Cobit Artigo

JISTEM Revista de Gesto da Tecnologia e Sistemas de Informao
Journal of Information Systems and Technology Management

Vol. 8, No. 1, 2011, p. 237-262
ISSN online: 1807-1775
DOI: 10.4301/S1807-17752011000100011

_____________________________________________________________________________________
Recebido em/Manuscript first received: 09/03/2010 Aprovado em/Manuscript accepted: 09/08/2010

Endereo para correspondncia/ Address for correspondence
Edimara Mezzomo Luciano, Pontifcia Universidade Catlica do Rio Grande do Sul; Faculdade de
Administrao, Contabilidade e Economia; Programa de Ps-Graduao em Administrao Av. Ipiranga,
6681 Prdio 50 sala 1101 90.619-900 Porto Alegre/RS Fone/Fax (51) 3320-3524 , e-mail:
eluciano@pucrs.br
Mauricio Gregianin Testa, Pontifcia Universidade Catlica do Rio Grande do Sul, Faculdade de
Administrao, Contabilidade e Economia, Programa de Ps-Graduao em Administrao Av. Ipiranga,
6681 Prdio 50 sala 1101 CEP 90619-900 Porto Alegre/RS Fone/Fax (51) 3320-3524, e-mail:
mauricio.testa@pucrs.br

ISSN online: 1807-1775
Publicado por/Published by: TECSI FEA USP 2011
CONTROLES DE GOVERNANA DE TECNOLOGIA DA
INFORMAO PARA A TERCEIRIZAO DE PROCESSOS DE
NEGCIO: UMA PROPOSTA A PARTIR DO COBIT
CONTROLS OF INFORMATION TECHNOLOGY MANAGEMENT FOR
BUSINESS PROCESSES OUTSOURCING BASED ON COBIT

Edimara Mezzomo Luciano
Mauricio Gregianin Testa
Pontifcia Universidade Catlica do Rio Grande do Sul, Brasil

ABSTRACT
The Business Service Provider is an outsourcing system which, offers a high level of delegation
of tasks that involves many suppliers, and demands an effective control necessary for the
services not to be interrupted. This papers objective is to define a set of elements, based on
COBIT - Control Objectives for Information and related Technology, to better manage and
control the BSP operations. This research, is exploratory, using specialists panel and a case
study. The results show the need to adapt the COBIT controls to fit the BSP. This article
proposes the adaptation and verification of the applicability to a case, defining deployment
priorities.
Keywords: IT outsourcing; IT Governance; Business Service Provider; IT management; COBIT

Luciano, E. M., Testa, M. G.

R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
238
RESUMO

O Business Service Provider (BSP) uma forma de terceirizao com alto nvel de delegao
que envolve muitos fornecedores, exigindo controles efetivos, sob pena de o servio ser
interrompido. O objetivo deste artigo definir um conjunto de elementos, a partir do COBIT -
Control Objectives for Information and related Technology-, para melhor gerenciar e controlar
uma operao BSP. A pesquisa exploratria, com painel de especialistas em dois momentos
distintos e estudo de caso. Os resultados mostram um conjunto de dez processos do COBIT
prioritrios para controle e acompanhamento pelas organizaes, definido por especialistas e
refinado em um estudo de caso.
Palavras-chave: terceirizao de TI; governana de TI; Business Service Provider; gesto de
TI; COBIT

1 INTRODUO

Uma considervel parte do cenrio organizacional se baseia hoje no uso
intensivo da Tecnologia da Informao (TI) e da Internet, buscando a interligao da
empresa com seus clientes, fornecedores e parceiros de negcio, conferindo agilidade
aos processos, economias no processo produtivo e adequao dos produtos e servios s
necessidades dos clientes (Zott e Amit, 2010).
Com a TI se tornando fundamental para as operaes e mesmo para as
estratgias organizacionais, fica mais ntida a preocupao com prticas de gesto que
reduzam o risco das operaes, garantam a continuidade dos servios por elas prestados,
preservando assim as operaes da empresa e a sua relao com os clientes. Estas
questes so endereadas pela Governana de TI, que se refere estrutura de relaes e
ao processo de tomada de deciso em TI, incluindo decises de investimento e
priorizao (RAU, 2004). Sendo estas decises de alto nvel a respeito da TI, a Gover-
nana de TI pode influenciar significativamente o desempenho da empresa por meio da
criao de valor para o negcio e do gerenciamento balanceado do risco com o retorno
do investimento (Xue, Liang e Boulton, 2008).
Esta preocupao envolve igualmente as atividades terceirizadas, j que ao
terceirizar parte de suas operaes de TI, uma empresa precisa ter mecanismos de
controle eficientes, uma vez que a empresa terceirizada estar atuando diretamente em
um dos ativos mais importantes da organizao, que a informao. Isto tambm se faz
necessrio para que a empresa terceirizada se mantenha alinhada com os objetivos de
negcio da empresa cliente e que a auxilie no atendimento de suas metas e objetivos. A
terceirizao normalmente utilizada no intuito de buscar aumento de eficincia
organizacional, reduo de custos e qualidade nos seus servios, e o mesmo acontece na
rea de TI. Muitas organizaes optam pela terceirizao em virtude constante
mudana no ambiente de TI e s alianas estratgicas, cada vez mais comuns (Prado,
2009).
Dentro das diversas modalidades ou amplitudes de terceirizao, a terceirizao
de processos de negcio tem sido crescente e, segundo Lacity, Khan e Willcocks
(2009), permear as organizaes no futuro, em virtude da crescente padronizao dos
Controles de Governana de Tecnologia da Informao para a terceirizao de processos de
negcio: Uma proposta a partir do COBIT

Vol.8, No.1, 2011, p. 237-262
239
processos de negcio. Esta modalidade de terceirizao mais ampla do que a
terceirizao de um projeto, pois o objeto terceirizado constitui toda uma atividade da
empresa e que normalmente contribui para a agregao primria de valor. Este tipo de
terceirizao em geral envolve vrios fornecedores, com especialidades diferentes. Na
rea de Tecnologia da Informao, este tipo de terceirizao conhecido como BSP
(Business Service Provider), normalmente envolvendo processamento de dados de
forma remota. A vantagem para o cliente a possibilidade de no se envolver na gesto
dos fornecedores, em atividades normalmente de alta especificidade, reduzindo, assim,
os custos de transao (Williamson, 2008).
Estes dois cenrios a preocupao com a melhoria dos processos de gesto de
TI e a crescente presena da terceirizao nas organizaes fazem com que seja
necessria uma boa estrutura de Governana entre os parceiros, sob pena dos servios
prestados serem interrompidos e causarem perdas para as organizaes envolvidas.
Estas perdas podem envolver questes financeiras, de imagem ou de oportunidade,
todas elas com custos razoveis para reverso, ou mesmo o aumento de custos diretos,
indiretos e custos de transao.
Entre as diferentes prticas internacionalmente reconhecidas para a Governana
de atividades que envolvam TI, o COBIT se mostra adequado ao controle de processo
de negcio, pois disponibiliza uma ampla gama de recursos de controle e auditoria
aplicveis a vrios cenrios e organizaes. O COBIT, criado e mantido pelo ISACA
(Information Systems Audit and Control Association) objetiva auxiliar os gerentes de TI
no controle e no cumprimento dos objetivos de TI, mantendo estes sempre alinhados
com os objetivos da organizao.
Tendo em vista os elementos expostos, este artigo tem o intuito de analisar a
aplicabilidade de controles definidos com base no COBIT para o acompanhamento e
gerenciamento de um caso de terceirizao de processos de negcio que possa
contribuir para a manuteno e atendimento dos princpios de Governana de TI.
A seguir, detalha-se a situao problemtica, a justificativa e motivao para esta
pesquisa, os seus objetivos e a questo de pesquisa.

1.1 Problema de pesquisa

Em uma terceirizao via Business Service Provider, a empresa cliente contrata
um fornecedor (o terceirizado) para que este fornea uma soluo completa para uma
determinada atividade. Este terceirizado (empresa A) pode ser ele mesmo o fornecedor
do sistema de informaes ou pode contratar este sistema de outra empresa (fornecedor
B). Alm disso, h uma empresa para a hospedagem do sistema (fornecedor C) e outra
para a hospedagem dos dados (fornecedor D). Como a comunicao entre todos estes
fornecedores remota, h ainda necessidade de uma empresa que fornea uma conexo
segura e de alta velocidade (normalmente via VPN) para as demais (fornecedor E). O
BSP semelhante ao ASP (Application Solution Provider), atualmente mais conhecido
como SaaS (Software as a Service), s que vai alm, fornecendo todos os servios
necessrios para a terceirizao de um processo de negcio, enquanto que o SaaS

240
fornece os servios necessrios para a operao de um Sistema de Informaes de forma
remota (Lacity, Khan e Willcocks, 2009).
Esta forma de terceirizao com alto nvel de delegao (de processos, de
gerao e de armazenamento de dados) mais complexa que uma terceirizao de mo
de obra ou de uma atividade, por exemplo, pois h a virtualizao do processo
envolvido, alm do nmero de fornecedores (em geral, h de trs a cinco empresas
envolvidas). Em decorrncia das mudanas que esto ocorrendo com este tipo de
atividade, faz-se necessria a redefinio dos processos de acompanhamento e controle
desta operao de terceirizao (Aundhe e Mathew, 2009).
O problema de pesquisa constitui-se na organizao e gesto de todos os
fornecedores envolvidos no BSP, atendendo os objetivos da terceirizao por parte da
organizao contratante, e sem comprometer os princpios de Governana de TI.
Pretende-se, ao final deste artigo, responder a seguinte questo de pesquisa: quais
controles, definidos a partir do COBIT, podem ser utilizados de maneira efetiva no
gerenciamento de um processo de terceirizao de processos de negcio baseados em
Tecnologia da Informao?

1.2 Objetivo

Diante do contexto exposto, este artigo tem como objetivo definir um conjunto
de controles, a partir do COBIT, para melhor gerenciar e controlar a terceirizao de
processos de negcio baseados em TI. A atividade terceirizada analisada o Business
Service Provider.

1.3 Justificativa

Em um cenrio de terceirizao via BSP, cresce a necessidade de estruturas de
governana, que estabeleam adequadamente papis, responsabilidades, a poltica de
decises e as formas de controle, pois a adoo de BSP sem uma estrutura de
governana bem definida leva ao risco de o servio ser interrompido e o cliente ficar
confuso na gesto de tantos fornecedores. Sendo o BSP composto por diferentes
organizaes, que tem diferenas de porte, objetivos, estrutura e cultura, a estrutura de
governana uma forma de minimizar o conflito de agncia que pode surgir pelo acesso
a informaes de cada empresa fornecedora. O conflito de agncia surge quando h a
separao entre a propriedade e a gesto (Mota e Ckagnazaroff, 2008), o que gera
conflitos de interesse entre as organizaes de um arranjo produtivo, uma vez que h
um compartilhamento de informaes nem sempre saudvel entre estas. Uma forma de
resolver esta situao por meio do estabelecimento de sistemticas de governana, seja
a corporativa, quando o foco a gesto, seja a governana de TI, quando o foco so as
informaes que trafegam e o adequado uso da TI como suporte ao alcance dos
objetivos de negcio.
A motivao para esta pesquisa so os estudos de Barthelemy (2003), Willcocks,

Vol.8, No.1, 2011, p. 237-262
241
Feeny e Olson (2006) e Lacity, Khan e Willcocks (2009). Barthelemy (2003) analisou
os esforos de cinquenta empresas para controlarem os processos terceirizados. O autor
cita a necessidade de desenvolvimento de sistemticas efetivas para controlar e
gerenciar o processo de terceirizao, sob risco de que as empresas que terceirizam
servios de TI percam o controle da atividade, trazendo uma srie de transtornos ao
negcio e tambm uma razovel dificuldade caso queiram interromper a terceirizao
de uma determinada atividade. J o estudo de Willcocks, Feeny e Olson (2006)
apresenta duas linhas de investigao: a primeira sobre a alta performance de algumas
organizaes em TI; e a segunda, motivadora deste artigo, a necessidade de controles de
governana para manter um outsourcing efetivo. Lacity, Khan e Willcocks (2009) citam
o BSP como um dos temas emergentes em terceirizao de TI que manter a sua
aplicabilidade e importncia no futuro.
Um recurso que tem se mostrado efetivo no controle de diversas atividades de TI
o COBIT (Control Objectives for Information and related Technology). Criado e
mantido pelo ISACA (Information Systems Audit and Control Association), objetiva
auxiliar os gerentes de TI no controle e no cumprimento dos objetivos de TI, mantendo
estes sempre alinhados com os objetivos da organizao. No contexto exposto nesta
pesquisa, o de processos de negcios terceirizados, o COBIT pode auxiliar na gesto do
processo de terceirizao, mais especificamente na gerao de controles para a gesto
dessa terceirizao. No entanto, como ele no voltado diretamente para a
terceirizao, faz-se necessria uma anlise de quais de seus processos esto mais
aderentes a esta atividade. Outro importante aspecto a baixa quantidade de
publicaes cientficas no pas sobre o COBIT, contrria utilizao dele nas
organizaes. Rodrigues, Maccari e Simes (2009), em pesquisa realizada com os
gestores de TI das 100 maiores empresas do Brasil, mostram que a utilizao do COBIT
significativa no cenrio nacional.
Os resultados desta pesquisa podem contribuir para uma melhor gesto das
organizaes envolvidas com terceirizao (como contratantes ou contratadas). O
processo de terceirizao complexo, envolve o controle e acompanhamento de muitos
elementos e apresenta riscos, e neste sentido, novas prticas de gesto tm sido
demandadas. Com o movimento das organizaes em busca de uma TI gerenciada e
governada, com papis e responsabilidades claramente definidos e com controles de
acompanhamento implementados, torna-se necessrio investigar como controles mais
comerciais (como o COBIT) se aplicam a conceitos mais acadmicos (Governana).
Com melhor gesto, contribui-se para a manuteno, crescimento e perenidade das
organizaes, atendendo expectativa de contribuio por parte de stakeholders e
shareholders.

2. EMBASAMENTO TERICO

Desde o surgimento do computador, a Internet a tecnologia que anuncia as
mais profundas mudanas nos negcios. Por meio da Internet, as operaes ocorrem
mais rapidamente e simultaneamente, resultando em menor tempo de resposta e
menores custos, sendo o seu valor justamente a sua capacidade de proporcionar acesso

242
imediato informao, produtos e servios (Smith e Kumar, 2004).
Estas modificaes propiciadas pela TI e pela Internet possibilitam que novas
formas de realizao de processos de negcio existam. No entanto, estas precisam de
formas efetivas de controle, sob risco de a organizao contratante ver interrompido o
seu funcionamento (Barthelemy, 2003).

2.1 Terceirizao

A terceirizao tem sido utilizada em larga escala por mdias e grandes
corporaes do mundo todo. A terceirizao pode ter diferentes motivadores: a reduo
de custos, a busca de maior agilidade operacional, a necessidade de know-how adicional
ao existente na empresa contratante e a reduo de atividades que no fazem parte do
core business de uma organizao (Aubert, Rivard e Patry, 2003). O objeto terceirizado
pode assumir diferentes enfoques: parte do pessoal de uma equipe, de diferentes etapas
de um processo produtivo ou de um servio. Pode-se ter a terceirizao da aquisio de
matria-prima, de etapas da produo ou mesma da comercializao do produto final.
Ainda, ela pode ocorrer dentro ou fora das instalaes da empresa. Observa-se um
aumento na terceirizao da produo, atravs da qual, empresas de grande porte deram
incio a um esforo de enxugamento, concentrando-se no seu core business, visando
responder com rapidez s necessidades e demandas do mercado (Aubert, Rivard e Patry,
2003).
A terceirizao pode ter diferentes motivadores: a reduo de custos, a busca de
maior agilidade operacional, a necessidade de know-how adicional ao existente na
empresa contratante e a reduo de atividades que no fazem parte do core business de
uma organizao (Aubert, Rivard e Patry, 2003). O objeto terceirizado pode assumir
diferentes enfoques: parte do pessoal de uma equipe, de diferentes etapas de um
processo produtivo ou de um servio. Pode-se ter a terceirizao da aquisio de
matria-prima, de etapas da produo ou mesma da comercializao do produto final.
Ainda, ela pode ocorrer dentro ou fora das instalaes da empresa. Observa-se um
aumento na terceirizao da produo, atravs da qual, empresas de grande porte deram
incio a um esforo de enxugamento, concentrando-se no seu core business, visando
responder com rapidez s necessidades e demandas do mercado (Aubert, Rivard e Patry,
2003).
Terceirizar consiste em repassar a outra empresa um servio, um processo de
negcio ou parte de uma atividade produtiva, ou seja, procurar fora da empresa (out) a
fonte (source) para a realizao da atividade, de forma que o outsourcing envolve as
tarefas no realizadas internamente empresa (insourcing). Esta pode se manifestar de
diferentes formas, de acordo com a sua distribuio geogrfica (Brown e Wilson, 2005).
O offshore outsourcing compreende atividades antes realizadas pela prpria empresa,
mas que passaram a ser realizadas por empresas em outros pases, em busca,
geralmente, de menores custos de produo ou transao. J o offshore insourcing
consiste na realizao das atividades por subsidirias de uma mesma empresa em outros
pases. Outra terminologia recentemente adotada por vrias organizaes o nearshore,

Vol.8, No.1, 2011, p. 237-262
243
que se refere a fontes de prestao de servios externas ao pas, mas prximas a ele,
como uma empresa americana terceirizando atividades para uma empresa mexicana ou
canadense, e desta forma se aproxima do conceito de offshore outsourcing.
Alm dos problemas tradicionais enfrentados pela empresa quando da adoo da
terceirizao, novos desafios emergiram no cenrio de mudana do mundo. As
companhias de terceirizao enfrentam novos regulamentos que necessitam
conformidade, e h tambm uma falta de equipes preparadas e experientes para
controlar contratos da terceirizao. O ltimo fator conduz ausncia de um processo
da reviso para o sucesso ou a falha dos projetos, um elemento vital em qualquer projeto
de terceirizao (Loh e Venkatraman, 2002).
Alguns riscos considerados na terceirizao so a comunicao, habilidades de
gerenciamento adequadas, engenharia do gerenciamento de mudanas, sistemas e
ferramentas, controle da qualidade, controle do gerenciamento de capacidade, fatores
polticos e sociais e custos de curto e longo prazo que precisam ser considerados quando
da deciso de terceirizar um servio (Loh e Venkatraman, 2002).
Alm dos problemas tradicionais enfrentados pela empresa quando da adoo da
terceirizao, novos desafios emergiram, por meio de regulatrios cuja empresa precisa
comprovar conformidade (tais como CMMI, ISO20000, SOX). H, tambm, carncia
de profissionais preparados para controlar os complexos contratos de terceirizao.
Alguns riscos ainda associados terceirizao so a comunicao, gesto da atividade,
gerenciamento de mudanas, sistemas e ferramentas, controle da qualidade, controle do
gerenciamento de capacidade, fatores polticos e sociais e custos de curto e longo prazo
que precisam ser considerados quando da deciso de terceirizar um servio (Loh e
Venkatraman, 2002).

2.2 BSP Business Service Provider

O objeto terceirizado pode assumir diferentes enfoques: uma equipe, de
diferentes etapas de um processo produtivo ou de um servio. Pode-se ter a terceirizao
da aquisio de matria-prima, de etapas da produo ou mesma da comercializao do
produto final. Ainda, ela pode ocorrer dentro ou fora das instalaes da empresa.
Observa-se como tendncia global um aumento na terceirizao da produo, atravs da
qual as empresas de grande porte deram incio a um esforo de enxugamento,
concentrando-se no seu core business, visando responder com rapidez s necessidades e
demandas do mercado (Aubert, Rivard e Patry, 2003).
Segundo Lacity, Khan e Willcocks (2009), o BSP uma forma especfica de
terceirizao de TI, na qual a terceirizao no somente de profissionais ou de parte de
uma atividade, mas sim de todo um processo de negcio, e entre vrias empresas, todas
elas atuando de forma eletrnica, como provedores de servios. A ttulo de exemplo,
pode-se terceirizar o processamento de uma folha de pagamento pela maneira
tradicional ou atravs do BSP. Pela maneira tradicional, contrata-se uma empresa que
fornece o resultado da folha de pagamento (valor de salrios e de impostos,
contracheques, etc.), mas permite pouca interao com o contratante, uma vez que no

244
h uma ligao via rede e um acesso ao sistema do terceirizado. A principal diferena
do BSP que o contratante pode acessar dados da folha de pagamento a qualquer
momento e de qualquer lugar, desde que tenha acesso Internet, uma vez que o
processo virtualizado.
O BSP pode ser simplificado ou ampliado, conforme as Figuras 1 e 2, abaixo.

Cliente
1 - Fornecedor do
Servio BSP e do SI
2 - Fornecedor do
Armazenamento do SI
e dos dados
3 - Fornecedor da
Conexo (telecom)
BSP Simplificado

Figura 1: Funcionamento do BSP Simplificado
Fonte: os autores

No BSP simplificado, o provedor de servios BSP tambm o fornecedor do
sistema de informao utilizado na informatizao do processo. Este fornecedor, por sua
vez, contrata outros dois fornecedores: um para armazenamento do SI e dos dados e
outro para a conexo (Internet, VPN ou frame relay).
J no BSP ampliado, o nmero de fornecedores pode chegar a cinco, pois o
fornecedor do BSP contrata outros quatro fornecedores, conforme ilustrado a seguir.
Cliente
1 - Fornecedor do
Servio BSP
2 -Fornecedor do
Sistema de Inf ormaes
3 - Fornecedor do
Armazenamento do SI
4 - Fornecedor do
Armazenamento de dados
5 - Fornecedor da
Conexo (telecom)
BSP Ampliado

Figura 2: Funcionamento do BSP Ampliado
Fonte: os autores.

O segmento de sistemas ERP o que mais utiliza o BSP, tanto na forma
simplificada como na ampliada. O BSP uma importante forma de reduzir o custo e

Vol.8, No.1, 2011, p. 237-262
245
descomplicar os sistemas ERP, uma vez que o BSP reduz a complexidade na
instalao do ERP. Para os players nacionais, fundamental que os custos de um ERP
sejam acessveis para as mdias empresas, uma vez que as grandes empresas j tm este
tipo de sistema, e em sua maior parte de players globais.
Pelo BSP, os custos ficam mais acessveis e transparentes. Como muitas
organizaes tm adotado a viso de TCO Total Cost Ownership no intuito de evitar
custos que vo aparecendo durante a implantao de um sistema, ter custos mais
controlados e demonstrveis fundamental para efetivar vendas, em especial no
segmento de mdias empresas.

2.3 Governana de TI

Segundo Rau (2004, p. 35), Governana de TI a [...] forma como a direo da
empresa interage com os lderes de TI para ter certeza que os investimentos em
tecnologia permitem alcanar as estratgias de negcios de uma maneira efetiva e
eficiente [...]. Na viso de Xue, Liang e Boulton (2008), a Governana de TI definida
como [...] a distribuio do direito de tomada de deciso e responsabilidades de TI
entre os principais stakeholders da organizao, e os procedimentos e mecanismos para
executar e monitorar as decises estratgicas relacionadas a TI [...]. Weill (2004, p. 3),
por sua vez, define a Governana de TI como um [...] framework de decises para
encorajar o comportamento desejado no uso da TI [...], sendo que esse comportamento
desejado deve estar de acordo com a misso, estratgia, valores, normas e cultura da
empresa.
Esse link estabelecido entre TI e negcio gera resultado a partir do momento em
que os objetivos da Governana de TI vo sendo alcanados. A Governana de TI tem
como principal objetivo atender s necessidades de negcio da organizao. Para que
isso seja possvel, as organizaes esto exigindo que seus departamentos de TI estejam
cada vez mais estruturados de modo a serem flexveis, eficientes, padronizados, com
elevada qualidade no produto e no nvel de servio, alm de estarem constantemente
buscando por reduo de custos e tempo. Weill (2004), por sua vez, apresenta quatro
objetivos que, segundo ele, so seguidos pelas empresas que apresentam maturidade na
Governana de TI.
O primeiro objetivo a busca efetiva do custo da TI seguida pela utilizao
efetiva dos recursos, a utilizao de TI para o crescimento e atendimento do negcio e a
utilizao da TI para flexibilizar o negcio. Mudanas consideradas simples e pouco
complexas pelas demais reas da organizao, tornam-se complexas e, por vezes,
acabam impedindo a realizao de um negcio. Buscando obter uma flexibilidade
maior, os autores abordam como alternativa a procura pela soluo mais simples para o
ambiente organizacional em questo. Focar em solues simples, que no onerem a
estrutura pode viabilizar uma srie de negcios para a organizao, garantindo assim o
aumento do alinhamento com o negcio e uma maior efetividade da TI.


246
2.4 COBIT

O COBIT (Control Objectives for Information and related Technology) foi
desenvolvido na dcada de 1990 pela ISACA (Information System Audit and Control
Association), e pode ser traduzido como objetivos de controle para a Informao e
Tecnologia. Esta metodologia composta por trs modelos: Modelo de Processos
(framework), Modelo de Governana de TI e Modelo de Maturidade.
A inteno do COBIT prover boas prticas atravs de um framework de
domnios e processos e apresentar atividade em uma estrutura lgica gerencivel. Estas
prticas visam ajudar a otimizar a TI, habilitando investimentos, garantindo a entrega de
servios, alm de prover sua mensurao (Hawkins, Alhajjaj e Kelley, 2003). Pode-se
dizer, tambm, que o COBIT tenta garantir a Governana de TI provendo um
framework que garanta quatro aspectos principais (Giampaoli, 2010): que a TI esteja
alinhada com o negcio; que a TI torne o negcio possvel e maximize seus benefcios;
que os recursos de TI sejam utilizados com responsabilidade e que os riscos associados
TI sejam gerenciados de maneira apropriada. O IT Governance Institute elenca quatro
controles do COBIT, integrados de acordo com a Figura 3, abaixo.
Processos de
TI
Requisitos do
Negcio
Relao de
Controles
Prticas de
Controle
O controle dos
so habilitados por
que satisf azem
considerando
Processos de
TI
Requisitos do
Negcio
Relao de
Controles
Prticas de
Controle
O controle dos
so habilitados por
que satisf azem
considerando

Figura 3: Os controles do COBIT
Fonte: IT Governance Institute (2005).
O COBIT pode ser descrito como um guia de gesto e governana de TI que est
baseado em quatro domnios, que envolvem um conjunto de processos que iro garantir
a completa gesto de TI, totalizando um total de 318 controles organizados em 34
processos, conforme a Figura 4.
Os objetivos de controle do Cobit procuram atestar como cada processo faz uso
dos recursos de TI para atender de forma primria ou secundria cada requisito do
negcio em termos de informao, cobrindo todos os aspectos.


Vol.8, No.1, 2011, p. 237-262
247

Requisitos de Negcio
P = Primrio; S = Secundrio

Recursos de TI
D
o
m
n
i
o

Processo
E
f
e
t
i
v
i
d
a
d
e

E
f
i
c
i
n
c
i
a

C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d
e

I
n
t
e
g
r
i
d
a
d
e

D
i
s
p
o
n
i
b
i
l
i
d
a
d
e

C
o
n
f
o
r
m
i
d
a
d
e

C
o
n
f
i
a
b
i
l
i
d
a
d
e

P
e
s
s
o
a
s

A
p
l
i
c
a
e
s

T
e
c
n
o
l
o
g
i
a

F
a
c
i
l
i
d
a
d
e
s

I
n
f
o
r
m
a
e
s

PO1
Define o plano
estratgico de TI
P S

PO2
Define a arquitetura da
informao
P S S S

PO3
Determina a direo
tecnolgica
P S

PO4
Define a organizao
de TI e seus
relacionamentos
P S

PO5
Gerencia os
investimentos de TI
P P S

PO6
Gerencia a
comunicao das
direes de TI
P S

PO7
Gerencia recursos
humanos
P P

PO8
Assegura o
alinhamento de TI com
os requerimentos
externos
P P S

PO9 Avalia os riscos P S P P P S S

PO10 Gerencia os projetos P P

P
l
a
n
e
j
a
m
e
n
t
o

e

O
r
g
a
n
i
z
a
o

PO11 Gerencia a qualidade P P P S

AI1
Identifica as solues
de automao
P S

AI2
Adquire e mantm os
softwares
P P S S S

AI3
Adquire e mantm a
infraestrutura
tecnolgica
P P S

AI4
Desenvolve e mantm
os procedimentos
P P S S S

AI5
Instala e certifica
softwares
P S S

A
q
u
i
s
i
o

e

I
m
p
l
e
m
e
n
t
a
o

AI6 Gerencia as mudanas P P P P S

DS1
Define e mantm os
acordos de nveis de
servio (SLA)
P P S S S S S

E
n
t
r
e
g
a

e

S
u
p
o
r
t
e

DS2
Gerencia os servios de
terceiros
P P S S S S S


248
DS3
Gerencia a
performance e
capacidade do
ambiente
P P S

DS4
Assegura a
continuidade dos
servios
P S P

DS5
Assegura a segurana
dos servios
P P S S S

DS6
Identifica e aloca
custos
P P

DS7 Treina os usurios P S

DS8
Assiste e aconselha os
usurios
P P

DS9
Gerencia a
configurao
P S S

DS10
Gerencia os problemas
e incidentes
P P S

DS11 Gerencia os dados P P
DS12
Gerencia a
infraestrutura
P P

DS13 Gerencia as operaes P P S S

M1 Monitorar os processos P P S S S S S

M2
Analisa a adequao
dos controles internos
P P S S S P S

M3
Prov auditorias
independentes
P P S S S P S

M
o
n
i
t
o
r
a
m
e
n
t
o

M4
Prov segurana
independente
P P S S S P S

Figura 4 Domnios e controles do COBIT
Fonte: ITGI (2007)

Um detalhe muito importante a ser mencionado sobre a ferramenta COBIT
justamente que ele independe da plataforma de TI adotada pela organizao, uma vez
que seu uso voltado para o negcio. O COBIT fornece informaes detalhadas para o
gerenciamento dos processos e possibilita o monitoramento de quanto a TI est
agregando valor ao negcio da organizao (Weill, 2004).
O COBIT voltado para trs nveis bastante distintos entre si numa organizao:
gerentes, usurios e auditores. No primeiro nvel, os gerentes sentem a necessidade de
realizar a avaliao dos riscos e o controle dos investimentos em TI; no nvel de
usurios, estes precisam garantir a qualidade dos servios que so prestados para os
clientes internos e externos; e no ltimo nvel, os auditores tm a necessidade de avaliar
o trabalho de gesto de TI e tambm de aconselhar o controle interno da organizao
(ITGI, 2007).


Vol.8, No.1, 2011, p. 237-262
249
3 MTODO DE PESQUISA

Este trabalho de natureza exploratria, adequado quando o objetivo examinar
um tema ou problema de investigao pouco estudado ou que no tenha sido abordado
anteriormente (Sampieri, Collado e Lucio, 1991, p. 59), buscando compreender o estado
da arte naquelas situaes em que a prtica se antecipa teoria.
O estudo foi feito de acordo com as etapas ilustradas no desenho de pesquisa,
abaixo.
Discusso via f rum
Painel de Especialistas
Estudo de caso
R
e
f
e
r
e
n
c
i
a
l
t
e
r
i
c
o
Domnios e processos
do COBIT
C
o
l
e
t
a

d
e

d
a
d
o
s
R
e
s
u
l
t
a
d
o
s
Adaptao dos controles
do COBIT terceirizao
via BSP
1 2
3

Figura 5: Desenho de Pesquisa

A partir da explorao do COBIT, feita no referencial terico, estabeleceu-se um
painel de especialistas, visando analisar cada um dos 34 objetivos pertencentes aos
quatro domnios do COBIT. Esta etapa foi feita com o objetivo de validar, na opinio
dos especialistas, quais dos domnios e processos do COBIT se mostram mais
adequados gesto e ao controle de terceirizaes via BSP. Foram contatados via e-
mail cinco especialistas com formaes em administrao e em cincia da computao,
em nvel de graduao, especializao e mestrado, todos com razovel experincia na
rea de TI, em especial voltada melhoria de processos.
Os resultados da avaliao dos especialistas foram submetidos apreciao de
um grupo de discusso sobre COBIT, ITIL e Governana de TI, que mantm discusses
habituais sobre assuntos relacionados ao gerenciamento de TI. Nove pessoas
participaram do frum (alm de dois pesquisadores), que teve a durao de 55 minutos e
ocorreu de forma virtual. Esta etapa ocorreu atravs de brainstorming entre os
participantes, a partir do resultado da etapa anterior. As observaes feitas pelo frum
foram submetidas novamente a trs dos cinco especialistas entrevistados inicialmente.
Uma vez tendo em mos esse conjunto de elementos, j validado por dois grupos
de especialistas, partiu-se para a aplicao desse resultado em um caso. O caso
analisado foi de uma fabricante nacional de ERP, que comercializa o seu ERP atravs
da soluo BSP, tanto de forma simplificada como ampliada. O objetivo desta etapa foi
verificar em uma situao prtica como deveria ser utilizado o COBIT para controle da
qualidade e da execuo do contrato de BSP.

250
Durante o estudo de caso, a entrevista foi a principal tcnica de coleta de dados
utilizada, tendo sido complementada com a anlise de documentos. Procurou-se,
conforme recomendao de Yin (1994, p. 121), fazer a triangulao de fontes de
evidncia como forma de aumentar a compreenso do caso estudado, uma vez que
vrias fontes de evidncia fornecem essencialmente vrias avaliaes do mesmo
fenmeno. Utilizou-se um protocolo de estudo de caso, visando dar mais
confiabilidade conduo do mesmo. O roteiro de entrevista composto basicamente
pelo conjunto de domnios e objetivos do COBIT, alm de variveis que identificam em
detalhes o funcionamento do BSP da empresa. As entrevistas foram face a face, e
duraram 3 horas e 50 minutos e 2 horas e 10 minutos. As entrevistas foram gravadas e
transcritas.
A anlise de documentos procurou complementar e ilustrar os dados obtidos na
entrevista. Os documentos analisados foram uma proposta comercial padro, um
contrato de prestao de servios entre a empresa e seus clientes, um contrato do tipo
SLA (Service Level Agreement) e o manual de normas de segurana conforme a Poltica
de Segurana da Informao da empresa.
A anlise dos dados coletados para esta pesquisa foi feita por meio de anlise de
contedo, uma vez que os dados eram de origem qualitativa. Os dados procedentes das
entrevistas foram analisados por meio de anlise temtica e anlise da enunciao, que
difere basicamente da anlise temtica por no ter como enfoque a busca de categorias,
mas sim de um discurso, de um texto completo. Bardin (1977) cita que esta tcnica
geralmente mais trabalhosa, uma vez que geralmente a quantidade total de texto a ser
analisado maior, sendo necessrio interpretar maiores trechos para chegar a um
primeiro agrupamento.

4 RESULTADOS

Sendo o objetivo desta pesquisa o de definir um conjunto de elementos, a partir
do COBIT, para melhor gerenciar e controlar uma terceirizao atravs de BSP
analisou-se a apreciao de dois grupos de especialistas e os dados coletados no estudo
de caso.
A anlise dos dados e as propostas deste estudo so descritas a seguir.

4.1 Validao pelo painel de Especialistas

Os especialistas avaliaram o framework do COBIT, exposto no item 2.3. Pelo
framework, definem-se prioridades (primria e secundria) para os 34 itens de controle,
bem como os recursos de TI necessrios ao atendimento de cada processo.


Vol.8, No.1, 2011, p. 237-262
251

A avaliao dos especialistas foi no sentido de analisar e adaptar os 34 processos
para que este pudesse atender mais diretamente o controle de uma atividade de BSP. A
avaliao dos especialistas foi feita de forma individual, e sem a indicao de quais
itens so primrios ou secundrios no framework original do COBIT (embora os
especialistas possam ter consultado estes dados ao fazer as marcaes na sua tabela).
A partir da tabela de cada especialista, procedeu-se a tabulao dos dados. A
concordncia entre os especialistas foi de 85%. Naqueles itens em que houve
divergncia, um dos especialistas (identificado aqui como Especialista Snior) atuou
como mediador, discutindo com os pesquisadores qual era a melhor indicao e o
porqu. Este especialista possui certificaes em COBIT e ITIL, mestrado em
Administrao e, atua profissionalmente como consultor em melhoria de processos de
TI.
Inicialmente, os especialistas avaliaram se os quatro domnios (planejamento e
organizao, aquisio e implementao, entrega e suporte, monitoramento) eram
adequados ao controle de uma atividade BSP. Esta avaliao ocorreu porque, conforme
j discutido no referencial terico, o COBIT abrangente, o que gera a necessidade de
priorizar alguns processos para controle de determinadas situaes no ambiente de TI.
O primeiro especialista entrevistado considerou que todos os quatro domnios
so aplicveis ao controle de uma terceirizao via BSP. No entanto, os quatro
especialistas seguintes consideraram que o domnio Planejamento e Organizao se
refere, mais ao contexto geral da organizao ou do setor de TI, e no se aplica
diretamente a uma atividade de TI. Tendo em vista esta divergncia, retornou-se ao
primeiro especialista, que julgou procedente a avaliao dos demais, modificando a sua
avaliao inicial. Desta forma, os especialistas sugeriram que fossem considerados
como domnios adequados para avaliao de uma atividade BSP a Aquisio e
Implementao, a Entrega e Suporte e o Monitoramento.
A partir destes trs domnios, os especialistas indicaram na dimenso Critrios
de Informao quais dos 23 processos eles consideravam como primrios e quais como
secundrios, conforme Figura 6 abaixo. Os itens em cinza so aqueles para os quais os
especialistas sugeriram alteraes em relao ao roteiro original do COBIT: de
aplicabilidade Primria para Secundria, de Secundria para Primria, de Nenhuma para
Primria, ou de Nenhuma para Secundria.

252

Requisitos de Negcio
(primria e secundria)
D
o
m
n
i
o
Processo
E
f
e
t
i
v
i
d
a
d
e

E
f
i
c
i
n
c
i
a

C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d
e

I
n
t
e
g
r
i
d
a
d
e

D
i
s
p
o
n
i
b
i
l
i
d
a
d
e

C
o
n
f
o
r
m
i
d
a
d
e

C
o
n
f
i
a
b
i
l
i
d
a
d
e

AI1 Identifica as solues de automao P S S
AI2 Adquire e mantm os softwares P P S S S
AI3 Adquire e mantm a infraestrutura tecnolgica P P S P
AI4 Desenvolve e mantm os procedimentos P P S S P
AI5 Instala e certifica softwares P S S S
A
q
u
i
s
i
o

e

I
m
p
l
e
m
e
n
t
a
o

AI6 Gerencia as mudanas P P P P S
DS1
Define e mantm os acordos de nveis de
servio (SLA)
P P P P S P P
DS2 Gerencia os servios de terceiros P P P P P P P
DS3
Gerencia a performance e capacidade do
ambiente
P P S S S S
DS4 Assegura a continuidade dos servios P P S S P S S
DS5 Assegura a segurana dos servios P P P P S S P
DS6 Identifica e aloca custos P P
DS7 Treina os usurios P S S S S
DS8 Assiste e aconselha os usurios P P S S
DS9 Gerencia a configurao P S S S
DS10 Gerencia os problemas e incidentes P P S P S S S
DS11 Gerencia os dados P P P P
DS12 Gerencia a infraestrutura P P P S
E
n
t
r
e
g
a

e

S
u
p
o
r
t
e

DS13 Gerencia as operaes P P P P P P P
M1 Monitorar os processos P P S S S P P
M2 Analisa a adequao dos controles internos P P P P S P P
M3 Prov auditorias independentes P P S P S P P
M
o
n
i
t
o
r
a
o

M4 Prov segurana independente P P P S S P P
Figura 6: Aplicao dos domnios e processo do COBIT ao controle de BSP

A partir das entrevistas com os especialistas, obteve-se uma anlise de
aplicabilidade do COBIT em relao aos domnios e aos critrios de informao no
aplicveis, aplicveis de forma primria ou secundria. Esse resultado foi refinado na
etapa do estudo descrita a seguir.

Vol.8, No.1, 2011, p. 237-262
253

4.2 Avaliao pelo grupo do Frum

Conforme explicitado no mtodo de pesquisa, uma segunda etapa foi a
submisso dos resultados da etapa anterior em um frum de discusso sobre COBIT.
Este grupo de discusso se encontra regularmente, e tem uma pauta fixa de discusses
(sobre ITIL, COBIT e Governana de TI, em especial, mas tambm de outros padres,
como COSO, Sarbanes-Oxley e assuntos correlatos), e por isso considerou-se vlida a
submisso dos resultados a este grupo. Aps a avaliao do framework, os participantes
do frum sugeriram cinco alteraes, a saber:
a) No domnio Aquisio e Implementao, no processo AI1 (Identifica as
solues de automao): alterar de Nenhuma indicao para Secundrio no critrio
Utilidade, porque a utilidade de uma informao depende de da correta identificao da
soluo ideal de automao;
b) No domnio Aquisio e Implementao, no processo AI5 (Instala e certifica
softwares): retirar a indicao de Secundrio para o critrio Utilidade, porque a utilidade
da informao independe da instalao e certificao de softwares, uma vez que esta
definida no processo Identifica as solues de automao (AI1);
c) No domnio Entrega e Suporte, no processo DS7 (Treina os usurios): alterar
de Secundrio para Primrio no critrio Conformidade, uma vez que o treinamento de
usurios pode contribuir significativamente para a conformidade de um servio;
d) No domnio Entrega e Suporte, no processo DS8 (Assiste e aconselha os
usurios): alterar de Nenhuma indicao para Secundrio no critrio Confidencialidade,
pois muitas vezes os usurios fornecem (ou facilitam o acesso a) informaes sigilosas
sem saberem do risco ao qual esto expondo a empresa;
e) No domnio Entrega e Suporte, no processo DS9 (Gerencia a Configurao):
alterar de Nenhuma indicao para Secundrio no critrio Eficincia, porque o
gerenciamento de configurao pode contribuir para a eficincia de um processo;
f) No domnio Monitorao, no processo M1 (Monitorar os processos): alterar
de Secundrio para Primrio no critrio Integridade, uma vez que o monitoramento de
processos pode contribuir para a integridade deste e dos demais processos.
Estas alteraes foram submetidas avaliao do Especialista Snior, que
concordou com cinco delas e ficou em dvida na do item c, pois considera que, em
geral, os usurios de servios BSP so instrudos o suficiente para no prejudicarem o
processo. Como a etapa seguinte da pesquisa era o estudo de caso, optou-se por manter
a alterao e ficar atento ao item durante a anlise do caso.


254
4.3 Estudo de caso

O caso estudado o produto BSP oferecido pela Alpha. A Alpha uma empresa
de desenvolvimento de sistemas de informao e prestao de servios em Tecnologia
da Informao, no mercado h mais de 20 anos.
O principal sistema comercializado pela Alpha o ERP (Enterprise Resource
Planning), nos mdulos: logstica, manuteno, RH, vendas, manufatura e finanas. A
empresa tem mais de 80 mil usurios ativos, distribudos em dois mil clientes. A Alpha
tem certificao ISO e j conquistou diversos prmios no pas e no exterior.
O servio BSP da Alpha foi iniciado em 2002, e foi um dos primeiros do Brasil.
A empresa atende em torno de 100 clientes, em grande parte empresas de mdio porte.
A adoo do BSP relativamente simples: o cliente escolhe a aplicao que
necessita, definido em comum acordo se o BSP adotado ser o simplificado ou o
ampliado, e em poucos dias o cliente pode iniciar a utilizao do sistema (a menos que
sejam necessrias customizaes). A reduo de custos do BSP em relao
terceirizao tradicional ocorre principalmente porque todos os investimentos que
deveriam ser feitos separadamente pelas empresas foram feitos por uma nica empresa
(Alpha) com ganho de escala e compartilhamento destes investimentos, inclusive mo
de obra. Alm disso, a empresa cliente no precisa ter mo de obra especializada para
administrao do ambiente de TI, e no corre o risco da rpida obsolescncia do
investimento realizado.
Dentro do conceito de BSP, a Alpha entrega ao cliente um pacote completo de
produtos e servios: sistema ERP, link de comunicao, mo de obra para
gerenciamento do banco de dados do sistema, atualizao do software, atualizaes de
itens internos do ERP e do banco de dados. O pagamento por mensalidade, calculada a
partir de qual sistema est sendo utilizado, dos itens contratados no SLA (Service Level
Agreement) e da quantidade de usurios.
A partir das entrevistas e da observao, realizou-se uma anlise de como se
comportam os processos no BSP da empresa. Inicialmente, o objetivo era analisar os 23
processos na figura 6, pertencentes a trs domnios. No ento, no primeiro contato com
a empresa percebeu-se a dificuldade de uma anlise aprofundada de 23 processos
diferentes. Como no era a inteno deste estudo fazer uma anlise superficial destes
processos, criou-se uma sistemtica de separao por prioridade entre os 23
processos. Para tal, considerou que cada um dos processos da Figura 6 do item 4.1 e
modificaes propostas no item 4.2, atribuindo o valor 2 para os com atribuio P
(Primrio) e 1 para os com atribuio S (Secundrio), criando um escore de
prioridade. Esta sistemtica permitiu que se dividissem os 23 processos em trs grupos,
conforme figura abaixo.


Vol.8, No.1, 2011, p. 237-262
255

Grupos Domnio/Processo Escore
DS2 Gerencia os servios de terceiros 14
DS13 Gerencia as operaes 14
DS1
Define e mantm os acordos de nveis de servio
(SLA) 13
DS5 Assegura a segurana dos servios 13
M1 Monitorar os processos 13
M2 Analisa a adequao dos controles internos 13
M3 Prov auditorias independentes 13
M4 Prov segurana independente 13
DS11 Gerencia os dados 11
DS4 Assegura a continuidade dos servios 10
Grupo 1
Alta prioridade
para BSP

DS10 Gerencia os problemas e incidentes 10
AI6 Gerencia as mudanas 9
AI4 Desenvolve e mantm os procedimentos 8
DS3 Gerencia a performance e capacidade do ambiente 8
DS7 Treina os usurios 8
AI2 Adquire e mantm os softwares 7
AI3 Adquire e mantm a infraestrutura tecnolgica 7
DS8 Assiste e aconselha os usurios 7
Grupo 2
Prioridade
intermediria
para BSP

DS12 Gerencia a infraestrutura 7
DS9 Gerencia a configurao 6
AI1 Identifica as solues de automao 5
AI5 Instala e certifica softwares 4
Grupo 3
Menor
prioridade para
BSP

DS6 Identifica e aloca custos
4
Figura 7: Priorizao de domnio e processos de COBIT para BSP

A partir do escore acima, foram criados trs grupos. O considerado como alta
prioridade (escores 10 a 14) contm 11 processos (7 de Entrega e Suporte; 4 de
Monitorao). O de prioridade intermediria contempla quatro processos (2 de Entrega
e Suporte; 2 de Aquisio e Implementao), e o de menor prioridade contempla 8
processos (4 de Aquisio e Implementao; 4 de Entrega e Suporte). Optou-se, ento
por analisar detalhadamente os 11 processos de grupo de alta prioridade, lembrando
aqui que esta alta prioridade se refere aplicao de itens do COBIT para o
gerenciamento e controle de terceirizaes atravs de Business Service Provider.


256

a) DS2 - Gerencia os servios de terceiros:
Este item, junto com o gerenciamento de operaes, ficou com o escore de
importncia mais elevado entre os 11 processos analisados no caso estudado, o que
facilmente compreensvel, uma vez que ele se refere justamente ao controle dos atores
envolvidos no BSP. Sem o gerenciamento dos servios de terceiros no h como
garantir a qualidade do servio nem mesmo a sua continuidade, tanto porque pequenos
erros e omisses podem se acumular como porque algumas atividades de fronteira
podem passar despercebidas. Em ambos os casos, estas pequenas situaes podem se
acumular, gerando grandes problemas, e para a resoluo destes ser preciso despender
esforos e investimentos.

b) DS13 - Gerencia as operaes:
Se o gerenciamento de operaes fundamental para o qualquer atividade
funcione de acordo com o que foi especificado, para o BSP essa importncia foi
confirmada, uma vez que se tm, alm dos perigos de qualquer terceirizao,
dificuldades inerentes quantidade de fornecedores e ligao virtual entre estes.
No gerenciamento das operaes, mostrou-se fundamental existir a
documentao dos processos, como forma de harmonizar e padronizar a realizao das
atividades. Da mesma forma, o registro (transparente a todos os atores do processo) do
status de cada atividade auxilia os envolvidos a gerenciarem atividades predecessoras e
sucessoras a uma atividade em andamento, alm de conferir confiabilidade ao processo.

c) DS1 - Define e mantm os acordos de nveis de servio (SLA):
O SLA tm se mostrado um efetivo instrumento de controle, um mecanismo
pelo qual uma empresa contratante de servios discrimina as garantias de qualidade,
quantidade, modalidade e preciso dos diferentes servios adquiridos de um terceiro. A
Alpha tem dois tipos de SLA, um com o cliente, como fornecedora do servio BSP, e
outro com os seus fornecedores (dois ou quatro, dependendo de atuar com BSP
simplificado ou ampliado), como cliente do servio. Neste caso, h um SLA para cada
um dos fornecedores.
Em ambos os tipos de SLAs (como fornecedora e como cliente) h o
detalhamento destes, atravs do o SLS (Service Level Specification) e do SLD (Service
Level Description). O SLS especifica quais so os itens que devem ser fornecidos,
enquanto que o SLD descreve em detalhes o funcionamento de cada item acordado,
especificando os tempos ideais de acesso, de retorno a pedidos de suporte, de resposta
de e-mails, de retorno em caso de suspenso de fornecimento, etc. Internamente, a
Alpha define OLA (Operational Level Agreement), que pode ser entendido como um
SLA interno a uma empresa, entre os diferentes setores envolvidos na prestao de um
servio.


Vol.8, No.1, 2011, p. 237-262
257
O SLA detalha qual a penalidade caso algum item do SLA seja descumprido;
esta penalidade em geral um desconto (percentual) no valor do servio do BSP, indo
de 2 a 50%. O depoimento de um dos entrevistados refora a importncia do SLA.
[...] eu estou assumindo contigo um nvel de servio, se eu no atender esses
quesitos, voc vai ter direito a ressarcimento, e a empresa vai comear a entrar no
vermelho porque no vai receber pelos servios justamente porque no cumpriu o SLA,
e assim a empresa quebra. Essa a sua garantia de segurana. [E1]

d) DS5 - Assegura a segurana dos servios:
Este um tema de extrema importncia nas organizaes, tanto que o ITIL
(Information Technology Infrastructure Library- conjunto de melhores prticas de
gesto de TI) o coloca como base para que o fornecimento de servios possa ser
garantido. A empresa caso deste estudo toma uma srie de cuidados com a imagem de
tica e segurana que passa aos seus clientes: fazemos tudo que possvel, dentro do
que a tecnologia nos permite (E2). H uma confiana grande na equipe, em virtude de
uma seleo rigorosa, e pelo tipo de contato com a informao dos clientes, j que o
funcionrio no sabe que informao est ali e para quem que ela pode interessar
(G1). A empresa assume que falhas podem ocorrer, mas ressalta que toma as precaues
necessrias:
[...] ns temos toda uma infra-estrutura de segurana, o que tem de melhor, de
mais bem feito, ns fazemos. Se voc achar que deixar dentro de sua casa mais
seguro, voc est enganado, mais seguro aqui, porque temos o aparato de segurana.
Se isso no bastasse, o nosso contrato prev toda a parte de confidencialidade, com
multas para tudo, alm do cdigo civil, que me obriga a reparar para ele quaisquer
danos e prejuzos, e se eu infringir isso e essa situao for para a imprensa o meu
negcio acabou [E1]

e) M1 - Monitorar os processos:
Embora parea muito semelhante ao processo de gerenciamento de operaes
(DS13), a diferena entre estes justamente a ao: monitorar ao invs de gerenciar. O
monitoramento dos processos implica na criao de uma srie de indicadores de
controle, estabelecendo mtricas e pontos de controle. Este objetivo o que mais
contribui para que a organizao possa obter os nveis de maturidade expostos no item
2.3 do nvel 0 (gerenciamento de processos inexistente) at o nvel 5 (processos
otimizados).
Com o monitoramento de processos, pode-se passar de um processo que
depende mais das pessoas do que de um mtodo propriamente estabelecido para a
utilizao de melhores prticas e melhoria contnua dos processos. fundamental nesta
atividade uma ferramenta de BPM (Business Process Management), que auxilia o
redesenho e a otimizao dos processos.


258
f) M2 - Analisa a adequao dos controles internos:
Este processo funciona de forma muito alinhada ao anterior, uma vez que revisa,
adapta e valida os controles definidos no processo M1 (Monitorar os processos). Os
controles internos, em uma terceirizao atravs de BSP, so um elemento chave para
notificao de todos os atores envolvidos nesta terceirizao. No entanto, se no
estiverem adequados, no sero uma medida efetiva do funcionamento do BSP. Para
melhorar este processo bastante importante a implantao de vrias metodologias (ou
melhores prticas) de gerenciamento de TI, tais como ITIL e COSO, assim como a
implementao dos demais processos do COBIT.

g) M4 - Prov segurana independente:
Sendo o BSP um servio que utiliza diversos fornecedores, fundamental que
cada um deles possa dar garantia de segurana, independente dos demais. Desta forma,
caso a segurana de um dos fornecedores no seja suficiente para barrar uma
determinada ameaa, o aparato de segurana do fornecedor que recebe aquela etapa do
servio pode evitar que esta ameaa se torne real.

h) M3 - Prov auditorias independentes:
Assim como o anterior, importante que cada um dos envolvidos possa auditar
os seus processos e os dos parceiros envolvidos diretamente com as suas atividades. Um
dos grandes riscos da terceirizao uma situao na qual os diferentes fornecedores
vo jogando a responsabilidade para o outro, e no resolvem o problema, prejudicando
o cliente. Com procedimentos de auditoria, esta situao tende a ocorrer com menor
frequncia, alm de ser possvel o controle via SLA.

i) DS11 - Gerencia os dados:
Embora tenha ficado com 11 pontos, este item no se mostrou importante para o
BSP especificamente, uma vez que o gerenciamento de dados j faz parte de rotinas
implementadas h bastante tempo (na Alpha, mas tambm em outras organizaes),
como rotinas sistemticas de backup e gerenciamento do banco de dados.

j) DS4 - Assegura a continuidade dos servios:
A continuidade dos servios garantida a partir da implementao de uma srie
de controles internos para que os servios no sejam interrompidos. Atravs das
entrevistas e em especial da anlise de documentos, percebeu-se que na empresa
analisada o que sustenta este processo o detalhamento e o controle dos nveis de
servio (DS1 - Define e mantm os acordos de nveis de servio - SLA) e a garantia
segurana (DS5 - Assegura a segurana dos servios).


Vol.8, No.1, 2011, p. 237-262
259
Isto porque para a continuidade dos servios fundamental que os acordos com
fornecedores estejam bem detalhados e passveis de execuo via SLA, alm de ter um
forte esquema de segurana fsica e lgica funcionando na organizao. O Plano de
Continuidade, alinhado Poltica de Segurana completa e bem definida, fundamental
para a garantia de continuidade dos servios, uma vez que expressa todos os
procedimentos necessrios para recuperara a capacidade de operao de uma empresa
quando em um sinistro.
importante tambm que a organizao mantenha OLAs (SLAs internos) com
todos os setores com os quais o setor responsvel pelo BSP tem dependncia (em
termos de servios realizados), visando evitar que, mesmo que os seus fornecedores
(externos) cumpram a sua parte, a continuidade dos servios seja interrompida por no-
conformidades internas.

k) DS10 - Gerencia os problemas e incidentes:
O gerenciamento combinado de incidentes e problemas qualifica a prestao de
servios de TI, modificando a cultura comum que privilegia a resoluo imediata no
acompanhada de reflexo no sentido de evitar que estes desconfortos ocorram
novamente. O incidente tem uma caracterstica de ser isolado, contingencial, enquanto
que o problema algo que (provavelmente) vai se repetir.
Desta forma, importante que a empresa tenha um catlogo de incidentes e
problemas, visando auxiliar a resoluo e no sentido de um comportamento pr-ativo,
investigando e resolvendo previamente incidentes que podem se tornar problemas. Este
comportamento fundamental para que a organizao seja um fornecedor confivel de
servios BSP.
Aps a anlise dos 11 processos considerados pelos dois grupos de especialistas
como prioritrios para terceirizaes atravs de BSP, percebeu-se que o processo
Gerencia os dados (DS11) no se mostrou prioritrio no caso estudado. Embora possa
ser um comportamento derivado dos limites do estudo de caso, os elementos coletados
no estudo de caso levam a acreditar que ele no se mostra realmente prioritrio, por no
ser discriminante para o BSP.
Desta forma, aps as trs etapas da pesquisa, o conjunto de controles para
melhor gerenciar e controlar a terceirizao de processos de negcio baseados em BSP
composto por 10 processos do COBIT, conforme a Figura 8, a seguir.

260

Requisitos de Negcio*

Processos
E
f
e
t
i
v
i
d
a
d
e

E
f
i
c
i
n
c
i
a

C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d
e

I
n
t
e
g
r
i
d
a
d
e

D
i
s
p
o
n
i
b
i
l
i
d
a
d
e

C
o
n
f
o
r
m
i
d
a
d
e

C
o
n
f
i
a
b
i
l
i
d
a
d
e

Define e mantm os acordos de nveis de servio
(SLA)
Gerencia os servios de terceiros
Assegura a continuidade dos servios

Assegura a segurana dos servios

Gerencia as operaes
Monitorar os processos
Analisa a adequao dos controles internos
Prov auditorias independentes
Prov segurana independente
Gerencia os problemas e incidentes
S
Figura 8: Controles do COBIT e requisitos de negcio

Em relao aos requisitos de negcio, os setes requisitos esto bem
representados: efetividade e eficincia esto cobertas por todos os processos;
confiabilidade, conformidade e integridade esto amplamente cobertas (nove, sete e sete
itens como primrios, respectivamente); confidencialidade e disponibilidade esto
cobertos em menor intensidade (seis e trs itens como primrios, quatro e sete itens
como secundrios, respectivamente). Se uma organizao utilizar esses dez itens para
controle de atividades de terceirizao via BSP, esta potencialmente ter os requisitos
de negcio efetividade, eficincia, confiabilidade, conformidade, integridade e
confidencialidade controlados e gerenciados. A necessidade de algum controle paralelo
ocorre somente no item disponibilidade.

5. CONSIDERAES FINAIS

Considera-se que os objetivos do estudo foram atingidos. Os controles do
COBIT foram analisados e, aps a opinio de 14 especialistas (divididos em dois
grupos), foram adaptados a situaes de terceirizao atravs de BSP. Como o COBIT
bastante genrico, torna-se importante estudar aplicaes mais especficas a

Vol.8, No.1, 2011, p. 237-262
261
determinadas situaes e cenrios. A aplicao do resultado em um estudo de caso
corroborou os resultados obtidos a partir da anlise dos especialistas, alm de que esta
etapa permitiu uma descrio da adequabilidade e aplicao destes controles em uma
situao real.
Como limites da pesquisa, alm daqueles tpicos do estudo de caso, pode-se
considerar a realizao de estudo de caso nico. Como continuidade para o estudo,
pretende-se: a) conduzir estudos de caso com empresas de diferentes setores, replicando
a sistemtica desse estudo com o objetivo de gerar grades de processos do COBIT
aplicveis a diferentes cenrios; b) conduzir uma pesquisa survey para identificar o nvel
atual de gesto de processos terceirizados, e a partir disso propor possibilidade de
melhoria da gesto de atividades terceirizadas.
As contribuies do estudo para o campo das organizaes consistem na
potencial melhoria da maturidade de sua gesto, por meio da utilizao de um conjunto
de controles para a gesto das atividades terceirizadas, reduzindo a risco associado
terceirizao. A reduo do risco contribui para a perenidade das organizaes e no
bem-estar de seus stakeholders.
Para o campo acadmico de gesto e, em especial, gesto da informao, a
principal contribuio no sentido da lacuna acadmica citada por Barthelemy (2003),
da necessidade de desenvolvimento de sistemticas efetivas para controlar e gerenciar o
processo de terceirizao. O estudo tambm contribui para a aproximao entre
organizaes, na medida em que o COBIT utilizado por empresas, e este estudo
mostra uma sistemtica validada de priorizao de processos de acordo com a atividade
foco do controle.

REFERNCIAS

Aubert, B., Rivard, S. & Patry, M.. A transaction cost model of IT outsourcing.
Information & Management, 1-12. 2003.
Aundhe, M. D. & Mathew, Saji K.. Risks in offshore IT outsourcing: a service provider
perspective. European Management Journal, 27, 418 428. 2009.
Bardin, L.. Anlise de contedo. Lisboa: Edies 70. 1977.
Barthelemy, J. The Hard and Soft Sides of IT Outsourcing Management. European
Management Journal, 21, 5, 539548. 2003.
Hoppen, N. et al. Avaliao de artigos de pesquisa em sistemas de informao: proposta
de um guia. ENANPAD, 21, Rio das Pedras. Anais; Rio das Pedras: ANPAD. 2007.
Ibgc. Cdigo das melhores prticas de governana corporativa. Instituto Brasileiro de
Governana Corporativa. So Paulo.
It Governance Institute.. COBIT 4rd Edition: Control Objectives. Estados Unidos:
Information Systems Audit and Control Association. 2007.
Lacity, M. C., Khan, S.A. & Willcocks, L. A review of the IT outsourcing literature:
Insights for practice. Journal of Strategic Information Systems,18, 130146. 2009.

262
Mota, N. R. & Ckagnazaroff, I. B. Governana Corporativa e as melhores prticas:
estudo de caso de uma organizao no governamental. ENANPAD, 32, Salvador.
Anais; Salvador: ANPAD. 2008.
Prado, E. P. V. Terceirizao de Servio de TIC: uma avaliao sob o ponto de vista do
fornecedor. Read, 15, 3. 2009.
Rau, K. Effective governance of IT: design objectives, roles, and relationships.
Information Systems Management, 21, 4, 35. 2004.
Sampieri, R. H., Collado, C. F. & Lucio, P. B.. Metodologa de la investigacin.
Mxico: McGraw-Hill. 1991.
Smith, M. A. & Kumar, R. A theory of application service provider (ASP) use from a
client perspective. Information & Management, 41, 977-1002. 2004.
Weill, P.. Don`t Just Lead, Govern: How Top-Performing Firms Govern IT. Mis
Quarterly Executive, 3, 1, 1-17. United States: Minnesota. 2004.
Weill, P. & Woodham, R.. Don`t Just Lead, Govern: Implementing Effective IT
Governance. Massachusetts: MIT. 2002.
Willcocks, L., Feeny, D. & Olson, N. Implementing Core IS Capabilities: Feeny-
Willcocks IT Governance and Management Framework Revisited. European
Management Journal, 24, 1, 2837. 2006.
Williamson, O. E.. Outsourcing: transaction cost economics and Supply Chain
Management. Journal of Supply Chain Management, 44, 2. 2008.
Xue, Y., Liang, H., Boulton, W. R. Information Technology Governance in Information
Technology investment decision processes: the impact of investment characteristics,
external environment, and internal context. MIS Quarterly, 32, 1, 67-96. 2008.
Yin, R. K.. Case study research: design and methods. Sage Publications. United States:
California. 1994.
Zott, C. & Amit, R.. Business Model Design: an activity system perspective. Long
Range Planning, 43, 216-226. 2010.

Cobit Artigo

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cobit Artigo

Transféré par

Droits d'auteur :

Formats disponibles

JISTEM Revista de Gesto da Tecnologia e Sistemas de Informao

Journal of Information Systems and Technology Management

Vous aimerez peut-être aussi