, possibilitando corrigir tempestivamente qualquer
desvio que ocorra, mantendo o processo dentro dos limites esperados.
5.3
APLICAÇÃO DA CAMADA DE IMPLANTAÇÃO DA GOVERNANÇA DE TI
Uma vez, que a camada de processos de negócios tenha sido executada e o processo
priorizado já se encontra estruturado, definido e sendo gerenciado, é possível iniciar a
implantação da governança de TI. A implantação desta camada é importante, pois os
processos de TI serão responsáveis pelo suporte dos serviços SOA que serão desenvolvidos e
integrados na camada de implantação SOA e integração com a XBRL.
O uso desta camada visa implantar a governança de TI, juntamente com um processo
de gerenciamento de mudanças que melhore o controle sobre as alterações relacionadas com
os sistemas de informações e principalmente com os serviços que a organização passará a
desenvolver para deixar os seus sistemas mais flexíveis às modificações que ocorrem nos
processos de negócios. Apesar disso, deve-se analisar se o processo de gerenciamento de
105
mudanças na organização é prioritário em relação a outros. Essa avaliação é necessária, pois
podem existir outros processos de TI que precisem de melhorias ou, em outro cenário, a
empresa pode ter a necessidade de implantar outros processos de TI que resultem em
melhorias mais significativas do que as melhorias geradas pela otimização do processo de
gerenciamento de mudanças.
5.3.1 Fase de Identificação das Necessidades de Negócio e de TI
Os dados obtidos nesta fase representam as informações relacionadas com a definição
das metas de negócio e de TI, seleção dos processos de TI e identificação e avaliação dos
riscos relacionados com a implantação da governança de TI.
Deve-se ressaltar a importância que o apoio da alta administração da empresa e de
todos os seus envolvidos têm na implantação da governança de TI. A empresa deve identificar
positivamente os benefícios que a implantação da governança de TI trará para a organização.
Possíveis pontos falhos e benefícios esperados, após uma avaliação realizada na empresa,
podem ser identificados nos itens a seguir.
(i)
Pontos Falhos
o Falta de controle sobre as mudanças realizadas;
o Falta de processos de TI padronizados;
o Falta de aderência para leis e regulamentos.
(ii)
Benefícios da Implantação da governança de TI
o Maior controle sobre as mudanças que serão realizadas;
o Melhor desempenho dos serviços
o Serviços mais confiáveis;
o Processos de TI padronizados;
o Maior aderência às leis e regulamentos.

Definir Metas
As metas de negócio e de TI devem ser selecionadas, considerando o cenário atual da
organização e a análise do planejamento e mapa estratégico (por exemplo, gerado a partir do
BSC) da empresa. Também deve ser observado, o princípio de que somente as metas de
negócio e de TI mais importantes (considerando o planejamento e mapa estratégico) devem
ser selecionadas. As descrições de algumas metas, que se relacionam com o cenário descrito
na contextualização (Seção 5.1), estão dispostas nos itens a seguir:
106
(i)
Meta de Negócio: garantir conformidade com leis, regulamentos e contratos;
(ii)
Meta de TI: garantir o mínimo de impacto no negócio, quando um evento de
interrupção ou mudança no serviço de TI acontecer;
(iii)
Meta de TI: manter a integridade da informação e infraestrutura de
processamento.

Selecionar Processos
Em razão de a empresa precisar estar em conformidade com a SOX, é necessário
observar alguns aspectos relacionados com a lei. O Public Company Accounting Oversight
Board (PCAOB) (ITGI, 2006), que atua em conjunto com a Securities and Exchange
Commission (SEC) (ITGI, 2006) e tem o encargo de supervisionar, regulamentar, inspecionar
e disciplinar as empresas de auditoria externa, em seus papéis de auditores de organizações de
capital aberto, identificou e definiu 04 controles genéricos de TI. Esses controles definidos
pelo PCAOB estão diretamente relacionados aos serviços de TI, que formam a base das
operações de negócio realizadas pelas empresas. Dessa forma, esses controles estão
embutidos nos processos de TI da empresa que, por sua vez, proveem um ambiente de
operação confiável e promovem um suporte efetivo à operação e aos controles de aplicação da
empresa. Os 04 controles definidos pela PCAOB, conforme o ITGI (2006) são:
(i) Controle sobre o desenvolvimento de sistemas: tem como principal objetivo
controlar a aquisição e implementação de novas aplicações e manutenção de
aplicações existentes;
(ii) Controle sobre as mudanças ocorridas em sistemas: objetiva controlar as mudanças
necessárias ao processo de desenvolvimento e manutenção de aplicações;
(iii) Controle sobre as operações em computadores: tem como objetivo controlar toda a
definição,
aquisição,
operação,
configuração,
integração
e
manutenção
da
infraestrutura de TI da organização, abrangendo o gerenciamento de níveis de serviço,
operações, serviços de terceiros, disponibilidade, configuração, incidentes e
problemas;
(iv) Controle sobre o acesso a dados e sistemas: promove o acesso seguro a programas e
dados que estão expostos nas redes internas e externas da empresa. Uma vez bem
implementado, este controle provê um razoável nível de segurança para empresa,
107
impedindo acessos não autorizados, softwares maliciosos e outras tentativas de
intrusão.
Esses controles estão alinhados com 12 processos de TI do COBIT, para satisfazer a
conformidade com a SOX (ITGI, 2006). Um mapeamento desses controles com os processos
do COBIT pode ser visto no Quadro 5.1.
Quadro 5.1 - Mapeamento entre os processos de TI do COBIT e os controles genéricos de TI da PCAOB
MAPEAMENTO DO PCAOB E COBIT
Aquisição e manutenção de
sistemas aplicativos
Aquisição e manutenção da
arquitetura tecnológica
Acesso a dados e
Sistemas
Operações em
Computadores
Mudanças em
Sistemas
AI2
AI3
Permitir a operação e o uso
AI4
Instalação e homologação de
soluções e mudanças
AI7
Gerenciamento de Mudanças
AI6
Definir e gerenciar níveis de serviço
Gerenciar serviços de terceiros
DS1
DS2
DS5
Assegurar a segurança dos
sistemas
Gerenciamento de configurações
Gerenciamento de Problemas e
Incidentes
Gerenciamento de Dados
Controles Gerais de TI da
PCAOB
Desenvolvimento de
Sistemas
Processos de TI do COBIT
Código do Processo
do COBIT
COBIT
DS9
DS8, DS10
DS11
DS12,
Gerenciamento Físico de Ambientes
DS13
e Operações
Fonte: Adaptado do ITGI (2006)
É importante observar, que não é necessário à implementação de todos os 12 processos
do COBIT para satisfazer a lei. Pode-se apenas, optar pela implantação dos processos que se
108
adéquam ao seu contexto ou momento. Por outro lado, apesar de haver referência a 12
processos de TI do COBIT, caso haja necessidade, outros poderão ser implementados, para
melhor satisfazer as exigências da Lei (ITGI, 2006).
A partir da análise das metas de negócio e das metas de TI, deve-se selecionar o processo
ou os processos que devem ser revistos. Neste exemplo de uso, optou-se pelo processo de
gerenciamento de mudanças. A escolha reside no fato desse processo ser um importante para
o negócio e para a área de TI das organizações, sendo relevante para que a empresa se
mantenha em conformidade com a SOX.

Identificar e Avaliar Riscos
Esta atividade se propõe a identificar o perfil de risco da empresa, juntamente com alguns
riscos relacionados com os serviços entregues pela organização e com a estruturação do
processo de gerenciamento de mudanças. Segue abaixo a descrição de um possível perfil de
risco, juntamente com os riscos que podem ser identificados.
o Perfil de Risco: como se trata de um exemplo de uso, decidiu-se atribuir à empresa
um perfil de risco moderado. Em um cenário real, isso pode ser constatado pela
análise da política de gerenciamento de riscos da empresa, entrevistas com a alta
administração e pelo histórico de incidentes que podem ser causados na sua maioria
por mudanças mal controladas.
o Principais riscos identificados, considerando o processo de gerenciamento de
mudanças:
 Falta de controles sobre as mudanças;
 Falta de padronização do processo de gerenciamento de mudanças;
 Indisponibilidade dos sistemas de informações;
 Prejuízos financeiros e efeitos colaterais não intencionais e;
 Falta de aderência à leis e regulamentações.
5.3.2 Fase de Avaliação e Diagnóstico
De posse das metas de negócio e de TI, processos de TI e riscos que foram
identificados, pode-se iniciar a avaliação e diagnóstico do processo de gerenciamento de
mudanças que foi selecionado na fase de identificação das necessidades de negócio e de TI
(Seção 5.3.1).
109

Avaliação da Situação Atual
Em razão da falta de definição de um processo de mudança na organização e de acordo
com o modelo de maturidade do COBIT, considera-se que o atual processo de gerenciamento
de mudanças possui o nível de maturidade 01 e, consequentemente, baixo desempenho.

Avaliação da Situação Ideal
Uma análise da importância do processo de gerenciamento de mudanças, para a
empresa tratada neste exemplo de uso, permite observar que o mau gerenciamento das
mudanças pode causar interrupções no seu ambiente operacional e, consequentemente, nos
sistemas de informações da empresa, tornando-se importante para o negócio possuir um
processo estruturado e institucionalizado. Ao analisar o processo de gerenciamento de
mudanças, sob a ótica da SOX, é possível identificar sua importância, pois ele assegura que
qualquer mudança nos sistemas de informações seja analisada, autorizada e testada antes de ir
para o ambiente de produção, garantindo, com isso, a integridade da informação e permitindo
criar trilhas de auditorias, as quais podem usadas, por exemplo, para investigações contra
crimes financeiros, caso alguma alteração mal intencionada tenha sido feita.
Para definir o nível de maturidade ideal para o processo de mudanças, devem ser feitos
estudos comparativos (benchmarking) em empresas do mesmo porte e segmento de mercado,
com o objetivo de obter o nível de maturidade do processo de gerenciamento de mudanças em
empresas de características semelhantes. Sugere-se que o estudo seja realizado em 05
empresas que tenham um controle de mudanças definido e eficiente que, de acordo com o
modelo do COBIT, representa o nível 03 de maturidade.
Para manter a competitividade com seus concorrentes, transparência e eficiência dos
controles financeiros da empresa, o ideal é que a empresa obtenha este mesmo nível de
maturidade. Outro aspecto que reforça o resultado do estudo comparativo é a importância que
o processo tem para o negócio da organização e os riscos (identificados na seção 5.3.1) aos
quais a empresa está suscetível sem a implementação de um controle de mudanças.
Desta forma, para que a empresa tenha um processo de gerenciamento de mudanças,
definido e documentado, controlado e institucionalizado, mitigando ou eliminando, com isso,
os riscos identificados e melhorando os resultados no negócio, incluindo o aumento de
aderência à SOX, a empresa deve possuir o nível 03 de maturidade, como sua situação ideal.
110

Análise de GAP
Esta atividade realiza uma análise entre a maturidade atual e a desejada, traduzindo em
oportunidade de melhorias a diferença existente entre os dois níveis de maturidade. Esta
atividade possibilita a integração do COBIT com o ITIL para promover melhorias no processo
de gerenciamento de mudanças.
Com o objetivo de melhorar o controle das mudanças da organização, foi proposto um
modelo de processo de gerenciamento de mudanças, baseado nas melhores práticas do COBIT
e do ITIL. Este processo terá como o objetivo assegurar que as mudanças (reativas ou
proativas) sejam registradas, avaliadas, autorizadas, priorizadas, planejadas, testadas,
implementadas, documentadas e revisadas de maneira controlada, minimizando, com isso, os
riscos e os impactos no negócio e assegurando o sucesso da mudança.
O modelo de processo de gerenciamento de mudanças proposto deve responder as
requisições de modificações que ocorrem nos requisitos de negócio, enquanto maximiza o
valor e reduz os incidentes e interrupções dos serviços SOA que serão construídos, alinhandoos às necessidades do negócio. Este processo atende as alterações que acontecem durante o
ciclo de vida do serviço. Um aspecto importante, que deve estar incorporado na empresa, se
relaciona com a definição clara de alguns termos que irão fazer parte do cotidiano da
instituição, após a implantação do processo. Estes termos são:
a)
Mudança de serviço: é uma mudança em um serviço existente ou introdução
de um novo serviço. Pode ser entendida também como uma adição,
modificação ou remoção de um serviço autorizado, planejado ou suportado ou
em algum componente de serviço e sua documentação;
b)
Requisição de mudança (RDM): é uma comunicação formal que busca a
alteração em um ou mais serviços;
c)
Comitê consultivo de mudanças (CCM): no processo de gerenciamento de
mudanças é importante a criação do comitê consultivo de mudanças (CCM),
que é formado por uma equipe multidisciplinar composta por: usuários,
analistas, programadores, consultores, especialistas no negócio e por gerentes
de projetos. Este comitê é criado com a finalidade de auxiliar a avaliação e
aprovação das mudanças. O comitê deve possuir autoridade para aprovar
mudanças significativas durante o ciclo de vida do serviço ou projetos que
envolvam o desenvolvimento e manutenção de serviços;
111
d)
Programação de mudanças: consiste no agendamento detalhado das
mudanças que serão realizadas. Esta programação deve ser devidamente
acordada com a área de negócios afetada;
e)
Modelo de mudanças: define as etapas, juntamente com sua ordem
cronológica de execução, que devem ser realizadas para aplicar a mudança.
Deve conter, entre outros, as responsabilidades de quem irá realizar a mudança,
as etapas que serão executadas, a ordem cronológica de execução das etapas,
prazos, os procedimentos para tratar as reclamações e o nome de quem
requisitou a mudança;
f)
Plano de retrocesso: consiste no plano que restaura para a situação
imediatamente anterior a da mudança que foi realizada no serviço. É muito
importante que toda mudança aprovada tenha um plano de retrocesso.
Com a finalidade de definir os critérios e objetivos de controle do processo de
gerenciamento de mudanças, foram extraídos do COBIT os objetivos e práticas de controle,
para proporcionar o atendimento ao nível maturidade 03. Esses objetivos e práticas
representam o que o processo de gerenciamento de mudanças deve possuir para realizar, de
forma eficiente, o controle das alterações realizadas nos serviços SOA da organização. Os
objetivos e práticas de controle, recomendados pelo COBIT, que foram selecionados para
estruturar o processo de gerenciamento de mudanças são:
a) Padrões e procedimentos de mudanças: este objetivo de controle estabelece um
procedimento formal de gerenciamento de mudanças para controlar de maneira
unificada todas as solicitações de mudança. As práticas de controle associadas são:
o Desenvolver, documentar e homologar uma estrutura de gerenciamento de
mudanças que especifica a política e o processo de mudanças e inclui:
 Papéis e responsabilidades;
 Priorização e classificação de todas as mudanças baseado no risco para o
negócio;
 Avaliação do impacto da realização e não realização da mudança e;
 Registrar todas as mudanças que forem solicitadas;
b) Avaliação de impacto, priorização e autorização de mudanças: este objetivo de
controle avalia todas as solicitações de mudança de modo estruturado para
112
determinar o impacto no negócio e no serviço, assegurando que as mudanças
sejam categorizadas, priorizadas e autorizadas. As práticas de controle associadas
são:
o Desenvolver um processo de mudanças que permita que aos gestores dos
processos de negócio e de TI possam solicitar mudanças para os serviços
disponibilizados para empresa;
o Desenvolver controles para assegurar que todas as mudanças que surgirem, sejam
solicitadas através processo de gerenciamento de mudanças;
o Priorizar todas as mudanças;
o Analisar todas as solicitações de maneira estruturada e assegurar que essa
avaliação levou em conta o impacto na TI e no negócio;
c) Rastreamento da mudança pelo status e relatórios: este objetivo de controle visa
estabelecer um sistema de rastreamento, por meio de relatórios, para documentar e
comunicar o status das mudanças. As práticas de controle associadas são:
o Atribuir um status para todas as mudanças;
o Permitir que os solicitantes e todos os envolvidos possam rastrear as
requisições de mudança pelo seu status;
d) Encerramento e documentação das mudanças: este objetivo de controle, sempre
que mudanças forem implantadas, atualiza o sistema e a documentação. As
práticas de controle associadas são:
o Assegurar que a documentação esteja de acordo com o processo de
gerenciamento de mudanças e seja parte integral do mesmo.
(i)
Processo de Gerenciamento de Mudanças
Para facilitar o controle sobre as mudanças que ocorrerão nos serviços SOA, que serão
desenvolvidos pela organização, foi proposto um modelo de processo de gerenciamento de
mudanças, que consolida as boas práticas do COBIT e do ITIL. Este modelo foi estruturado
com base nas boas práticas do ITIL, de forma a satisfazer os objetivos e práticas de controle
do COBIT, provendo, desta forma, um controle eficiente sobre as mudanças que serão
realizadas nos serviços SOA da organização.
113
O modelo de processo proposto para gerenciar as mudanças nos serviços SOA procura
garantir que as requisições de mudanças sejam processadas de modo padronizado, e passem
por um processo de avaliação de impacto e aprovação, além de fazer com que todos os
envolvidos com o serviço sempre estejam bem informados. Com a utilização deste processo é
esperado mitigar os riscos da implantação das mudanças, minimizar interrupções nos serviços,
evitar mudanças não autorizadas e balancear necessidades e impactos.
O gerenciamento de mudanças engloba as solicitações de melhoria, os consertos de
defeitos, as mudança de requisitos e as ações corretivas. O controle das mudanças é feito
através das requisições de mudanças, que devem ser devidamente registradas. As requisições
de mudanças são documentos usados para documentar e controlar qualquer tipo de alteração
realizada nos serviços da empresa. A vantagem de se utilizar requisições, é que elas fornecem
um registro das decisões e, devido ao seu processo de avaliação, garante que os impactos das
mudanças sejam entendidos. É importante ressaltar, que as requisições de mudanças
relacionadas com os serviços que já possuem uma versão estável, deverão obrigatoriamente
passar por um processo formal de gerenciamento de mudanças. A Figura 5.4 mostra o modelo
de processo de gerenciamento de mudanças proposto, incluindo suas respectivas atividades
(MOREIRA; SILVA, 2012).
Figura 5.4 - Modelo de Processo de Gerenciamento de Mudanças
As atividades necessárias, ilustradas na Figura 5.4, para executar o processo de
gerenciamento de mudanças são (MOREIRA; SILVA, 2012):
(i)
Registrar requisição de mudança: esta atividade tem como objetivo realizar o
registro da mudança, incluindo todas as informações necessárias para identificação,
aceite e posterior avaliação. As informações necessárias para uma requisição de
mudança são:
114
◦
número de identificação;
◦
descrição dos itens que devem ser mudados;
◦
razões da mudança;
◦
efeitos da não implementação da mudança;
◦
dados de identificação do solicitante;
◦
versão atual do item que pode estar sendo mudado;
◦
data da submissão;
◦
prioridade da mudança;
◦
avaliação de impacto;
◦
riscos envolvidos;
◦
retorno esperado;
◦
recomendações do CCM (quando apropriado);
◦
assinatura de autorização com data e hora;
◦
agendamento da implementação;
◦
relacionamentos entre mudanças;
◦
o responsável e os detalhes da criação da solução, testes e
implantação da mudança;
◦
plano de retrocesso;
◦
data da revisão juntamente com os resultados;
◦
status da mudança e o relatório de progresso relacionado com o
status da requisição de mudança.
É importante ressaltar que toda requisição de mudança deve possuir um status. Este
status mostra o andamento da solicitação dentro do processo de gerenciamento de mudanças.
Os status sugeridos para uma requisição de mudança podem ser vistos através do Quadro 5.2.
115
Quadro 5.2 - Status de uma solicitação de mudança
Código
Status
Descrição
01
Nova
02
Aceita
03
Rejeitada
A requisição de mudança não possui informações suficientes.
04
Duplicada
A requisição de mudança é uma duplicata de outra já existente.
05
Autorizada
A requisição de mudança foi autorizada para ser implementada.
A requisição de mudança foi especificada e submetida.
A requisição de mudança foi aceita e passará pelas outras etapas do processo
de gerenciamento de mudanças.
06
Não Autorizada A implementação da requisição de mudança não foi autorizada.
07
Em andamento A requisição de mudança está sendo implementada.
08
Implementada
09
Em Teste
10
Reprovada
11
Aprovada
A mudança está pronta para ser implantada.
12
Revisada
A mudança foi revisada.
13
Fechada
14
Cancelada
15
Reaberta
A requisição de mudança foi implementada e está pronta para ser testada.
A requisição de mudança está sendo testada.
O teste comprovou que a implementação realizada continha defeitos e a
mudança não poderia ser implantada.
A mudança foi revisada, atingiu o retorno esperado pela área de negócio e
usuários dos serviços e encontra-se fechada.
A mudança foi rejeitada, não autorizada ou estava duplicada, portanto foi
cancelada.
A mudança foi revisada, mas não atingiu o retorno esperado pela área de
negócio e usuários e foi novamente aberta.
116
(ii)
Revisar Requisição de Mudança: esta atividade tem como objetivo aceitar ou
rejeitar as solicitações de mudanças que foram registradas na atividade anterior
(registrar requisição de mudança). Para isso, realiza-se um filtro que avalia se a
requisição de mudança se encontra sem ambiguidades, ilógica ou se a mesma é
desnecessária ou impraticável, motivos que podem levar a sua rejeição. Quando a
rejeição acontece, a solicitação retorna para o seu solicitante (junto com a sua
documentação, incluindo os motivos da rejeição), que tem a oportunidade de rever
ou justificar a requisição;
(iii)
Analisar e avaliar a mudança: esta atividade consiste em analisar e avaliar os
impactos causados por uma mudança. É necessário realizar uma análise de riscos
para identificar fatores que possam impedir a entrega do serviço ou corromper o
negócio, impactando, desta forma, os objetivos estratégicos da organização. Esta
análise de riscos é necessária para que ações corretas sejam tomadas
tempestivamente e da melhor maneira possível. Ainda nesta atividade, é
necessário estabelecer a priorização das mudanças, através da matriz de urgência e
impacto, considerando os riscos, os custos e os benefícios das mudanças. Esta
priorização se faz necessária para determinar a importância de uma mudança em
relação às outras. Inicialmente, o solicitante sugere o impacto e urgência da
mudança, mas é responsabilidade do gerenciamento de mudanças estabelecer a
prioridade final, após considerar as prioridades das outras mudanças que estão
sendo processadas. Os Quadros 5.3, 5.4, 5.5 e 5.6 mostram sugestões de como
estabelecer a prioridade de uma mudança. O Quadro 5.3 apresenta a matriz de
urgência e impacto. Através desta matriz, é possível estabelecer o nível de
prioridade da mudança. Os Quadros 5.4 e 5.5 estabelecem as definições dos níveis
de impacto e urgência que devem sempre considerar a análise de risco, custo e
benefício da mudança. O Quadro 5.6 mostra os níveis de prioridade com as suas
respectivas descrições.
117
Quadro 5.3 - Matriz de urgência e impacto de uma mudança.
Impacto
Urgência
Alto
Médio
Baixo
Alta
01
02
03
Média
02
03
04
Baixa
03
04
04
Níveis de
Prioridade
Quadro 5.4 - Descrição dos níveis de urgência
Nível de Urgência
Alta
Descrição
A mudança deve ser realizada em caráter de
urgência.
Média
A mudança não pode esperar muito.
Baixa
A mudança pode esperar.
Quadro 5.5 - Descrição dos níveis de impacto
Nível de Impacto
Alto
Médio
Baixo
Descrição
A mudança acarreta perdas severa nos serviços da organização e afeta muitos
usuários ou unidades;
A mudança causa um impacto significativo (mas não severo como o nível
alto), e não pode demorar muito para ser implementada;
A mudança é justificada e necessária, mas pode esperar.
118
Quadro 5.6 – Níveis de Prioridade de uma mudança
Nível
01
Prioridades das Mudanças
Imediata: acarreta perdas severas nos serviços da organização, afetando,
com isso, muitos usuários ou unidades da empresa;
02
Alta: afeta com severidade alguns ou muitos usuários do serviço, mas
não acarreta as perdas que a prioridade imediata causa;
03
Média: possui um impacto significativo para os serviços e não pode
demorar muito para ser implementada;
04
Baixa: a mudança é justificada e necessária, mas pode esperar.
(iv)
Autorizar Mudança: esta atividade tem como objetivo realizar a autorização da
mudança. Esta autorização deve ser fornecida por uma das autoridades relacionadas no
Quadro 5.7. Caso seja autorizada, a mudança é encaminhada para a equipe de
desenvolvimento ou manutenção, para a sua devida implementação.
Quadro 5.7 - Estrutura de Níveis de Autorização
Autoridade
Prioridade
Diretoria de TI (Considerando o
CCM)
Gerente de Projetos de Sistemas
(Considerando o CCM)
(v)
Imediata
Alta
Comitê Consultivo de Mudanças
Média
Líder do Projeto
Baixa
Coordenar a implementação da mudança: tem como objetivo coordenar as
atividades de criação da solução SOA (incluindo o plano de retrocesso), execução
dos testes (que toda mudança deve passar antes de ser implantada) e implantação
da mudança. Esta atividade deve garantir que a mudança seja testada. É
119
importante que haja um plano de retrocesso, para permitir o retorno ao estágio
imediatamente anterior ao da implantação da mudança, nas situações em que a
implantação da mudança cause uma não conformidade.
(vi)
Revisar e encerrar a mudança: esta atividade tem como objetivo revisar todas as
mudanças implantadas, após um determinado período, para ver se as mudanças
atingiram os resultados desejados e se a área de negócio e os usuários estão
satisfeitos. Caso a mudança não tenha atingido seu objetivo, deve-se decidir quais
procedimentos devem ser realizados para que o resultado esperado pelo solicitante
da mudança seja alcançado, o que pode envolver retornar ao inicio do fluxo. Caso
contrário, a mudança é formalmente encerrada. Esta revisão deve objetivar a
satisfação dos usuários.
Desta forma, com a implantação deste processo de gerenciamento de mudanças, a
empresa poderá mitigar os riscos relacionados com: (i) os controles insuficientes sobre
mudanças; (ii) a falta de padronização do processo de gerenciamento de mudanças; (iii) a
realização de mudanças não autorizadas; (iv) a redução da indisponibilidade dos sistemas de
informações e futuros serviços SOA; (v) os efeitos colaterais não intencionais; (vi) a falta de
aderência à leis e regulamentações; e (vii) baixo desempenho do processo. Além disso, a
empresa ainda obterá os seguintes benefícios: (i) gerenciamento de mudanças sendo realizado
de maneira padronizada, eficaz e eficiente; (ii) mudanças sendo autorizadas e revisadas de
forma consistente e coordenada; (iii) sistemas de informações e serviços SOA mais
confiáveis; e (iv) maior aderência a leis e regulamentações, uma vez que o processo estará
bem definido;
5.3.3 Fases de Planejamento e Execução dos Projetos de Melhorias
Ao final da análise de GAP, é possível visualizar como o trabalho do COBIT junto
com o ITIL acontece e perceber os benefícios que asseguram que as futuras mudanças sejam
registradas e controladas, em razão da estruturação feita no processo. Deve haver a criação do
projeto de implantação das melhorias, encontradas na fase de avaliação e diagnóstico (Seção
5.3.2), que estavam relacionadas com o processo de gerenciamento de mudanças, uma vez
que o mesmo foi devidamente selecionado e aprovado para ser executado.
O projeto de melhorias deve contemplar as métricas de processo e atividades que se
relacionam com o gerenciamento de mudanças. As principais metricas relacionadas são: (i) a
quantidade de paradas ou erros em dados, devido a especificações inadequadas ou avaliações
120
de impacto incompletas; (ii) a quantidade de retrabalho de desenvolvimento ou manutenção
causado por especificações de mudança inadequadas; e (iii) o percentual de mudanças que
seguem o processo formal de controle de mudanças.
O projeto pode ser desenvolvido através das boas práticas do PMI e deve ter todas as
suas lições aprendidas registradas e compartilhadas. Deve-se, também, registrar os resultados
da avaliação da implantação da governança de TI.
5.4
APLICAÇÃO DA CAMADA DE IMPLANTAÇÃO SOA E INTEGRAÇÃO COM A
XBRL
Com o ambiente corporativo e de TI preparados para comportar a criação de serviços
baseados em um ambiente SOA, problemas como: (i) falta de controle de mudanças; (ii) falta
de processos de negócios e TI definidos, institucionalizados e sendo gerenciados; (iii) a pouca
aderência às leis e regulamentações devem estar resolvidos. Mas, é necessário resolver outros
dois problemas: (i) a falta de flexibilidade dos sistemas para atender com agilidade alterações
que ocorrem nos processos de negócios; e (ii) a dificuldade de consolidação dos dados
financeiros, em razão da diversidade de formatos dos sistemas de informações das filiais da
empresa. Para solucionar estes problemas, deve ser implementada a camada de implantação
SOA e integração com a XBRL (Seção 4.4).
5.4.1 Fase de Identificação das Necessidades Organizacionais
Esta fase realiza uma análise do atual cenário da empresa, observando os aspectos
relacionados com os processos de negócios, estruturas de governança e sistemas de
informações presentes na organização. Além disso, é realizada a identificação e avaliação dos
riscos inerentes à implantação da arquitetura orientada a serviços.

Avaliar contexto empresarial
Esta atividade consiste em avaliar o ambiente organizacional da empresa para
identificar se ela possui uma estrutura de gerenciamento de processos de negócios e de
governança de TI adequadas à implantação SOA. Uma estrutura de gerenciamento de
processos de negócios e de governança de TI deve permitir a estruturação e
institucionalização dos processos e a replicação de boas práticas em todos os processos
críticos da organização. A avaliação deve identificar os sistemas de informações que não
acomodam facilmente, ou de forma eficiente, as modificações que ocorrem nos processos de
negócios.
121

Selecionar Funcionalidades / Componentes
Devido ao tamanho do processo modelado na camada de processos de negócios, não é
possível contemplar, nesta dissertação, todo o processo financeiro da empresa, mas apenas
uma amostra que permita avaliar a eficácia da aplicabilidade desta camada do modelo de
governança e gestão de TI. Por isso, a partir de uma abordagem top-down, foram selecionadas
04 funcionalidades associadas às tarefas da atividade “manter dados dos clientes” e 02
relacionadas com as tarefas da atividade “emitir e transmitir relatórios” que pertencem ao
subprocesso “contas a receber” que, por sua vez, faz parte do processo “gerenciar recursos
financeiros”.

Gerenciar Riscos
Uma vez que o perfil de risco tenha sido definido, na atividade identificar e avaliar
riscos (Seção 5.3.1) da camada de implantação da governança de TI, esta atividade deve
realizar a identificação dos riscos relacionados com a implantação SOA.
Com as camadas de gestão de processos de negócio e implantação da governança de TI
implantadas, considera-se que a empresa possui uma estrutura de governança de TI com o
apoio da alta administração, assim como um modelo de gerenciamento de processos de
negócios que estruturou o processo de contas a receber, criando assim um ambiente propício
para a implantação SOA.
5.4.2 Fase de Implementação
A solução SOA proposta para este exemplo de uso, considera os aspectos de reuso e
integração dos serviços, sendo baseada no processo de desenvolvimento de software RUP
(YOSHIDA, 2007) para executar as atividades de levantamento de requisitos, análise e
projeto, implementação e teste para desenvolvimentos dos serviços. A decomposição do
processo de negócio de contas a receber em serviços Web, considerou a abordagem top-down
(descrita na seção 4.4.2). Para exemplificar a transformação do processo de negócio em
serviços SOA, foi criado um exemplo de como a atividade de desenvolvimento da solução
deve ser conduzida na empresa.
A Figura 5.5 mostra a decomposição parcial do processo de negócio financeiro em
serviços Web. É possível observar a transformação em Web Services das tarefas que
compõem as atividades “manter dados dos clientes” e “emitir e transmitir relatórios”, que
pertencem ao subprocesso “contas a receber”, que faz parte do processo “gerenciar recursos
financeiros”. Através desta decomposição, é possível transformar os processos de negócios
122
em tarefas para, posteriormente, desenvolver a solução orientada a serviço, automatizando a
execução as suas tarefas e atividades.
É importante ressaltar, que a automatização completa de um processo ou subprocesso
como, por exemplo, o de “contas a receber” é resultado de uma composição de serviços que
agrupa serviços em módulos, criando funcionalidades semanticamente equivalentes às
atividades que compõe o processo de negócio. Após isso, esses módulos são orquestrados de
acordo com as regras de negócio e fluxo de execução do processo (MARZULLO, 2009). Uma
composição de serviços web, utilizando a técnica de orquestração deve refletir um ambiente
de colaboração, entre os serviços web, que seja dinâmico, flexível e adaptável as constantes
mudanças que ocorrem nos processos de negócio. Para implementar a orquestração de
serviços web, pode ser utilizada a linguagem WS-BPEL - Web Services Business Process
Execution Language que é a principal tecnologia utilizada para expressar a lógica da
composição dos Web Services (ERL, 2009).
123
Figura 5.5 - Decomposição do processo Financeiro em serviços SOA (Web Services)
124
Como forma de mostrar a integração dos Web Services com a linguagem XBRL, foi
identificado um cenário que ilustra esse processo de integração. Esse cenário de integração da
XBRL com a SOA, que pode ser visualizado na Figura 5.6, é composto por 03 filiais da
empresa, que possuem sistemas de informações distintos. Esses sistemas foram construídos
com as linguagens de programação .NET, PHP e Delphi e utilizam os banco de dados SQL
Server, MySQL e Firebird respectivamente. Esses sistemas enviam suas informações
financeiras no formato XBRL, através de Web Services, à sua matriz que, por sua vez,
consolida essas informações em um relatório financeiro integrado para enviá-lo,
posteriormente, aos órgãos reguladores. O sistema de informações da matriz da empresa foi
desenvolvido com a linguagem de programação Java, utilizando o banco de dados Oracle.
Nesse contexto, a integração da XBRL com os Web Services pode ocorrer em três
momentos distintos. O primeiro momento ocorre na criação do documento XBRL, quando os
Web Services acessam as bases de dados heterogêneas para extrair os dados e os adequar ao
formato XBRL, de acordo com as regras definidas na taxonomia, para gerar o relatório
financeiro. O segundo momento ocorre quando as filiais da empresa utilizam os Web Services
para enviar à sua matriz o documento XBRL que representa o relatório financeiro de um
determinado mês ou ano, para que esses sejam integrados em um único relatório. O terceiro
momento ocorre, quando a matriz da empresa disponibiliza um Web Service para consolidar
as informações que estão no formato XBRL, e que foram obtidas com as filiais, enviando,
posteriormente o documento XBRL, que representa o relatório financeiro integrado de um
determinado mês ou ano, aos órgãos reguladores.
Ao observar o cenário ilustrado na Figura 5.6, juntamente com os processos de contas
a receber e de gerenciamento de mudanças, estruturados e definidos nas camadas anteriores, é
possível perceber que qualquer alteração, que viesse a ser realizada em um regulamento ou
lei, como a SOX, poderia resultar na criação ou alteração de um conceito financeiro,
originando a necessidade de realizar mudanças no processo de negócio e na taxonomia
XBRL, afetando, com isso, os sistemas de informações da empresa. Dessa forma, caso o
cenário de alteração em alguma lei ou regulamento se tornasse realidade, o processo “contas a
receber” se adaptaria melhor a implementação da mudança, em razão da facilidade de
identificar as atividades, tarefas e papéis que seriam afetados pela alteração. Já as mudanças,
na taxonomia e sistemas de informações, seriam devidamente analisadas, autorizadas e
coordenadas, através do processo de gerenciamento de mudanças, que proveria, com isso, o
suporte necessário para a evolução segura dos serviços SOA que, por sua vez, automatizaria o
processo de negócio da organização.
125
Figura 5.6 - Cenário de emissão de relatórios financeiros com Web Services e XBRL
126
Esta atividade tem o propósito de disponibilizar os serviços desenvolvidos no
ambiente de produção da empresa. A implantação dos serviços deve considerar toda a
montagem e configuração da infraestrutura tecnológica necessária para o ambiente SOA. Com
relação a publicações dos serviços, alguns cuidados devem ser tomados. Estes cuidados
relacionam-se com políticas de segurança e interação dos serviços web.
5.5
Neste capitulo foi apresentado um exemplo de aplicação do modelo de governança e
gestão de TI. A partir das informações relacionadas com a empresa, contextualizada na seção
5.1, foi possível, através da camada de gestão de processos de negócios, identificar como
elaborar a visão global dos processos da área financeira e estruturar o processo de contas a
receber, de maneira que se possa reduzir o custo e tempo de execução do processo e aumentar
a qualidade dos resultados gerados por ele. A aderência da área financeira à SOX também
poderá ser melhorada, uma vez que as principais exigências da lei decorrem sobre esta área. A
implantação da camada de gestão de processos de negócio deverá diminuir os riscos
relacionados com a implantação da SOA, uma vez que os processos de negócios estarão
estruturados.
A camada de implantação da governança de TI priorizou a estruturação do processo de
gerenciamento de mudanças, com o objetivo de melhorar o controle sobre as alterações dos
sistemas de informações e principalmente nos serviços que a organização passará a
desenvolver. Esta estruturação promove um processo de gerenciamento de mudanças eficaz e
eficiente, além de fazer com que as mudanças sejam aprovadas e revisadas de forma
consistente e coordenada. Outro aspecto positivo da estruturação é o provimento de sistemas
de informações e serviços SOA mais confiáveis, uma vez que o processo de gerenciamento de
mudanças está estruturado e definido. Uma maior aderência a leis e regulamentos, incluindo a
SOX, também pode ser alcançada, em razão do processo de gerenciamento de mudanças estar
alinhado com os controles definidos pela PCAOB, para satisfazer as exigências da SOX
(Seção 5.3.1).
Desta forma, a camada de implantação da governança de TI, através da integração do
COBIT com o ITIL, possibilita realizar o alinhamento estratégico entre a área de TI e o
negócio, minimizar os riscos inerentes da falta de controles sobre as mudanças e da falta de
padronização do processo de gerenciamento de mudanças, proporcionando um ambiente
127
corporativo e de TI, mais gerenciável e adaptável às mudanças que ocorrem nos requisitos de
negócio.
A camada de implantação da governança de TI ainda possibilita mitigar os riscos
relacionados com a realização de mudanças não autorizadas, proporcionando uma redução da
indisponibilidade dos sistemas de informações e futuros serviços SOA, uma vez que as
mudanças terão o seu impacto sobre o negócio devidamente analisado e passarão a serem
testadas antes de serem incorporadas nos sistemas ou serviços SOA. Além disso, a
estruturação do processo de gestão de mudanças consegue diminuir os impactos negativos não
intencionais e aumenta a aderência à leis e regulamentações.
A camada implantação da SOA e integração com a XBRL mostrou, através da
implantação da SOA e integração dos seus serviços com a XBRL, que é possível resolver o
problema da falta de flexibilidade dos sistemas e da dificuldade de consolidação dos dados
financeiros, frente a diversidade de sistemas de informações presentes nas filiais da empresa.
Desta forma é possível avaliar, através do exemplo de uso, que o modelo de
governança e gestão de TI poderá contribuir para criar um ambiente corporativo e de TI
gerenciável e que se adapte mais facilmente as mudanças que ocorrem nos requisitos de
negócio, além de proporcionar sistemas de informações mais flexíveis e relatórios financeiros
mais confiáveis e de mais qualidade. O capítulo seguinte apresenta as conclusões obtidas com
este trabalho de mestrado, bem como as considerações finais acerca desta dissertação e
indicações de trabalho futuros.
128
6
CONCLUSÃO
Este capítulo descreve as considerações finais sobre este trabalho, suas principais
contribuições e possibilidades de trabalhos futuros. Ele está organizado da seguinte maneira:
inicialmente, a Seção 6.1 descreve as considerações finais sobre o trabalho; a Seção 6.2
detalha as contribuições do modelo de governança e gestão de TI proposto nesta dissertação; a
Seção 6.3 apresenta as possibilidades de trabalhos futuros.
6.1
Esta dissertação apresentou um modelo de governança e gestão de TI. O modelo foi
construído a partir da utilização das boas práticas do BPM, COBIT e ITIL, juntamente com as
tecnologias SOA e XBRL.
O modelo de governança e gestão de TI proposto, apresentado no Capítulo 04, é
composto por 03 camadas: (i) a camada de gestão de processos de negócios; (ii) a camada de
implantação da governança de TI; e (iii) a camada implantação SOA e integração com a
XBRL. A camada de gestão de processos de negócios e a camada de implantação da
governança de TI possibilitam criar um ambiente corporativo e de TI gerenciável e que se
adapte mais facilmente as mudanças que ocorrem nos requisitos de negócio, incluindo os
requisitos legais. Estas camadas também fornecem a base para a implantação da SOA nas
organizações. A camada de implantação SOA e integração com a XBRL, poderá proporcionar
para as organizações mais flexibilidade aos sistemas de informações e, consequentemente, aos
serviços providos pelas empresas. A união da SOA, por meio de Web Services, com XBRL
deve proporcionar uma melhora na confiabilidade e qualidade dos relatórios financeiros
emitidos pelas organizações, bem como uma melhor adaptação dos relatórios financeiros às
mudanças legais e regulamentares relativas às sua publicação. Isso é possível, através da
diminuição da necessidade de transformação de formato de dados financeiros e da diminuição
do custo de extração em virtude da utilização da XBRL.
O modelo proposto neste trabalho utiliza as boas práticas de governança em tecnologia
da informação aceitas pelo mercado e academia, além de tecnologias para a elaboração de
relatórios financeiros e desenvolvimento de sistemas de informação. A Figura 6.1 mostra a
relação entre os processos de TI (estruturados e definidos através das boas práticas do COBIT
e do ITIL), as aplicações SOA (desenvolvidas através de Web Services e XBRL) e os
processos de negócios (estruturados e mantidos através das boas práticas do BPM) para o
cumprimento das estratégias empresariais.
129
Figura 6.1 - Relação entre os processos de TI, as aplicações SOA e os processos de Negócio
O BPM ajuda a definir, estruturar e gerenciar os processos de negócios presentes na
organização. Com a utilização das práticas do BPM a organização consegue gerenciar com
mais eficiência os processos de negócios, mitigando ou eliminando os riscos relacionados
com a falta de mapeamento desses processos, que nesse caso pode ocasionar a diminuição das
vantagens que serão obtidas com a implementação da SOA, em razão dos processos de
negócios serem complexos, e envolverem diversos setores da organização.
O COBIT e o ITIL, juntos, estruturam e melhoram os processos de TI que apoiam os
sistemas de informações, os quais automatizam os processos de negócio da empresa, para
alcançar a sua estratégia. O processo de TI de gerenciamento de mudanças é um exemplo de
suporte dado pelos processos de TI às aplicações SOA. Uma vez, estruturado e definido, por
meio das práticas do COBIT e do ITIL, o processo de gerenciamento de mudanças deve
apoiar as aplicações SOA, no que diz respeito às mudanças originadas pelas alterações e
modificações nos requisitos legais, impostos pelas leis e regulamentações, às quais as
organizações estejam vinculadas.
O COBIT que atua como um modelo de governança de TI e, com isso, engloba a
governança de SOA ajuda a intensificar o controle sobre os processos que suportam o
desenvolvimento e fornecimento das aplicações orientadas a serviço, como é o caso dos
processos de gerenciamento de níveis de serviço, mudanças, configuração, aquisição e
manutenção de sistemas.
O ITIL contribui para o gerenciamento dos níveis de serviço, dos serviços, que serão
utilizados ou oferecidos pela organização, minimizando o risco do não cumprimento do que
foi previamente acordado (OGC, 2007c). O ITIL também fornece uma contribuição, através
do gerenciamento de configuração e mudanças, para os serviços que já estão em produção,
pois através desses gerenciamentos, é possível estabelecer um maior controle sobre as
mudanças que poderão ocorrer nos serviços, evitando, com isso, riscos e problemas advindos
de alterações não autorizadas e/ou realizadas em algum serviço que esteja sendo consumido
(OGC, 2007d).
Algumas dificuldades de implementação do modelo de governança e gestão de TI
podem ser identificadas neste trabalho. Dentre elas estão: (i) a falta de visão holística da alta
130
administração das empresas para enxergar o relacionamento das áreas trabalhadas nesta
dissertação (Gestão de Processos de Negócios, Governança de TI, Arquitetura Orientada a
Serviços e XBRL) e consequentemente os benefícios da utilização em conjunto das boas
práticas e tecnologias descritas no modelo proposto; (ii) a ausência de equipes com o
conhecimento necessário para atuar na implantação das camadas do modelo e; (iii) a
resistência que os funcionários das organizações possuem as mudanças de cultura como, por
exemplo, sair de um ambiente pouco estruturado para um estruturado e controlado.
6.2
PRINCIPAIS CONTRIBUIÇÕES
Com o desenvolvimento deste trabalho, após a realização da revisão bibliográfica e
escrita de artigos, entende-se que as principais contribuições obtidas com a criação do modelo
de governança e gestão de TI são:
(i)
Definição de um modelo de gestão de processos de negócios, utilizando as
boas práticas do BPM;
(ii)
Definição de um modelo de implantação da governança de TI, utilizando as
boas práticas de mercado do COBIT e do ITIL;
(iii)
Definição de um modelo para implantação da arquitetura orientada a serviços
integrada com a tecnologia XBRL, para a emissão com maior eficiência de
relatórios financeiros flexíveis;
(iv)
Definição de um modelo gerenciamento para controle de mudanças em
aplicações orientadas a serviço;
(v)
Definição de uma abordagem de controle de riscos na implementação da
arquitetura orientada a serviços, utilizando as práticas do COBIT e do ITIL.
A partir destas contribuições, espera-se alcançar os seguintes benefícios:
(i)
Uma maior facilidade de alinhar e adaptar o ambiente corporativo e de TI da
empresa às mudanças que ocorrem nos requisitos de negócio, incluindo às leis
e regulamentações;
(ii)
O aumento da flexibilidade dos sistemas de informações e;
(iii)
Uma melhora na qualidade e confiabilidade da emissão dos relatórios
financeiros.
131
Durante o desenvolvimento deste trabalho, artigos científicos foram submetidos para
diferentes eventos, com o objetivo de validar na comunidade acadêmica as contribuições deste
trabalho. Desta forma, as ideias propostas puderam ser avaliadas pela comunidade científica,
contribuindo para o desenvolvimento da dissertação. Tais publicações são listadas a seguir:
(i)
8º Congresso Internacional de Gestão da Tecnologia e Sistemas de Informação –
FEA/USP – 2011 - Controle de Riscos na Implementação da Arquitetura Orientada
a Serviços Utilizando COBIT, ITIL e ISO 27002;
(ii)
9º Congresso Internacional de Gestão da Tecnologia e Sistemas de Informação
FEA/USP – 2012 - Gerenciamento de Mudanças na Arquitetura Orientada a
Serviços Utilizando COBIT, ITIL e ISO 27002;
(iii)
Journal of Information Systems and Technology Management - FEA/USP (Submetido) – 2012 - Modelo de Gestão de TI para Emissão de Relatórios
Financeiros e Conformidades Legais e Regulamentárias;
6.3
TRABALHOS FUTUROS
Com a conclusão deste trabalho, percebeu-se que alguns pontos ainda encontram-se
abertos, os quais podem ser analisados com o intuito de ampliar o conjunto de contribuições
disponibilizadas para a comunidade científica. Desta forma, algumas indicações de trabalhos
futuros, são listadas a seguir:
(i)
Planejamento Estratégico: nas pesquisas realizadas, percebeu-se a possibilidade
de incluir no modelo o planejamento estratégico, juntamente com o Balanced
ScoreCard (BSC), no modelo de gestão de TI, criando, para isso, uma camada para
gestão estratégica;
(ii)
Criação de Metodologia: durante a construção do modelo, foi observada a
necessidade de criação de uma metodologia para registrar de forma padronizada
todas as informações relacionadas com a execução das tarefas e atividades
incluídas nas camadas do modelo, permitindo, desta forma, a documentação de
forma unívoca do modelo de governança e gestão de TI. Estudos já estão sendo
conduzidos para a realização desta metodologia.
(iii)
Inclusão das Práticas do COBIT 5.0: Devido à recente (04/2012) publicação da
quinta versão do COBIT, foi identificada a necessidade de incorporar futuramente
as suas práticas ao modelo de governança e gestão de TI.
132
(iv)
Sistemas de Informações Empresariais: durante a realização deste trabalho,
percebeu-se a possibilidade de adaptar o modelo de governança e gestão de TI ao
desenvolvimento de sistemas de informações empresarias, também denominados
como sistemas de Business Intelligence (BI). Estes sistemas trariam uma melhor
análise do desempenho dos processos e, consequentemente, da estratégia da
empresa, uma vez que estes processos estariam alinhados com os indicadores
obtidos através dos mapas estratégicos gerados a partir do planejamento
estratégico e do BSC. Estudos devem ser conduzidos para definir a melhor forma
do modelo de governança e gestão de TI adequar-se ao desenvolvimento desses
sistemas de BI;
133
REFERÊNCIAS BIBLIOGRÁFICAS
AALST, W.M.P. van der; LEYMANN, F; REISIG, W. The Role of Business Processes in
Service
Oriented
Architectures.
2007.
Disponível
em:
<http://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CGoQFj
AD&url=http%3A%2F%2Fciteseerx.ist.psu.edu%2Fviewdoc%2Fdownload%3Fdoi%3D10.1.
1.82.458%26rep%3Drep1%26type%3Dpdf&ei=SwvOT4SSDYmy8QSVrajtCg&usg=AFQjC
NHdeBUv_1qbcIF0wYLHoiMdte013A&sig2=5ZSNVyr7KPB8cUEhN9TJtg>. Acesso em:
23 mar. 2012.
ABNT. NBR ISO/IEC 27002: Tecnologia da informação — Técnicas de segurança —
Código de prática para a gestão da segurança da informação. São Paulo: ABNT, 2007.
APQC. Process Classification Framework. 2012. Disponível em: <http://www.qualifiedaudit-partners.be/index.php?cont=592&lgn=3>. Acesso em: 23 mar. 2012.
ASCENÇÃO, Hugo da Silva; SOUZA, Ivan Barbosa de; SOUZA, Edson Alberto Farias de.
XBRL,
Paradoxo
para
o
mercado
Globalizado.
2006.
Disponível
em:
<http://meuartigo.brasilescola.com/economia-financas/tecnologia-informacao-linguagemxbrl-extensible-business.htm>. Acesso em: 23 jul. 2011.
ASSIS, Célia Barbosa. Governança e gestão da tecnologia da informação: diferenças na
aplicação
em
empresas
brasileiras.
2011.
Disponível
em:
<http://www.teses.usp.br/teses/disponiveis/3/3136/tde-05082011155506/publico/Dissertacao_Celia_Barbosa_Assis.pdf>. Acesso em: 23 mar. 2012.
BALDAM, Roquemar de Lima et al. Gerenciamento de Processos de Negócios BPM –
Business Process Management. Erica, 2010.
BARBARÁ, S.; et al. Gestão por Processos: Fundamentos, Técnicas e Modelos de
Implementação. Rio de Janeiro. 2006.
BCB. Acordo de Basiléia II do Banco Central do Brasil. Banco Central do Brasil, 2004.
Disponível em: <https://www3.bcb.gov.br/normativo/detalharNormativo.do?N=104206982
&method=detalharNormativo>. Acesso em 20 mai. 2011.
134
BCB. Resolução 3380 do Banco Central do Brasil. Banco Central do Brasil, 2006.
Disponível em: <http://www.bcb.gov.br/pre/normativos/res/2006/pdf/res_3380_v1_P.pdf>.
Acesso em: 20 mai. 2011.
BERTZ, Charles T. ITIL®, COBIT®, and CMMI®: Ongoing Confusion of Process and
Function.
BPTrends:
2011.
Disponível
em:
http
<
http://www.bptrends.com/publicationfiles/10-04-2011-ARTOngoing%20Confusion%20of%20Process%20and%20Function-Betz-Final.pdf/>.
Acesso
em: 12 mar. 2012.
BIEBERSTEIN, N et al. AUT SOA Governance: Impact of service-oriented architecture on
enterprise systems, organizational structures, and individuals. 2005. Disponível em:
<http://domino.research.ibm.com/tchjr/journalindex.nsf/600cc5649e2871db85256815006021
3c/f9039c72234f717c8525709f00792584!OpenDocument>. Acesso em: 23 mar. 2012.
BIANCOLINO, César Augusto; CRISTOFOLI, Fulvio. SOA e XBRL: Traços inovadores de
TI a serviço da Controladoria". In: Quinto CONTECSI, São Paulo, Anais. Volume único.
2008. CD-ROM.
BPMN. Business Process Modeling Notation Specification. Needram, 2006. Disponível em:
<http://www.bpmi.org>. Acessado em 20 mai. 2011.
BRAUER, Ben; KLINE, Sean. SOA Governance: A Key Ingredient of the Adaptive
Enterprise.
2005.
Disponível
em:
<https://h30406.www3.hp.com/campaigns/2005/events/infoworld_soa_forum/soa.php>.
Acesso em: 23 mar. 2012.
CRUZ, Mateus Siqueira Hickson et al. The XBRL Framework: International Conference on
Information Systems and Technology Management, 5 CONTECSI, 2008. Disponível em:
<http://www.tecsi.fea.usp.br/contecsi/index.php/contecsi/article/view/1635>. Acesso em: 23
mar. 2012.
ERL, T. Service-Oriented Architecture (SOA): Concepts, Technology, and Design.
Prentice Hall, 9ª Edition, 2009.
135
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a
Governança de TI: da estratégia à gestão dos processos e serviços. Brasport, 2012.
GLUCHOWSKI, Peter; PASTWA, Alexander. Process and Technical design of integrated
solution for (semi) automated Basel II-reporting using XBRL and Web services. 2007.
Disponível:<http://books.google.com.br/books?hl=ptBR&lr=&id=PAsbF8FISLYC&oi=fnd&
pg=PA210&dq=Process+and+Technical+design+of+na+integrated+solution+for+%28semi%
29+automated+Basel+IIreporting+using+XBRL+and+Web+services.&ots=qPeHbBjYYC&si
g=pyAgXelcNgyaDEXFITxwAP0AGZM#v=onepage&q&f=false>. Acesso em: 23 jul. 2011.
GUERRA, Márcia R. Governança de TI com COBIT. São Paulo: TIEXAMES, 2007.
Disponível em: <http://www.tiexames.com.br/ensino/home.php>. Acesso em: 20 ago. 2008.
HAMMER, M.; CHAMPY, J. Reengenharia: revolucionando a empresa em função dos
clientes da concorrência e das grandes mudanças da gerência. Rio de Janeiro. Campus, 1994.
HMRC. Update to Impact Assessment of HMRC Online Services - Increasing Use of
Online
Filing
and
Electronic
Payment.
2009.
Disponível
em:
<http://www.hmrc.gov.uk/ria/carter-ia-final1.pdf>. Acesso em: 23 mar. 2012.
HOJAJI, Fazilat; SHIRAZI, Mohammad Reza Ayatollahzadeh. AUT SOA Governance: A
New
SOA
Governance
Framework
Based
on
COBIT.
2010.
Disponível
em:
<http://www.meeting.edu.cn/meeting/UploadPapers/1282705294640.pdf>. Acesso em: 23
mar. 2012.
HOLMES, Monica C.; NEUBECKER, Darian. The impact of the Sarbanes-Oxley act 2002
on
the
Information
Systems
of
public
companies.
2006.
Disponível
em:
<http://iacis.org/iis/2006/Holmes_Neubecker.pdf>. Acesso em: 03 ago. 2008.
ITGI. COBIT 4.1. USA: IT GOVERNANCE INSTITUTE, 2007a. Disponível em:
<http://www.isaca.org/Template.cfm?Section=Downloads3&Template=/MembersOnly.cfm&
ContentID=49581>. Acesso em 20 ago. 2008.
ITGI.
IT
Governance
Implementation.
USA:
ITGI,
2007b.
Disponível
em:<http://www.isaca.org/Template.cfm?Section=Downloads3&Template=/MembersOnly.cf
m&ContentID=49582>. Acesso em: 20 mar. 2009.
136
ITGI.
COBIT
Control
Practices.
USA:
ITGI,
2007c.
Disponível
em:<http://www.isaca.org/Template.cfm?Section=Downloads3&Template=/MembersOnly.cf
m&ContentID=49582>. Acesso em: 20 mar. 2009.
ITGI. IT Control Objectives For Sarbanes-Oxley. USA: ITGI, 2006. Disponível em:
<http://www.cobitonline4.info/Pages/Public/Browse/PdfDownload.aspx>. Acesso em: 20
mar. 2009.
ITGI. Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 For Business Benefit. USA:
ITGI,
2008.
Disponível
em:
<http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=46288>. Acesso
em: 20 mar. 2009.
ITGI. COBIT 5 - A Business Framework for the Governance and Management of
Enterprise
IT.
USA:
ITGI,
2012.
Disponível
em:
<http://www.isaca.org/cobit/pages/default.aspx>. Acesso em: 15 abr. 2012.
IXBRL.
What
you
need
to
know
about
iXBRL.
2010.
Disponível
em:
<http://www.accountingweb.co.uk/topic/tax/what-you-need-know-about-ixbrl-corporationtax/409764>. Acesso em 23 abr. 2011.
JOSUTTIS, N. M. SOA in Practice: The Art of Distributed System Design (Theory in
Practice). O Really Media, 2007.
JR, Rob High; KINDER, Stephen; GRAHAN, Steve. IBM SOA Foundation: An
architectural
introduction
and
overview,
2005.
Disponível
em:
<http://www.ibm.com/developerworks/webservices/library/ws-soa-whitepaper/>. Acesso em:
20 jun. 2011.
JSOX. Japan's Version of Sarbanes-Oxley and Japanese Firms in Taiwan. 2005.
Disponível
em:
<http://www.pwc.com/tw/en/challenges/assurance-and-business-
advisory/indissue0271.jhtml>. Acesso em: 23 mar. 2012.
KAPLAN, S R. NORTON P. D. A estratégia em ação: balanced scorecard. Rio de Janeiro:
Campus, 1997.
137
KOSTER, Stefan R.; IACOB, Maria-Eugenia; PIRES, Luís Ferreira. An Evaluation
Framework for Business Process Management Products. 2004. Disponível em:
<http://doc.utwente.nl/68739/1/Koster_Iacob_Pires__An_Evaluation_Framework_for_Business_Process_Management_Products_Final.pdf>.
Acesso em: 23 mar. 2012.
LEAL, M.A.M. A Organização e Arquitetura de Processos na Telemar. In: segundo
Seminário Brasileiro de Gestão de Processos, Rio de Janeiro. Volume único, 2006. CD-ROM.
LUIS,
S.;
ROSENFELD,
H.
Benchmarking.
2006.
Disponível
em:
<http://www.numa.org.br/conhecimentos/conhecimentos_port/pag_conhec/Benchmarking.ht
m>. Acesso em: 12 jan. 2010.
LSF.
Loi
de
sécurité
financière
(LSF)
|
France.
2003.
Disponível
em:
<http://www.qualified-audit-partners.be/index.php?cont=592&lgn=3>. Acesso em: 23 mar.
2012.
MARZULLO, Fabio Perez. SOA na Prática Inovando o seu negócio por meio de soluções
orientadas a serviço. Novatec, 2009.
MORAES, Emerson augusto Priamo; MARIANO, Sandra R. Holanda. Uma Revisão dos
Modelos
de
Gestão
em
TI,
2008.
Disponível
em:
<http://www.excelenciaemgestao.org/Portals/2/documents/cneg4/anais/T7_0014_0258.pdf>.
Acesso em: 13 abr. 2011.
MOREIRA, José Rogério Poggio. Governança de TI: metodologia para integração do
COBIT e ITIL em empresas que buscam conformidade com a lei Sarbanes-Oxley.
UNIJORGE, Salvador. 2009.
MOREIRA, J. R. P. ; VIVONE, M. J. ; SILVA, Paulo Caetano da. Controle de Riscos na
Implementação da Arquitetura Orientada a Serviços Utilizando COBIT, ITIL e ISO
27002. In: 8th CONTECSI, 2011, São Paulo.
MOREIRA, J. R. P.; SILVA, Paulo Caetano da. Gerenciamento de Mudanças na
Arquitetura Orientada a Serviços Utilizando COBIT, ITIL e ISO 27002. In: 9th
CONTECSI, 2012, São Paulo.
138
NIEMANN, Michael et al. Towards a Generic Governance Model for Service-oriented
Architectures.
2008.
Disponível
em:
<http://www.theseus.joint-research.org/wp-
content/uploads/2011/07/NER+08.pdf>. Acesso em: 23 mar. 2012.
OASIS. UDDI. (2004). Disponível em: http://uddi.org/pubs/uddi-v3.0.2-20041019.pdf.
Acessado em 20/12/2011.
OGC. Best Practice Introduction to ITIL. UK: TSO, 2005.
OGC. The Official Introduction to the ITIL Service Lifecycle. UK: TSO, 2007a.
OGC. ITIL Service Strategy. UK: TSO, 2007b.
OGC. ITIL Service Design. UK: TSO, 2007c.
OGC. ITIL Service Trasition. UK: TSO, 2007d.
OGC. ITIL Service Operation. UK: TSO, 2007e.
OGC. ITIL Service Continual Service Improvement. UK: TSO, 2007f.
OTT, C et al. Towards a Reference Model for SOA Governance. 2010. Disponível em:
<http://ceur-ws.org/Vol-592/Paper04.pdf>. Acesso em: 13 mar. 2012.
PAIM, R., CAULLIRAUX, H., CARDOSO, V. e CLEMENTE, R. Gestão de Processos:
pensar, agir e aprender. Bookman, 2009.
PORTER, Michael. Estratégia Competitiva. Campus, 1986.
PINHEIRO, Flávio R. Governança de TI com COBIT 4.1. São Paulo: TIEXAMES, 2009.
Disponível em: <http://www.tiexames.com.br/ensino/home.php>. Acesso em: 04 set. 2009.
PINHEIRO, Flávio R. Fundamentos no gerenciamento de serviços de TI. São Paulo:
TIEXAMES, 2010. Disponível em: <http://www.tiexames.com.br/ensino/home.php>. Acesso
em: 04 set. 2010.
139
RICCIO, E. L; SILVA, Paulo Caetano da; SAKATA, Marici C. Gramacho. XBRL – A
divulgação de Informações Empresariais. São Paulo: Editora Ciência Moderna, 2005.
186p.
ROSA, Antonio Quintino. Método de avaliação de processo de negócio habilitado por
tecnologia
da
informação.
Brasília:
2010.
Disponível
em:
<http://portal2.tcu.gov.br/portal/pls/portal/docs/2058726.PDF>. Acesso em: 12 mar. 2012.
SARBANES-OXLEY, Congress of the United States of the America. The Sarbanes-Oxley
Act 2002. Washington: Congress of the United States of the America, 2002. Disponível em:
<http://www.law.uc.edu/CCL/SOact/soact.pdf>. Acesso em 20 ago. 2008.
SILVA, P. C. Explorando linguagens de marcação para representação de relatórios
financeiros. Dissertação de Mestrado. UNIFACS, Salvador. 2003.
SIQUEIRA, L. G. P. Modelo de Governo de Processos da Área Internacional da Petrobras. In:
Segundo Seminário Brasileiro de Gestão de Processos, Rio de Janeiro, Anais. Volume único.
2006. CD-ROM.
SORTICA, Eduardo Almansa; CLEMENTI, Sérgio; CARVALHO, Tereza Cristina M. B..
Governança de TI: comparativo entre COBIT e ITIL. 2004. Disponível em:
<http://www.trainning.com.br/download/Apostila_ITIL_Cobit.pdf>. Acesso em: 23 mar.
2012.
VAN GREMBERGEN, Wim; DE HAES, Steven. Strategies and Models for IT
Governance.
USA:
ITGI,
2008.
Disponível
em:
<www.igiglobal.com/downloads/excerpts/9781599049267ch1.pdf>. Acesso em: 15 mai.
2009.
WALDMAN, Daniel. Cenários e Etapas para Implantação SOA. 2009. Disponível em:
<http://www.aqueleblogdesoa.com.br/2009/05/cenarios-e-etapas-para-implantacao-soa/>.
Acesso em: 18 dez. 2010.
W3C. XML Linking Language (XLink), version 1.0 (w3c recommendation). 2001.
Disponível em: http://www.w3.org/TR/xlink. Acesso em: 23 dez. 2012.
140
W3C. XML Schema Part 1: Structures. version 1.0 (w3c recommendation). 2004.
Disponível em: http://www.w3.org/TR/xmlschema-1. Acesso em: 23 dez. 2011.
W3C. SOAP. 2007a. Disponível em: http://www.w3.org/standards/techs/soap#w3c_all.
W3C. WSDL. 2007b. Disponível em: http://www.w3.org/standards/techs/wsdl#w3c_all.
W3C. XML. 2008. Disponível em: http://www.w3.org/standards/techs/xml#w3c_all. Acesso
em: 23 dez. 2011.
W3C. HTTP. (2009). Disponível em: http://www.w3.org/standards/techs/http#w3c_all.
XBRL. Extensible Business Reporting Language (XBRL) Specification. 2003. Disponível
em: <http://www.xbrl.org/SpecRecommendations/>. Acesso em 23 abr. 2011.
XBRL. Standards Board. 2011. Disponível em: <http://www.xbrl.org/StandardsBoard>.
Acesso em 23 abr. 2011.
YOSHIDA, Marta Harumi. Alinhamento dos requisitos da lei Sarbanes-Oxley com o RUP
para o processo de desenvolvimento de sistemas. Escola Politécnica da USP, São Paulo.
2007.
ZAIRI, M. “Business process management: a boundaryless approach to modern
competitiveness”. Business Process Management. 1997.

universidade salvador – unifacs programa de pós

Transcrição

Documentos relacionados

gestão de tecnologia da informação

Conselhos de Família + Family Of ce

APLICAÇÃO DA GOVERNANÇA DE TI NAS MICRO EMPRESAS

Apresentação - Eventos Fehosp

Declaração de Kuala Lumpur Introdução I. Mensagens

Veja currículo completo

Baixar página em PDF

COBIT Control Objectives for Information and

Governança Corporativa

(Microsoft PowerPoint - Palestra FUNDACE