Referncia para citao LUCIANO, E. M; TESTA, M. G.; FREITAS, H.

Terceirizao de TI atravs de Business Service Provider (BSP): Proposta de uma Sistemtica de Avaliao e Controle a partir do COBIT. In: ENCONTRO DA ANPAD (ENANPAD), 30, 2006, Salvador/BH. Anais Salvador/BH: ANPAD, 2006.

Terceirizao de TI atravs de Business Service Provider (BSP): Proposta de uma Sistemtica de Avaliao e Controle a partir do COBIT Resumo O uso intensivo da Tecnologia da Informao (TI) e da internet interligam a empresa com os seus clientes, e isso possibilita a terceirizao de processos de negcio. O BSP (Business Service Provider) uma forma de terceirizao com alto nvel de delegao, que envolve processamento de dados feito de forma remota. Esta forma de terceirizao exige controles efetivos, sob pena de o servio ser interrompido e o cliente se perder entre os fornecedores. Uma metodologia que tem se mostrado efetiva no controle de diversas atividades de TI o COBIT Control Objectives for Information and related Technology. Neste contexto, este artigo tem como objetivo definir um conjunto de elementos, a partir do COBIT, para melhor gerenciar e controlar uma terceirizao atravs de BSP. Realizou-se uma pesquisa exploratria, fazendo uso de painel de especialistas e estudo de caso. Para este ltimo, utilizou-se a entrevista e a anlise de documentos como tcnica de coleta de dados. Os resultados apontam a necessidade de adaptao dos controles do COBIT terceirizao, e o artigo faz uma proposta de adaptao, que aplicada em um caso. A partir do estudo de caso, define-se prioridades de implantao dos controles do COBIT terceirizao. 1 Introduo Uma considervel parte do cenrio organizacional se baseia hoje no uso intensivo da Tecnologia da Informao (TI) e da internet, buscando a interligao da empresa com seus clientes, fornecedores e parceiros de negcio, conferindo agilidade aos processos, economias no processo produtivo e adequao dos produtos e servios s necessidades dos clientes (AMIT e ZOTT, 2001). Desta forma, ocorrem mudanas na forma de relacionamento entre os atores e tambm nos processos organizacionais e inter-organizacionais. Uma prtica que tem tido a sua utilizao crescente a terceirizao de processos de negcio, que mais ampla do que a terceirizao de pessoal, pois o que terceirizado toda uma atividade da empresa, e isso em geral necessita de vrios fornecedores, com especialidades diferentes. O BSP (Business Service Provider) uma forma de terceirizao de TI que envolve necessariamente processamento de dados, sempre feito de forma remota. No BSP, a empresa cliente contrata um fornecedor (o terceirizado) para que este fornea uma soluo completa para uma determinada atividade. Este terceirizado (empresa A) pode ser ele mesmo o fornecedor do sistema de informaes ou pode contratar este sistema de outra empresa (fornecedor B). Alm disso, h uma empresa para a hospedagem do sistema (fornecedor C) e outra para a hospedagem dos dados (fornecedor D). Como a comunicao entre todos estes fornecedores remota, h ainda necessidade de uma empresa que fornea a conexo (via Internet ou redes privadas) para as demais (fornecedor E). Esta forma de terceirizao com alto nvel de delegao (no s dos processos, mas tambm dos dados) mais intensa e complexa que uma terceirizao de mo-de-obra, por exemplo, pois h a virtualizao do processo envolvida, alm do nmero de fornecedores (em geral h de trs a cinco empresas envolvidas). Em decorrncia destas mudanas, faz-se

necessria a redefinio das estratgias de acompanhamento e controle desta operao de terceirizao (KHALFAN, 2004). Devido ao aprimoramento das formas de terceirizao, houve um aumento na necessidade de controles efetivos, sob pena de o servio ser interrompido e o cliente se perder entre t antos fornecedores. Uma metodologia que tem se mostrado efetiva no controle de diversas atividades de TI o COBIT Control Objectives for Information and related Technology. O COBIT, criado e mantido pelo ISACA (Information Systems Audit and Control Association) objetiva auxiliar os gerentes de TI no controle e no cumprimento dos objetivos de TI, mantendo estes sempre alinhados com os objetivos da organizao. A motivao para esta pesquisa o estudo de Barthelemy (2003), que analisou os esforos de cinq enta empresas para controlarem os processos terceirizados. O autor cita a necessidade de desenvolvimento de sistemticas efetivas para controlar e gerenciar o processo de terceirizao, sob risco de que as empresas que terceirizam servios de TI perderem o controle da atividade, trazendo uma srie de transtornos ao negcio e tambm uma razovel dificuldade caso queiram interromper a terceirizao de uma determinada atividade. Neste contexto, este artigo tem como objetivo definir um conjunto de elementos, a partir do COBIT, para melhor gerenciar e controlar uma terceirizao atravs de BSP. Pretende-se, ao final deste documento, responder a seguinte questo de pesquisa: quais so os domnios e processos do COBIT que podem ser aplicados para obter um controle mais efetivo de um processo de terceirizao atravs de BSP? A seguir, o item dois apresenta o embasamento terico da pesquisa. Os procedimentos metodolgicos so expostos no item trs, sendo os dados e resultados apresentados no item quatro. O item cinco tece algumas consideraes finais sobre o estudo. 2 Embasamento terico Desde o surgimento do computador, a internet a tecnologia que anuncia as mais profundas mudanas nos negcios (CHANG, TORKZADEH e DHILLON, 2004). Por meio da internet, as operaes ocorrem mais rapidamente e simultaneamente, resultando em menor tempo de resposta e menores custos, sendo o seu valor justamente a sua capacidade de proporcionar acesso imediato informao, produtos e servios (SMITH e KUMAR, 2004). Estas modificaes propiciadas pela TI e pela internet possibilitam que novas formas de realizao de processos de negcio existam. No entanto, estas precisam de formas efetivas de controle, sob risco de a organizao contratante ver interrompido o seu funcionamento (BARTHELEMY, 2003). 2.1 Virtualizao de processos Produtos e processos virtuais tm sua existncia e significado no espao virtual, ou ciberespao, que se constitui em uma realidade virtual, multidimensional, globalmente trabalhada em rede, suportada por comp utadores, acessada por computadores, gerada por computadores (CANO, BECKER e FREITAS, 2004). Neste espao, segundo os autores, os objetos no so nem fsicos nem, necessariamente, representaes de objetos fsicos, mas so, princ ipalmente, na forma, carter e ao, formados por dados, por pura informao. O ciberespao pode ser uma forma de realizao de negcios, constituindo mercados ou espaos eletrnicos, nos quais a criao de valor mistura elementos da economia tradicional com os da economia digital, uma vez que novas regras so criadas, mas muitas das regras da economia tradicional so aplicveis, de forma direta ou com adaptaes (KIM, BARUA e WHINSTON, 2002). A internet viabiliza o chamado ambiente digital, que permite a realizao eletrnica de negcios, como o comrcio eletrnico (ALBERTIN e ALBERTIN, 2005). Este ambiente digital pode ser entendido como diferentes espaos:

a) informao virtual: refere-se ao espao pelo qual a empresa fornece informaes sobre si, seus produtos e servios; b) comunicao virtual: o espao onde se estabelecem relacionamentos, troca de idias e opinies, sem limitaes fsicas e geogrficas; c) distribuio virtual: refere-se entrega de produtos e servios, restringindo-se queles que podem ser total ou parcialmente digitalizados; d) transao virtual: refere-se negociao, transferindo informaes sobre pedidos, acordos, faturas e pagamentos. A virtualizao de produtos e processos e as conseqentes implicaes nos canais de distribuio provocam alteraes na forma de fazer negcios, onde no h mais fronteira fsica, o que possibilita que se tenha uma atividade funcionando de forma particionada, em diferentes lugares, e mesmo assim esta atividade tem um melhor funcionamento e um menor custo, alm de poder ser acessada de qualquer lugar do mundo. 2.2 Terceirizao de TI e BSP Business Service Provider A terceirizao, em geral, pode ter diferentes motivadores: a reduo de custos, a busca de maior agilidade operacional, a necessidade de know-how adicional ao existente na empresa contratante e a reduo de atividades que no fazem parte do core business de uma organizao (AUBERT, RIVARD e PATRY, 2003). O objeto terceirizado pode assumir diferentes enfoques: parte do pessoal de uma equipe, de diferentes etapas de um processo produtivo ou de um servio. Pode-se ter a terceirizao da aquisio de matria-prima, de etapas da produo ou mesma da comercializao do produto final. Ainda, ela pode ocorrer dentro ou fora das instalaes da empresa. Observa-se como tendncia global um aumento na terceirizao da produo, atravs da qual as empresas de grande porte deram incio a um esforo de enxugamento, concentrando-se no seu core business, visando responder com rapidez s necessidades e demandas do mercado (AUBERT, RIVARD e PATRY, 2003). Na rea de TI a terceirizao tem crescido rapidamente, tendo se tornado uma realidade, e vista como uma alternativa estratgica para as empresas (SANTOS e OLIVEIRA, 2000, p.1). Ao terceirizar parte de suas operaes de TI, uma empresa precisa ter mecanismos de controle eficientes, uma vez que o a empresa terceirizada estar atuando diretamente em um dos ativos mais importantes da organizao, que a informao (RODA, 1999). Segundo Amit e Zott (2001), o BSP uma forma especfica de terceirizao de TI, na qual a terceirizao no somente de profissionais ou de parte de uma atividade, mas sim de todo um processo de negcio, e entre vrias empresas, todas elas atuando de forma eletrnica, como provedores de servios. A ttulo de exemplo, pode-se terceirizar o processamento de uma folha de pagamento pela maneira tradicional ou atravs do BSP. Pela maneira tradicional, contrata-se uma empresa que fornece o resultado da folha de pagamento (valor de salrios e de impostos, contracheques, etc.), mas permite pouca interao com o contratante, uma vez que no h uma ligao via rede e um acesso ao sistema do terceirizado. A principal diferena do BSP que o contratante pode acessar dados da folha de pagamento a qualquer momento e de qualquer lugar, desde que tenha acesso Internet, uma vez que o processo virtualizado. O Business Service Provider pode ser simplificado ou ampliado, conforme as Figuras 1 e 2, abaixo. Figura 1: Funcionamento do BSP Simplificado

BSP Simplificado Cliente 2 - Fornecedor do Armazenamento do SI e dos dados 3 - Fornecedor da Conexo (telecom)

1 - Fornecedor do Servio BSP e do SI

No BSP simplificado, o provedor de servios BSP tambm o fornecedor do sistema de informao utilizado na informatizao do processo. Este fornecedor, por sua vez, contrata outros dois fornecedores: um para armazenamento do SI e dos dados e outro para a conexo (Internet, VPN ou frame rela y). J no BSP ampliado o nmero de fornecedores pode chegar a cinco, pois o fornecedor do BSP contrata outros quatro fornecedores, conforme ilustrado abaixo: Figura 2: Funcionamento do BSP Ampliado
BSP Ampliado 2 -Fornecedor do Sistema de Informaes

Cliente

3 - Fornecedor do Armazenamento do SI 1 - Fornecedor do Servio BSP 4 - Fornecedor do Armazenamento de dados

5 - Fornecedor da Conexo (telecom)

O segmento de sistemas ERP o que mais utiliza o BSP, tanto na forma simplificada como na ampliada. O BSP uma importante forma de reduzir o custo e descomplicar os sistemas ERP, uma vez que o BSP reduz a complexidade na instalao do ERP. Para os players nacionais, fundamental que os custos de um ERP sejam acessveis para as mdias empresas, uma vez que as grandes empresas j tm este tipo de sistema, e em sua maior parte de players globais. Pelo BSP, os custos ficam mais acessveis e transparentes. Como muitas organizaes tm adotado a viso de TCO Total Cost Ownership no intuito de evitar custos que vo aparecendo durante a implantao de um sistema, ter custos mais controlados e demonstrveis fundamental para efetivar vendas, me especial no segmento de mdias empresas. 2.3 Governana de TI e COBIT De acordo com Brodbeck, Roses e Brei (2004), Governana de TI pode ser definida como uma estrutura de relaes e processos que dirige e controla uma organizao a fim de atingir seu objetivo de adicionar valor ao negcio atravs do gerenciamento balanceado do

risco com o retorno do investimento de TI. O COBIT (Control Objectives for Information and related Technology ) foi desenvolvido na dcada de 90 pela ISACA (Information System Audit and Control Association), e pode ser traduzido como objetivos de controle para a Informao e Tecnologia. Esta metodologia composta por trs modelos: Modelo de Processos (framework ), Modelo de Governana de TI e Modelo de Maturidade (SORTICA, CLEMENTI e CARVALHO, 2004). Segundo Weill e Woodham (2002), na primeira publicao desta ferramenta o foco principal era o controle e a anlise dos sistemas de informao (SI); na segunda edio, realizada em 1998, ocorreu a ampliao da base de recursos do COBIT, onde foi adicionado o guia prtico de implementao e de execuo. Na edio atual, j coordenada pelo IT Governance Institute (ITGI), foram acrescentadas as recomendaes de gerenciamento de ambiente de TI dentro de um modelo de maturidade de governana proposto, sendo este, baseado no modelo anlogo ao CMM (Capability Maturity Model), que um modelo de maturidade para avaliao de processos de software de uma organizao. Conforme Kakabadse e Kakabase (2001), o modelo de maturidade do COBIT pode ser descrito da seguinte maneira: a) Nvel 0 - Inexistente neste nvel, o processo de gerenciamento ainda no foi implantado; b) Nvel 1 - Inicial/Ad Hoc o processo de gerenciamento est sendo realizado, porm no existe nenhuma organizao ou planejamento; c) Nvel 2 Repetitivo, mas intuitivo neste nvel, o processo de gerenciamento repetido de modo intuitivo, por esta razo, depende mais das pessoas do que de um mtodo propriamente estabelecido; d) Nvel 3 - Processos definidos nesta etapa, o processo de gerenciamento realizado, documentado e disseminado na organizao; e) Nvel 4 - Processos gerenciveis e medidos neste nvel de maturidade, existem mtricas de avaliao do desempenho das atividades realizadas e o processo de gerenciamento monitorado e constantemente avaliado; f) Nvel 5 - Processos otimizados neste nvel do modelo de maturidade, as melhores prticas de mercado e de automao de processos so utilizadas pela organizao, visando melhoria contnua dos processos. Um detalhe muito importante a ser mencionado sobre a ferramenta COBIT justamente que ele independe da plataforma de TI adotada pela organizao, uma vez que seu uso voltado para o negcio. O COBIT fornece informaes detalhadas para o gerenciamento dos processos e possibilita o monitoramento de quanto a TI est agregando valor ao negcio da organizao (WEILL, 2004). O IT Governance Institute elenca quatro controles do COBIT, integrados de acordo com a Figura 3, abaixo. Figura 3: Os controles do COBIT

O controle dos Processos de TI TI

que satisfazem Requisitos do Negcio Negcio

so habilitados por Relao Relao de de Controles Controles

considerando Prticas de Controle

Fonte: IT Governance Institute (2005) A metodologia COBIT voltada para trs nveis bastante distintos entre si numa organizao: gerentes, usurios e auditores. No primeiro nvel, os gerentes sentem a necessidade de realizar a avaliao dos riscos e o controle dos investimentos em TI; no nvel de usurios, estes precisam garantir a qualidade dos servios que so prestados para os clientes internos e externos; e no ltimo nvel, os auditores tm a necessidade de avaliar o trabalho de gesto de TI e tambm de aconselhar o controle interno da organizao (BRODBECK, ROSES e BREI, 2004). O COBIT pode ser descrito como um guia de gesto em TI que est baseado em quatro domnios: (1) Planejamento e Organizao, que compreende os nveis tticos e estratgicos da organizao, visando sempre alcanar as metas do negcio com a utilizao dos recursos de TI; (2) Aquisio e Implementao cujo principal objetivo o de efetuar a estratgia de TI, desenvolvendo desta forma o relacionamento entre as necessidades de tecnologia e os negcios da organizao; (3) Entrega e Suporte, que tem como objetivo os resultados das necessidades dos usurios em relao aos servios prestados pela rea de TI da empresa; (4) Monitoramento e Avaliao, que verifica e monitora as aes de TI sob o ponto de vista de sua eficincia qualitativa (ISACA, 2005). Cada um destes domnios um conjunto de processos que iro garantir a completa gesto de TI, totalizando um total de 318 controles organizados em 34 processos distribudos conforme a Figura 4, abaixo. Figura 4 Domnios e controles do COBIT
Critrios de informao* Confidencialidade Conformidade Integridade Recursos de TI

Segurana

Eficincia

Utilidade

Domnio

Eficcia

Pessoas Aplicaes

Processo

Planejam ento e Organiza o

PO1 Define o plano estratgico de TI PO2 Define a arquitetura da informao PO3 Determina a direo tecnolgica

P P P

S S S

Informaes

Facilidades

Tecnologia

Define a organizao de TI e seus relacionamentos PO5 Gerencia os investimentos de TI Gerencia a comunicao das direes PO6 de TI PO7 Gerencia recursos humanos Assegura o alinhamento de TI com os PO8 requerimentos externos PO9 Avalia os riscos PO10 Gerencia os projetos PO11 Gerencia a qualidade AI1 Identifica as solues de automao AI2 Adquire e mantm os softwares Adquire e mantm a infra-estrutura AI3 tecnolgica Desenvolve e mantm os AI4 procedimentos AI5 Instala e certifica softwares AI6 Gerencia as mudanas Define e mantm os acordos de nveis DS1 de servio (SLA) DS2 Gerencia os servios de terceiros Gerencia a performance e capacidade DS3 do ambiente DS4 Assegura a continuidade dos servios DS5 Assegura a segurana dos servios DS6 Identifica e aloca custos DS7 Treina os usurios DS8 Assiste e aconselha os usurios DS9 Gerencia a configurao DS10 Gerencia os problemas e incidentes DS11 Gerencia os dados DS12 Gerencia a infra-estrutura DS13 Gerencia as operaes M1 Monitorar os processos Analisa a adequao dos controles M2 internos M3 Prov auditorias independentes M4 Prov segurana independente * P = Primrio; S = Secundrio PO4 Aquisio e Implementao Entrega e Suporte Monitorao

P P P P P P P P P P P P P P P P P P

S P S P P S S P P S P P P P P P S S P S S S S S P P S S S S S S S S

P P P P S P P S P P

S S S S S S S S S P P S S S P

P P P P

S S

P P P P P

P P P P P

S S S S

P P P P S S S S S S S S P S S S P S S S P S

Fonte: ISACA (2005) Os objetivos de controle do Cobit procuram atestar como cada processo faz uso dos recursos de TI para atender de forma primria ou secundria cada requisito do negcio em termos de informao, cobrindo todos os aspectos.

3 MTODO DE PESQUISA Este trabalho de natureza exploratria, adequado quando o objetivo examinar um tema ou problema de investigao pouco estudado ou que no tenha sido abordado anteriormente (SAMPIERI, COLLADO e LUCIO, 1991, p. 59), buscando compreender o estado da arte naquelas situaes em que a prtica se antecipa teoria (HOPPEN, 1997).

O estudo foi feito de acordo com as etapas ilustradas no desenho de pesquisa, abaixo. Figura 5: Desenho de Pesquisa
Referencial terico 1 Coleta de dados Domnios e processos do COBIT Painel de Especialistas 2

Discusso via frum

Resultados

3 Adaptao dos controles do COBIT terceirizao via BSP

Estudo de caso

A partir da explorao do COBIT, feita no referencial terico, estabeleceu-se um painel de especialistas, visando analisar cada um dos 34 objetivos pertencentes aos quatro domnios do COBIT. Esta etapa foi feita com o objetivo de validar, na opinio dos especialistas, quais dos domnios e processos do COBIT se mostram mais adequados gesto e ao controle de terceirizaes via BSP. Foram contatados via e-mail cinco especialistas com formaes em administrao e em cincia da computao, em nvel de graduao, especializao e mestrado, todos com razovel experincia na rea de TI, em especial voltada melhoria de processos. Os resultados da avaliao dos especialistas foram submetidos apreciao de um grupo de discusso sobre COBIT, ITIL e Governana de TI, que mantm discusses habituais sobre assuntos relacionados ao gerenciamento de TI. Nove pessoas participaram do f rum (alm de dois pesquisadores), que teve a durao de 55 minutos e ocorreu de forma virtual. Esta etapa ocorreu atravs de brainstorming entre os participantes, a partir do resultado da etapa anterior. As observaes feitas pelo frum foram submetidas no vamente a trs dos cinco especialistas entrevistados inicialmente. Uma vez tendo em mos esse conjunto de elementos, j validado por dois grupos de especialistas, partiu-se para a aplicao desse resultado em um caso. O caso analisado foi de uma fabricante nacional de ERP, que comercializa o seu ERP atravs da soluo BSP, tanto de forma simplificada como ampliada. O objetivo desta etapa foi verificar em uma situao prtica como deveria ser utilizado o COBIT para controle da qualidade e da execuo do contrato de BSP. Durante o estudo de caso, a entrevista em profundidade foi a principal tcnica de coleta de dados utilizada, tendo sido complementada com a anlise de documentos. Procurouse, conforme recomendao de Yin (1994, p. 121), fazer a triangulao de fontes de evidncia como forma de aumentar a compreenso do caso estudado, uma vez que vrias fontes de evidncia fornecem essencialmente vrias avaliaes do mesmo fenmeno. Utilizou-se um protocolo de estudo de caso, visando dar mais confiabilidade conduo do mesmo. O roteiro de entrevista composto basicamente pelo conjunto de domnios e objetivos do COBIT, alm de variveis que identificam em detalhes o funcionamento do BSP da empresa. As entrevistas foram face-a-face, e duraram 3 horas e 50 minutos e 2 horas e 10 minutos. As entrevistas foram gravadas e transcritas. A anlise de documentos procurou complementar e ilustrar os dados obtidos na entrevista. Os documentos analisados foram uma proposta comercial padro, um contrato de prestao de servios entre a empresa e seus clientes, um contrato do tipo SLA (Service Level

Agreement ) e o manual de normas de segurana conforme as definies da Poltica de Segurana da Informao da empresa. A anlise dos dados coletados para esta pesquisa foi atravs de anlise de contedo, uma vez que os dados eram de origem qualitativa. Os dados procedentes das entrevistas foram analisados atravs de anlise temtica e anlise da enunciao, que difere basicamente da anlise temtica por no ter como enfoque a busca de categorias, mas sim de um discurso, de um texto completo. Bardin (1977) cita que esta tcnica geralmente mais trabalhosa, uma vez que geralmente a quantidade total de texto a ser analisado maior, sendo necessrio interpretar maiores trechos para chegar a um primeiro agrupamento. 4 ANLISE DOS RESULTADOS Sendo o objetivo desta pesquisa definir um conjunto de elementos, a partir do COBIT, para melhor gerenciar e controlar uma terceirizao atravs de BSP, analisou-se a apreciao de dois grupos de especialistas e os dados coletados no estudo de caso. A anlise dos dados e as propostas deste estudo so descritas a seguir. 4.1 Validao pelo painel de Especialistas Os especialistas avaliaram o framework do COBIT, que, de acordo com o ISACA, tem a estrutura exposta da Figura 4, exposta no item 2.3. Pelo framework , definem-se prioridades (primria e secundria) para os 34 itens de controle, bem como os recursos de TI necessrios ao atendimento de cada processo. A avaliao dos especialistas foi no sentido de analisar e adaptar o framework para que este pudesse atender mais diretamente o controle de uma atividade de BSP. A avaliao dos especialistas foi feita de forma individual, e sem a indicao de quais itens so primrios ou secundrios no framework original do COBIT (embora os especialistas possa ter consultado estes dados ao fazer as marcaes na sua tabela). A partir da tabela de cada especialista, procedeu-se a tabulao dos dados. A concordncia entre os especialistas foi de 85%. Naqueles itens em que houve divergncia, um dos especialistas (identificado aqui como Especialista Snior) atuou como mediador, discutindo com os pesquisadores qual era a melhor indicao e por que. Este especialista possui certificaes em COBIT e ITIL, mestrado em Ad ministrao, e atua profissionalmente como consultor em melhoria de processos de TI. Inicialmente, os especialistas avaliaram se os quatro domnios (planejamento e organizao, aquisio e implementao, entrega e suporte, monitoramento) eram adequados ao controle de uma atividade BSP. Esta avaliao ocorreu porque, conforme j discutido no referencial terico, o COBIT bem abrangente, o que faz com que precise ser customizado para controle de algumas situaes no ambiente de TI. O primeiro especialista entrevistado considerou que todos os quatro domnios so aplicveis ao controle de uma terceirizao via BSP. No entanto, os quatro especialistas seguintes consideraram que o domnio Planejamento e Organizao se refere mais ao contexto geral da organizao ou do setor de TI, e no se aplica diretamente a uma atividade de TI. Tendo em vista esta divergncia, retornou-se ao primeiro especialista, que julgou procedente a avaliao dos demais, modificando a sua avaliao inicial. Desta forma, os especialistas sugeriram que fossem considerados como domnios adequados para avaliao de uma atividade BSP a Aquisio e Implementao, a Entrega e Suporte e o Monitoramento. A partir destes trs domnios, os especialistas indicaram na dimenso Critrios de Informao quais dos 23 processos consideravam serem primrios e quais secundrios, conforme Figura 6 abaixo. Os itens hachurados so aqueles que os especialistas sugeriram alteraes em relao ao roteiro original do COBIT.

Figura 6: Aplicao dos domnios e processo do COBIT ao controle de BSP

Critrios de informao* Confidencialidade Conformidade S S S P S P S P S S S P P S S S S P P P P P

Integridade

Processo

Aquisio e Implementao

AI1 AI2 AI3 AI4 AI5 AI6 DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 M1 M2

Identifica as solues de automao Adquire e mantm os softwares Adquire e mantm a infra-estrutura tecnolgica Desenvolve e mantm os procedimentos Instala e certifica softwares Gerencia as mudanas Define e mantm os acordos de nveis de servio (SLA) Gerencia os servios de terceiros Gerencia a performance e capacidade do ambiente Assegura a continuidade dos servios Assegura a segurana dos servios Identifica e aloca custos Treina os usurios Assiste e aconselha os usurios Gerencia a configurao Gerencia os problemas e incidentes Gerencia os dados Gerencia a infra-estrutura Gerencia as operaes Monitorar os processos Analisa a adequao dos controles internos

P P P P P P P P P P P P P P P P P P P P P P

S P P P S P P P P P P P S P P P P P P P P P P S S P S

S S S S S P P P S S P S S S S P P S S S S

S P P S P P S S P P S S S P P P P P P

Entrega e Suporte

Monitorao

P S P S P

P P P P S P P S

M3 Prov auditorias independentes M4 Prov segurana independente * P = Primria; S = Secundria

4.2 Avaliao pelo grupo do Frum Conforme explicitado no mtodo de pesquisa, uma segunda etapa foi a submisso dos resultados da etapa anterior em um frum de discusso sobre COBIT. Este grupo de discusso se encontra regularmente, e tem uma pauta fixa de discusses (sobre ITIL, COBIT e Governana de TI, em especial, mas tambm de outros padres, como COSO, SarbanesOxley e assuntos correlatos), e por isso considerou-se vlida a submisso dos resultados a este grupo. Aps a avaliao do framework, os participantes do frum sugeriram cinco alteraes, a saber: a) No domnio Aquisio e Imp lementao, no objetivo AI1 (Identifica as solues de automao): alterar de Nenhuma indicao para Secundrio no critrio Utilidade, porque a utilidade de uma informao depende de que tenha sido identificada a soluo ideal de automao;

Segurana

Eficincia

Utilidade

Domnio

Eficcia

b) No domnio Aquisio e Implementao, processo AI5 (Instala e certifica softwares): retirar a indicao de Secundrio para o critrio Utilidade, porque a utilidade da informao independe da instalao e certificao de softwares, uma vez que esta definida no processo Identifica as solues de automao (AI1). c) No domnio Entrega e Suporte, no objetivo DS7 (Treina os usurios): alterar de Secundrio para Primrio no critrio Conformidade, uma vez que o treinamento de usurios pode contribuir significativamente para a conformidade de um servio; d) No domnio Entrega e Suporte, no objetivo DS8 (Assiste e aconselha os usurios): alterar de Nenhuma indicao para Secundrio no critrio Confidencialidade, pois muitas vezes os usurios fornecem (ou facilitam o acesso a) informaes sigilosas sem saberem do risco ao qual esto expondo a empresa; e) No domnio Entrega e Suporte, no objetivo DS9 (Gerencia a Configurao): alterar de Nenhuma indicao para Secundrio no critrio Eficincia, porque uma configurao adequadamente gerenciada pode contribuir para a eficincia de um processo; f) No domnio Monitorao, no objetivo M1 (Monitorar os processos): alterar de Secundrio para Primrio no critrio Integridade, uma vez que ao monitoramento de processos pode contribuir para a integridade deste e dos demais processos. Estas alteraes foram submetidas avaliao do Especialista Snior, que concordou com cinco delas e ficou em dvida na do item c, pois considera que em geral os usurios de servios BSP so instrudos o suficiente para no prejudicarem o processo. Como a etapa seguinte da pesquisa era o estudo de caso, optou-se por manter a alterao e ficar atento ao item durante a anlise do caso. 4.3 Estudo de caso O caso estudado o produto BSP oferecido pela Alpha. A Alpha uma empresa de desenvolvimento de sistemas de informao e prestao de servios em Tecnologia da Informao, no mercado h mais de 20 anos. O principal sistema comercializado pela Alpha o ERP (Enterprise Resource Planning), nos mdulos logstica, manuteno, RH, vendas, manufatura e finanas. A empresa tem mais de 80 mil usurios ativos, distribudos em 2 mil clientes. A Alpha tem certificao ISO e j conquistou diversos prmios no pas e no exterior. O servio BSP da Alpha foi iniciado em 2002, e foi um dos primeiros do Brasil. A empresa atende em torno de 100 clientes, em grande parte empresas de mdio porte. A adoo do BSP bastante simples: o cliente escolhe a aplicao que necessita, definido de comum acordo se o BSP adotado ser o simplificado ou o ampliado, e em poucos dias o cliente pode iniciar a utilizao do sistema (a menos que sejam necessrias customizaes). A reduo de custos do BSP em relao terceirizao tradicional ocorre principalmente porque todos os investimentos que deveriam ser feitos separadamente pelas empresas foram feitos por uma nica empresa (Alpha) com ganho de escala e compartilhamento destes investimentos, inclusive mo de obra. Alm disso, a empresa cliente no precisa ter mo de obra especializada para administrao do ambiente de TI, e no corre o risco da rpida obsolescncia do investimento realizado. Dentro do conceito de BSP, a Alpha entrega ao cliente um pacote completo de produtos e servios: sistema ERP, link de comunicao, mo-de-obra para gerenciamento do banco de dados do sistema, atualizao do software, atualizaes de itens internos do ERP e do banco de dados. O pagamento por mensalidade, calculada a partir de qual sistema est sendo utilizado, dos itens contratados no SLA (Service Level Agreement ) e da quantidade de usurios. A partir das entrevistas e da observao, realizou-se uma anlise de como se comportam os processos no BSP da empresa. Inicialmente, o objetivo era analisar os 23

processos na figura 6, pertencentes a trs domnios. No ento, no primeiro contato com a empresa percebeu-se a dificuldade de uma anlise aprofundada de 23 processos diferentes. Como no era a inteno deste estudo fazer uma anlise superficial destes processos, criou-se uma sistemtica de separao por prioridade entre os 23 processos. Para tal, considerou que cada um dos processos da Figura 6 do item 4.1 e modificaes propostas no item 4.2, atribuindo o valor 2 para os com atribuio P (Primrio) e 1 para os com atribuio S (Secundrio), criando um escore de prioridade. Esta sistemtica permitiu que se dividissem os 23 professos em 3 grupos, conforme figura abaixo: Figura 7: Priorizao de domnio e processos de COBIT para BSP
Domnio/Processo DS2 Gerencia os servios de terceiros DS13 Gerencia as operaes DS1 Define e mantm os acordos de nveis de servio (SLA) DS5 Assegura a segurana dos servios Grupo 1 M1 Monitorar os processos Alta prioridade para M2 Analisa a adequao dos controles internos BSP M3 Prov auditorias independentes M4 Prov segurana independente DS11 Gerencia os dados DS4 Assegura a continuidade dos servios DS10 Gerencia os problemas e incidentes AI6 Gerencia as mudanas AI4 Desenvolve e mantm os procedimentos Grupo 2 DS3 Gerencia a performance e capacidade do ambiente Prioridade DS7 Treina os usurios intermediria para BSP AI2 Adquire e mantm os softwares AI3 Adquire e mantm a infra-estrutura tecnolgica DS8 Assiste e aconselha os usurios DS12 Gerencia a infra-estrutura Grupo 3 DS9 Gerencia a configurao Menor prioridade AI1 Identifica as solues de automao para BSP AI5 Instala e certifica softwares DS6 Identifica e aloca custos Grupos Escore 14 14 13 13 13 13 13 13 11 10 10 9 8 8 8 7 7 7 7 6 5 4 4

A partir do escore acima, foram criados trs grupos. O considerado como alta prioridade (escores 10 a 14) contm 11 processos (7 de Entrega e Suporte; 4 de Monitorao). O de prioridade intermediria contempla 4 processos (2 de Entrega e Suporte; 2 de Aquisio e Implementao), e o de menor prioridade contempla 8 processos (4 de Aquisio e Implementao; 4 de Entrega e Suporte). Optou-se, ento por analisar detalhadamente os 11 processos de grupo de alta prioridade, lembrando aqui que esta alta prioridade se refere aplicao de itens do COBIT para o gerenciamento e controle de terceirizaes atravs de Business Service Provider. a) DS2 - Gerencia os servios de terceiros: Este item, junto com o gerenciamento de operaes, ficou com o escore de importncia mais elevado entre os 11 processo analisados no caso estudado, o que facilmente compreensvel, uma vez que ele se refere justamente ao controle dos atores envolvidos no BSP. Sem o gerenciamento dos servios de terceiros no h como garantir a qualidade do

servio nem m esmo a sua continuidade, tanto porque pequenos erros e omisses podem se acumular como porque algumas atividades de fronteira podem passar desapercebidas. Em ambos os casos, estas pequenas situaes podem se acumular, gerando grandes problemas, e para a resoluo destes ser preciso despender esforos e investimentos. b) DS13 - Gerencia as operaes: Se o gerenciamento de operaes fundamental para o qualquer atividade funcione de acordo com o que foi especificado, para o BSP essa importncia foi confirmada, uma vez que se tem, alm dos perigos de qualquer terceirizao, dificuldades inerentes quantidade de fornecedores e ligao virtual entre estes. No gerenciamento das operaes, mostrou-se fundamental existir a documentao dos processos, como forma de harmonizar e padronizar a realizao das atividades. Da mesma forma, o registro (transparente a todos os atores do processo) do status de cada atividade auxilia os envolvidos a gerenciarem atividades predecessoras e sucessoras a uma atividade em andamento, alm de conferir confiabilidade ao processo. bastante til nesta atividade uma sistemtica e uma ferramenta de BPM (Business Process Management ), que auxilia o redesenho e a otimizao das operaes. c) DS1 - Define e mantm os acordos de nveis de servio (SLA): O SLA tm se mostrado um efetivo instrumento de controle, um mecanismo pelo qual uma empresa contratante de servios discrimina as garantias de qualidade, quantidade, modalidade e preciso dos diferentes servios adquiridos de um terceiro. A Alpha tem dois tipos de SLA. Um o que ela faz com o cliente, como fornecedora do servio BSP. O segundo tipo de SLA o que ela faz com os seus fornecedores (dois ou quatro, dependendo de atuar com BSP simplificado ou ampliado), e neste SLA ela a cliente do servio.Neste caso, h um SLA para cada um dos fornecedores. Em ambos os tipos de SLAs (como fornecedora e como clientes) h o detalhamento destes, atravs do o SLS (Service Level Specification), do SLD (Service Level Description) e do OLA (Operational Level Agreement ). O SLS especifica quais so os itens que devem ser fornecidos. O SLD descreve em detalhes o funcionamento de cada item acordado, especificando os tempos ideais de acesso, de retorno a pedidos de suporte, de resposta de emails, de r etorno em caso de suspenso de fornecimento, etc. O OLA detalha qual a penalidade caso algum item do SLA seja descumprido; esta penalidade em geral um desconto (percentual) no valor do servio do BSP, indo de 2 a 50%. O depoimento de um dos entrevistados refora a importncia do SLA.
[...] eu estou assumindo contigo um nvel de servio, se eu no atender esses quesitos, voc vai ter direito a ressarcimento, e a empresa vai comear a entrar no vermelho porque no vai receber pelos servios justamente porque no cumpriu o SLA, e assim a empresa quebra. Essa a sua garantia de segurana. [E1]

d) DS5 - Assegura a segurana dos servios: A segurana tem sido um tem de extrema importncia nas organizaes, e um exemplo disso que o ITIL (Information Technology Infrastructure Library, conjunto de melhores prticas de gesto de TI) o coloca como base para que o fornecimento de servios possa ser garantido. A empresa caso deste estudo toma uma srie de cuidados com a imagem de tica e segurana que passam aos seus clientes: fazemos tudo que possvel, dentro do que a tecnologia nos permite (E2). H uma confiana muito grande na equipe, pois esta bem selecionada e, alm disso, no sabe que informao est ali e para quem que ela pode interessar (G1). A empresa assume que falhas podem ocorrer, mas ressalta que toma as precaues necessrias:

[...] ns temos toda uma infra -estrutura de segurana, o que tem de melhor, de mais bem feito, ns fazemos. Se voc achar que deixar dentro de sua casa mais seguro, voc est enganado, mais seguro aqui, porque temos o aparato de segurana. Se isso no bastasse, o nosso contrato prev toda a parte de confidencialidade, com multas para tudo, alm do cdigo civil, que me obriga a reparar para ele quaisquer danos e prejuzos, e se eu infringir isso e essa situao for para a imprensa o meu negcio acabou [E1]

e) M1 - Monitorar os processos: Embora parea muito semelhante ao processo de gerenciamento de operaes (DS13), a diferena entre estes justamente a ao: monitorar ao invs de gerenciar. O monitoramento dos processos implica em que sejam criados uma srie de indicadores de controle, estabelecendo mtricas e pontos de controle. Este objetivo o que mais contribui para que a organizao possa obter os nveis de maturidade expostos no item 2.3 do nvel 0 (gerenciamento de processos inexistente) at o nvel 5 (processos otimizados). Com o monitoramento de processos, pode-se passar de um processo que depende mais das pessoas do que de um mtodo propriamente estabelecido para a utilizao de melhores prticas e melhoria contnua dos processos. Tambm til nesta atividade uma ferramenta de BPM ( Business Process Management ), que auxilia o redesenho e a otimizao das operaes.

f) M2 - Analisa a adequao dos controles internos: Este processo funciona de forma muito alinhada ao anterior, uma vez que revisa, adapta e valida os controles definidos no processo M1 (Monitorar os processos). Os controles internos, em uma terceirizao atravs de BSP, so um elemento cha ve para notificao de todos os atores envolvidos nesta terceirizao. No entanto, se no estiverem adequados, no sero uma medida efetiva do funcionamento do BSP. Para melhorar este processo bastante importante a implantao de vrias metodologias (ou melhores prticas) de gerenciamento de TI, tais como ITIL e COSO, assim como a implementao dos demais processos do ITIL. g) M4 - Prov segurana independente: Sendo o BSP um servio que em geral utiliza diversos fornecedores, fundamental que cada um deles possa dar garantia de segurana, independente dos demais. Desta forma, caso a segurana de um dos fornecedores no seja suficiente para barrar uma determinada ameaa, o aparato de segurana do fornecedor que recebe aquela etapa dos servios pode evitar que esta ameaa se torne um incidente. h) M3 - Prov auditorias independentes: Assim como o anterior, importante que cada um dos envolvidos possa auditar os seus processo e os dos parceiros envolvidos diretamente com as suas atividades. Um dos grandes riscos da terceirizao uma situao onde os diferentes fornecedores vo jogando a responsabilidade para o outro, e no resolvem o problema, prejudicando o cliente. Com procedimentos de auditoria, esta situao tende a ocorrer com menor freqncia, alm de ser possvel o controle via SLA. i) DS11 - Gerencia os dados: Embora tenha ficado com 11 pontos, este item no se mostrou importante para o BSP especificamente, uma vez que o gerenciamento de dados j faz parte de rotinas implementadas h bastante tempo (na Alpha, mas tambm em outras organizaes), como

rotinas sistemticas de backup e gerenciamento do banco de dados (feito em geral pelos DBAs Data Base Administrator, ou Administrador de Banco de Dados). j) DS4 - Assegura a continuidade dos servios: A continuidade dos servios garantida a partir da implementao de uma srie de controles internos para que os servios no seja interrompidos. Atravs das entrevistas e em especial da anlise de documentos, percebeu-se que na empresa analisada o que sustenta este processo so o detalhamento e o controle dos nveis de servio (DS1 - Define e mantm os acordos de nveis de servio - SLA) e a garantia segurana (DS5 - Assegura a segurana dos servios). Isto porque para a continuidade dos servios fundamental que o acordo com o(s) fornecedor(es) esteja bem detalhado e passvel de execuo via SLA, alm de ter um forte esquema de segurana fsica e lgica funcionando na organizao. importante tambm que a organizao mantenha SLAs internos com todos os setores com os quais o setor responsvel pelo BSP tem dependncia (em termos de servios realizados), visando evitar que, mesmo que os seus fornecedores (externos) cumpram a sua parte, a continuidade dos servios seja interrompida por no-conformidades internas. k) DS10 - Gerencia os problemas e incidentes: A questo de problemas e incidentes faz parte de uma cultura local que privilegia a resoluo imediata no acompanhada de reflexo no sentido de evitar que estes desconfortos ocorram novamente. O inc idente tem uma caracterstica de ser isolado, contingencial, enquanto que o problema algo que (provavelmente) vai se repetir. Desta forma, importante que a empresa tenha um catlogo de incidentes e problemas, e a cada vez que um novo ocorrer, compar-lo com aqueles constantes do catlogo, a fim de tomar as medidas necessrias para que este no ocorra mais e tambm no sentido de um comportamento pr-ativo, investigando e resolvendo previamente incidentes que podem se tornar problemas. Este comportamento fundamental para que a organizao seja um fornecedor confivel de servios BSP. Aps a anlise dos 11 processos considerados pelos dois grupos de especialistas como prioritrios para terceirizaes atravs de Business Service Provider, percebeu-se que o processo Gerencia os dados (DS11) no se mostrou prioritrio no caso estudado. Embora possa ser um comportamento derivado dos limites do estudo de caso, os elementos coletados no estudo de caso levam a acreditar que ele no se mostra realmente prioritrio, por no ser discriminante para o BSP. 5 CONSIDERAES FINAIS Ao final desta pesquisa, consideram-se atingidos os objetivos traados para o estudo. Os controles do COBIT foram analisados e, aps a opinio de 14 especialistas (divididos em dois grupos), foram adaptados a situaes de terceirizao atravs de BSP. Como o COBIT bastante genrico, torna-se importante estudar aplicaes mais especficas a determinadas situaes e cenrios. Com a aplicao dos resultados em um estudo de caso, certifica-se os resultados obtidos a partir da anlise dos especialistas, alm de que esta etapa permitiu uma descrio da adeqabilidade e aplicao destes controles em uma situao real. Em termos de contribuio do estudo, a principal contribuio foi no sentido de contribuir para a lacuna acadmica citada por Barthelemy (2003), da necessidade de desenvolvimento de sistemticas efetivas para controlar e gerenciar o processo de terceirizao. O Cobit j est sendo aplicado por diversas organizaes brasileiras, e este estudo pode contribuir como mais uma ferramenta de apoio.

Como limites da pesquisa, alm daqueles tpicos do estudo de caso, pode-se considerar a realizao de estudo de caso nico. Como continuidade para o estudo, pretende-se realizar novos estudos com mais casos, e analisando as todas as disciplinas do COBIT. REFERNCIAS ALBERTIN, A. L.; ALBERTIN, R. M. M. Tecnologia da Informao e desempenho empresarial: as dimenses de seu uso e sua relao com os benefcios do negcio 2005. So Paulo: Atlas, 2005. AMIT, R.; ZOTT, C. Value creation in e-business. Strategic Management Journal, v. 22, p. 493-520, jan 2001. AUBERT, Benoit; RIVARD, Suzanne; PATRY, Michel. A transaction cost model of IT outsourcing. Information & Management , sep. 2003, p. 1-12 BARDIN, La urence. Anlise de contedo. Lisboa: Edies 70, 1977. BARTHELEMY, Jerome. The Hard and Soft Sides of IT Outsourcing Management. European Management Journal, Vol. 21, No. 5, pp. 539548, 2003 BRODBECK, ngela F.; ROSES, Lus Kalb; BREI, Vincius A. Governana de TI: Medindo o Nvel de Servios Acordados entre as Unidades Usurias e o Departamento de Sistemas de Informao. In.: ENANPAD , 28, 2004, Curitiba. Anais... Curitiba: ANPAD, 2004. CANO, Carlos B; BECKER, Joo L.; FREITAS, Henrique. A Organizao Virtual no Espao Ciberntico. Porto Alegre: Editora UFRGS, 2004. CHANG, Jerry Cha-Jan; TORKZADEH, Gholamreza; DHILLON, Gurpreet. Re-examining the measurement models of success for Internet commerce. Information & Management , v. 41, n. 2, p. 577584, jan. 2004. HOPPEN, Norberto et al. Avaliao de artigos de pesquisa em sistemas de informao: proposta de um guia. In.: ENANPAD, 21, 1997, Rio das Pedras. Anais... Rio das Pedras: ANPAD , 1997. ISACA. Cobit Mapping : Overview of International IT Governance. Disponvel em: < http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/COBIT_Mapping _Paper_6jan04.pdf >. Acesso em: 17 jul. 2005. IT GOVERNANCE INSTITUTE. COBIT 3rd Edition: Control Objectives. Estados Unidos: Information Systems Audit and Control Association, 2000. ______. COBIT 3rd Edition: Framework, Estados Unidos: Information Systems Audit and Control Association, 2000. ITSMF-INTERNATIONAL. IT Service Management : An Introduction. Holanda: Van Haren Publishing, 2002. KAKABADSE, N.; KAKABASE, A. IS/IT Governance : Need for and integrated model. Corporate Governance, United Kingdon, v. 1, n. 4, p. 9-11, mar. 2001. KHALFAN, Abdulwahed. Information security considerations in IS/IT outsourcing projects:a descriptive case study of two sectors. International Journal of Information Management 24, 2004, p. 2942 KIM, Beomsoo, BARUA, Anitesh, WHINSTON, Andrew B. Virtual field experiments for a digital economy: a new research methodology for exploring an information economy. Decision Support Systems , 32 (2002) 215 231 OFFICE OF GOVERNMENT COMMERCE. Planning To Implement Service Management . Reino Unido: The Stationery Office, 2002. RODA, Roy. IT skills standards. Communications of the ACM . New York: abril 1999, v.42,n.4, p.21-26. SAMPIERI, Roberto H.; COLLADO, Carlos F.; LUCIO, Pilar B. Metodologa de la investigacin. Mxico: McGraw-Hill, 1991.

SANTOS, Carlos A. P. N., OLIVEIRA, Francisco C. Terceirizao no processo de desenvolvimento de sistemas de informaes. In.: Anais do XXIV ENANPAD . ANPAD: SMITH, Michael A.; KUMAR, Ram. A theory of application service provider (ASP) use from a client perspective. Information & Management , 41 (2004) 977-1002 SORTICA, E. A.; CLEMENTI, S.; CARVALHO, T. C. M. B. Governana de TI: Comparativo entre Cobit e ITIL. Anais do Congresso Anual de Tecnologia da Informao - CATI. 2004. WEILL, Peter. Don`t Just Lead, Govern: How Top-Performing Firms Govern IT. Mis Quarterly Executive , Minnesota, v. 3, n. 1, p. 1-17, Mar. 2004. WEILL, Peter; WOODHAM, R. Don`t Just Lead, Govern: Implementing Effective IT Governance. Massachusetts: MIT 2002. YIN, Robert K. Case study research: design and methods. California: Sage Publications, 1994.