Académique Documents
Professionnel Documents
Culture Documents
n
i
o
Processo
E
f
e
t
i
v
i
d
a
d
e
E
f
i
c
i
n
c
i
a
C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d
e
I
n
t
e
g
r
i
d
a
d
e
D
i
s
p
o
n
i
b
i
l
i
d
a
d
e
C
o
n
f
o
r
m
i
d
a
d
e
C
o
n
f
i
a
b
i
l
i
d
a
d
e
P
e
s
s
o
a
s
A
p
l
i
c
a
e
s
T
e
c
n
o
l
o
g
i
a
F
a
c
i
l
i
d
a
d
e
s
I
n
f
o
r
m
a
e
s
PO1
Define o plano
estratgico de TI
P S
PO2
Define a arquitetura da
informao
P S S S
PO3
Determina a direo
tecnolgica
P S
PO4
Define a organizao
de TI e seus
relacionamentos
P S
PO5
Gerencia os
investimentos de TI
P P S
PO6
Gerencia a
comunicao das
direes de TI
P S
PO7
Gerencia recursos
humanos
P P
PO8
Assegura o
alinhamento de TI com
os requerimentos
externos
P P S
PO9 Avalia os riscos P S P P P S S
PO10 Gerencia os projetos P P
P
l
a
n
e
j
a
m
e
n
t
o
e
O
r
g
a
n
i
z
a
o
PO11 Gerencia a qualidade P P P S
AI1
Identifica as solues
de automao
P S
AI2
Adquire e mantm os
softwares
P P S S S
AI3
Adquire e mantm a
infraestrutura
tecnolgica
P P S
AI4
Desenvolve e mantm
os procedimentos
P P S S S
AI5
Instala e certifica
softwares
P S S
A
q
u
i
s
i
o
e
I
m
p
l
e
m
e
n
t
a
o
AI6 Gerencia as mudanas P P P P S
DS1
Define e mantm os
acordos de nveis de
servio (SLA)
P P S S S S S
E
n
t
r
e
g
a
e
S
u
p
o
r
t
e
DS2
Gerencia os servios de
terceiros
P P S S S S S
Luciano, E. M., Testa, M. G.
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
248
DS3
Gerencia a
performance e
capacidade do
ambiente
P P S
DS4
Assegura a
continuidade dos
servios
P S P
DS5
Assegura a segurana
dos servios
P P S S S
DS6
Identifica e aloca
custos
P P
DS7 Treina os usurios P S
DS8
Assiste e aconselha os
usurios
P P
DS9
Gerencia a
configurao
P S S
DS10
Gerencia os problemas
e incidentes
P P S
DS11 Gerencia os dados P P
DS12
Gerencia a
infraestrutura
P P
DS13 Gerencia as operaes P P S S
M1 Monitorar os processos P P S S S S S
M2
Analisa a adequao
dos controles internos
P P S S S P S
M3
Prov auditorias
independentes
P P S S S P S
M
o
n
i
t
o
r
a
m
e
n
t
o
M4
Prov segurana
independente
P P S S S P S
Figura 4 Domnios e controles do COBIT
Fonte: ITGI (2007)
Um detalhe muito importante a ser mencionado sobre a ferramenta COBIT
justamente que ele independe da plataforma de TI adotada pela organizao, uma vez
que seu uso voltado para o negcio. O COBIT fornece informaes detalhadas para o
gerenciamento dos processos e possibilita o monitoramento de quanto a TI est
agregando valor ao negcio da organizao (Weill, 2004).
O COBIT voltado para trs nveis bastante distintos entre si numa organizao:
gerentes, usurios e auditores. No primeiro nvel, os gerentes sentem a necessidade de
realizar a avaliao dos riscos e o controle dos investimentos em TI; no nvel de
usurios, estes precisam garantir a qualidade dos servios que so prestados para os
clientes internos e externos; e no ltimo nvel, os auditores tm a necessidade de avaliar
o trabalho de gesto de TI e tambm de aconselhar o controle interno da organizao
(ITGI, 2007).
Controles de Governana de Tecnologia da Informao para a terceirizao de processos de
negcio: Uma proposta a partir do COBIT
Vol.8, No.1, 2011, p. 237-262
249
3 MTODO DE PESQUISA
Este trabalho de natureza exploratria, adequado quando o objetivo examinar
um tema ou problema de investigao pouco estudado ou que no tenha sido abordado
anteriormente (Sampieri, Collado e Lucio, 1991, p. 59), buscando compreender o estado
da arte naquelas situaes em que a prtica se antecipa teoria.
O estudo foi feito de acordo com as etapas ilustradas no desenho de pesquisa,
abaixo.
Discusso via f rum
Painel de Especialistas
Estudo de caso
R
e
f
e
r
e
n
c
i
a
l
t
e
r
i
c
o
Domnios e processos
do COBIT
C
o
l
e
t
a
d
e
d
a
d
o
s
R
e
s
u
l
t
a
d
o
s
Adaptao dos controles
do COBIT terceirizao
via BSP
1 2
3
Figura 5: Desenho de Pesquisa
A partir da explorao do COBIT, feita no referencial terico, estabeleceu-se um
painel de especialistas, visando analisar cada um dos 34 objetivos pertencentes aos
quatro domnios do COBIT. Esta etapa foi feita com o objetivo de validar, na opinio
dos especialistas, quais dos domnios e processos do COBIT se mostram mais
adequados gesto e ao controle de terceirizaes via BSP. Foram contatados via e-
mail cinco especialistas com formaes em administrao e em cincia da computao,
em nvel de graduao, especializao e mestrado, todos com razovel experincia na
rea de TI, em especial voltada melhoria de processos.
Os resultados da avaliao dos especialistas foram submetidos apreciao de
um grupo de discusso sobre COBIT, ITIL e Governana de TI, que mantm discusses
habituais sobre assuntos relacionados ao gerenciamento de TI. Nove pessoas
participaram do frum (alm de dois pesquisadores), que teve a durao de 55 minutos e
ocorreu de forma virtual. Esta etapa ocorreu atravs de brainstorming entre os
participantes, a partir do resultado da etapa anterior. As observaes feitas pelo frum
foram submetidas novamente a trs dos cinco especialistas entrevistados inicialmente.
Uma vez tendo em mos esse conjunto de elementos, j validado por dois grupos
de especialistas, partiu-se para a aplicao desse resultado em um caso. O caso
analisado foi de uma fabricante nacional de ERP, que comercializa o seu ERP atravs
da soluo BSP, tanto de forma simplificada como ampliada. O objetivo desta etapa foi
verificar em uma situao prtica como deveria ser utilizado o COBIT para controle da
qualidade e da execuo do contrato de BSP.
Luciano, E. M., Testa, M. G.
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
250
Durante o estudo de caso, a entrevista foi a principal tcnica de coleta de dados
utilizada, tendo sido complementada com a anlise de documentos. Procurou-se,
conforme recomendao de Yin (1994, p. 121), fazer a triangulao de fontes de
evidncia como forma de aumentar a compreenso do caso estudado, uma vez que
vrias fontes de evidncia fornecem essencialmente vrias avaliaes do mesmo
fenmeno. Utilizou-se um protocolo de estudo de caso, visando dar mais
confiabilidade conduo do mesmo. O roteiro de entrevista composto basicamente
pelo conjunto de domnios e objetivos do COBIT, alm de variveis que identificam em
detalhes o funcionamento do BSP da empresa. As entrevistas foram face a face, e
duraram 3 horas e 50 minutos e 2 horas e 10 minutos. As entrevistas foram gravadas e
transcritas.
A anlise de documentos procurou complementar e ilustrar os dados obtidos na
entrevista. Os documentos analisados foram uma proposta comercial padro, um
contrato de prestao de servios entre a empresa e seus clientes, um contrato do tipo
SLA (Service Level Agreement) e o manual de normas de segurana conforme a Poltica
de Segurana da Informao da empresa.
A anlise dos dados coletados para esta pesquisa foi feita por meio de anlise de
contedo, uma vez que os dados eram de origem qualitativa. Os dados procedentes das
entrevistas foram analisados por meio de anlise temtica e anlise da enunciao, que
difere basicamente da anlise temtica por no ter como enfoque a busca de categorias,
mas sim de um discurso, de um texto completo. Bardin (1977) cita que esta tcnica
geralmente mais trabalhosa, uma vez que geralmente a quantidade total de texto a ser
analisado maior, sendo necessrio interpretar maiores trechos para chegar a um
primeiro agrupamento.
4 RESULTADOS
Sendo o objetivo desta pesquisa o de definir um conjunto de elementos, a partir
do COBIT, para melhor gerenciar e controlar uma terceirizao atravs de BSP
analisou-se a apreciao de dois grupos de especialistas e os dados coletados no estudo
de caso.
A anlise dos dados e as propostas deste estudo so descritas a seguir.
4.1 Validao pelo painel de Especialistas
Os especialistas avaliaram o framework do COBIT, exposto no item 2.3. Pelo
framework, definem-se prioridades (primria e secundria) para os 34 itens de controle,
bem como os recursos de TI necessrios ao atendimento de cada processo.
Controles de Governana de Tecnologia da Informao para a terceirizao de processos de
negcio: Uma proposta a partir do COBIT
Vol.8, No.1, 2011, p. 237-262
251
A avaliao dos especialistas foi no sentido de analisar e adaptar os 34 processos
para que este pudesse atender mais diretamente o controle de uma atividade de BSP. A
avaliao dos especialistas foi feita de forma individual, e sem a indicao de quais
itens so primrios ou secundrios no framework original do COBIT (embora os
especialistas possam ter consultado estes dados ao fazer as marcaes na sua tabela).
A partir da tabela de cada especialista, procedeu-se a tabulao dos dados. A
concordncia entre os especialistas foi de 85%. Naqueles itens em que houve
divergncia, um dos especialistas (identificado aqui como Especialista Snior) atuou
como mediador, discutindo com os pesquisadores qual era a melhor indicao e o
porqu. Este especialista possui certificaes em COBIT e ITIL, mestrado em
Administrao e, atua profissionalmente como consultor em melhoria de processos de
TI.
Inicialmente, os especialistas avaliaram se os quatro domnios (planejamento e
organizao, aquisio e implementao, entrega e suporte, monitoramento) eram
adequados ao controle de uma atividade BSP. Esta avaliao ocorreu porque, conforme
j discutido no referencial terico, o COBIT abrangente, o que gera a necessidade de
priorizar alguns processos para controle de determinadas situaes no ambiente de TI.
O primeiro especialista entrevistado considerou que todos os quatro domnios
so aplicveis ao controle de uma terceirizao via BSP. No entanto, os quatro
especialistas seguintes consideraram que o domnio Planejamento e Organizao se
refere, mais ao contexto geral da organizao ou do setor de TI, e no se aplica
diretamente a uma atividade de TI. Tendo em vista esta divergncia, retornou-se ao
primeiro especialista, que julgou procedente a avaliao dos demais, modificando a sua
avaliao inicial. Desta forma, os especialistas sugeriram que fossem considerados
como domnios adequados para avaliao de uma atividade BSP a Aquisio e
Implementao, a Entrega e Suporte e o Monitoramento.
A partir destes trs domnios, os especialistas indicaram na dimenso Critrios
de Informao quais dos 23 processos eles consideravam como primrios e quais como
secundrios, conforme Figura 6 abaixo. Os itens em cinza so aqueles para os quais os
especialistas sugeriram alteraes em relao ao roteiro original do COBIT: de
aplicabilidade Primria para Secundria, de Secundria para Primria, de Nenhuma para
Primria, ou de Nenhuma para Secundria.
Luciano, E. M., Testa, M. G.
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
252
Requisitos de Negcio
(primria e secundria)
D
o
m
n
i
o
Processo
E
f
e
t
i
v
i
d
a
d
e
E
f
i
c
i
n
c
i
a
C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d
e
I
n
t
e
g
r
i
d
a
d
e
D
i
s
p
o
n
i
b
i
l
i
d
a
d
e
C
o
n
f
o
r
m
i
d
a
d
e
C
o
n
f
i
a
b
i
l
i
d
a
d
e
AI1 Identifica as solues de automao P S S
AI2 Adquire e mantm os softwares P P S S S
AI3 Adquire e mantm a infraestrutura tecnolgica P P S P
AI4 Desenvolve e mantm os procedimentos P P S S P
AI5 Instala e certifica softwares P S S S
A
q
u
i
s
i
o
e
I
m
p
l
e
m
e
n
t
a
o
AI6 Gerencia as mudanas P P P P S
DS1
Define e mantm os acordos de nveis de
servio (SLA)
P P P P S P P
DS2 Gerencia os servios de terceiros P P P P P P P
DS3
Gerencia a performance e capacidade do
ambiente
P P S S S S
DS4 Assegura a continuidade dos servios P P S S P S S
DS5 Assegura a segurana dos servios P P P P S S P
DS6 Identifica e aloca custos P P
DS7 Treina os usurios P S S S S
DS8 Assiste e aconselha os usurios P P S S
DS9 Gerencia a configurao P S S S
DS10 Gerencia os problemas e incidentes P P S P S S S
DS11 Gerencia os dados P P P P
DS12 Gerencia a infraestrutura P P P S
E
n
t
r
e
g
a
e
S
u
p
o
r
t
e
DS13 Gerencia as operaes P P P P P P P
M1 Monitorar os processos P P S S S P P
M2 Analisa a adequao dos controles internos P P P P S P P
M3 Prov auditorias independentes P P S P S P P
M
o
n
i
t
o
r
a
o
M4 Prov segurana independente P P P S S P P
Figura 6: Aplicao dos domnios e processo do COBIT ao controle de BSP
A partir das entrevistas com os especialistas, obteve-se uma anlise de
aplicabilidade do COBIT em relao aos domnios e aos critrios de informao no
aplicveis, aplicveis de forma primria ou secundria. Esse resultado foi refinado na
etapa do estudo descrita a seguir.
Controles de Governana de Tecnologia da Informao para a terceirizao de processos de
negcio: Uma proposta a partir do COBIT
Vol.8, No.1, 2011, p. 237-262
253
4.2 Avaliao pelo grupo do Frum
Conforme explicitado no mtodo de pesquisa, uma segunda etapa foi a
submisso dos resultados da etapa anterior em um frum de discusso sobre COBIT.
Este grupo de discusso se encontra regularmente, e tem uma pauta fixa de discusses
(sobre ITIL, COBIT e Governana de TI, em especial, mas tambm de outros padres,
como COSO, Sarbanes-Oxley e assuntos correlatos), e por isso considerou-se vlida a
submisso dos resultados a este grupo. Aps a avaliao do framework, os participantes
do frum sugeriram cinco alteraes, a saber:
a) No domnio Aquisio e Implementao, no processo AI1 (Identifica as
solues de automao): alterar de Nenhuma indicao para Secundrio no critrio
Utilidade, porque a utilidade de uma informao depende de da correta identificao da
soluo ideal de automao;
b) No domnio Aquisio e Implementao, no processo AI5 (Instala e certifica
softwares): retirar a indicao de Secundrio para o critrio Utilidade, porque a utilidade
da informao independe da instalao e certificao de softwares, uma vez que esta
definida no processo Identifica as solues de automao (AI1);
c) No domnio Entrega e Suporte, no processo DS7 (Treina os usurios): alterar
de Secundrio para Primrio no critrio Conformidade, uma vez que o treinamento de
usurios pode contribuir significativamente para a conformidade de um servio;
d) No domnio Entrega e Suporte, no processo DS8 (Assiste e aconselha os
usurios): alterar de Nenhuma indicao para Secundrio no critrio Confidencialidade,
pois muitas vezes os usurios fornecem (ou facilitam o acesso a) informaes sigilosas
sem saberem do risco ao qual esto expondo a empresa;
e) No domnio Entrega e Suporte, no processo DS9 (Gerencia a Configurao):
alterar de Nenhuma indicao para Secundrio no critrio Eficincia, porque o
gerenciamento de configurao pode contribuir para a eficincia de um processo;
f) No domnio Monitorao, no processo M1 (Monitorar os processos): alterar
de Secundrio para Primrio no critrio Integridade, uma vez que o monitoramento de
processos pode contribuir para a integridade deste e dos demais processos.
Estas alteraes foram submetidas avaliao do Especialista Snior, que
concordou com cinco delas e ficou em dvida na do item c, pois considera que, em
geral, os usurios de servios BSP so instrudos o suficiente para no prejudicarem o
processo. Como a etapa seguinte da pesquisa era o estudo de caso, optou-se por manter
a alterao e ficar atento ao item durante a anlise do caso.
Luciano, E. M., Testa, M. G.
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
254
4.3 Estudo de caso
O caso estudado o produto BSP oferecido pela Alpha. A Alpha uma empresa
de desenvolvimento de sistemas de informao e prestao de servios em Tecnologia
da Informao, no mercado h mais de 20 anos.
O principal sistema comercializado pela Alpha o ERP (Enterprise Resource
Planning), nos mdulos: logstica, manuteno, RH, vendas, manufatura e finanas. A
empresa tem mais de 80 mil usurios ativos, distribudos em dois mil clientes. A Alpha
tem certificao ISO e j conquistou diversos prmios no pas e no exterior.
O servio BSP da Alpha foi iniciado em 2002, e foi um dos primeiros do Brasil.
A empresa atende em torno de 100 clientes, em grande parte empresas de mdio porte.
A adoo do BSP relativamente simples: o cliente escolhe a aplicao que
necessita, definido em comum acordo se o BSP adotado ser o simplificado ou o
ampliado, e em poucos dias o cliente pode iniciar a utilizao do sistema (a menos que
sejam necessrias customizaes). A reduo de custos do BSP em relao
terceirizao tradicional ocorre principalmente porque todos os investimentos que
deveriam ser feitos separadamente pelas empresas foram feitos por uma nica empresa
(Alpha) com ganho de escala e compartilhamento destes investimentos, inclusive mo
de obra. Alm disso, a empresa cliente no precisa ter mo de obra especializada para
administrao do ambiente de TI, e no corre o risco da rpida obsolescncia do
investimento realizado.
Dentro do conceito de BSP, a Alpha entrega ao cliente um pacote completo de
produtos e servios: sistema ERP, link de comunicao, mo de obra para
gerenciamento do banco de dados do sistema, atualizao do software, atualizaes de
itens internos do ERP e do banco de dados. O pagamento por mensalidade, calculada a
partir de qual sistema est sendo utilizado, dos itens contratados no SLA (Service Level
Agreement) e da quantidade de usurios.
A partir das entrevistas e da observao, realizou-se uma anlise de como se
comportam os processos no BSP da empresa. Inicialmente, o objetivo era analisar os 23
processos na figura 6, pertencentes a trs domnios. No ento, no primeiro contato com
a empresa percebeu-se a dificuldade de uma anlise aprofundada de 23 processos
diferentes. Como no era a inteno deste estudo fazer uma anlise superficial destes
processos, criou-se uma sistemtica de separao por prioridade entre os 23
processos. Para tal, considerou que cada um dos processos da Figura 6 do item 4.1 e
modificaes propostas no item 4.2, atribuindo o valor 2 para os com atribuio P
(Primrio) e 1 para os com atribuio S (Secundrio), criando um escore de
prioridade. Esta sistemtica permitiu que se dividissem os 23 processos em trs grupos,
conforme figura abaixo.
Controles de Governana de Tecnologia da Informao para a terceirizao de processos de
negcio: Uma proposta a partir do COBIT
Vol.8, No.1, 2011, p. 237-262
255
Grupos Domnio/Processo Escore
DS2 Gerencia os servios de terceiros 14
DS13 Gerencia as operaes 14
DS1
Define e mantm os acordos de nveis de servio
(SLA) 13
DS5 Assegura a segurana dos servios 13
M1 Monitorar os processos 13
M2 Analisa a adequao dos controles internos 13
M3 Prov auditorias independentes 13
M4 Prov segurana independente 13
DS11 Gerencia os dados 11
DS4 Assegura a continuidade dos servios 10
Grupo 1
Alta prioridade
para BSP
DS10 Gerencia os problemas e incidentes 10
AI6 Gerencia as mudanas 9
AI4 Desenvolve e mantm os procedimentos 8
DS3 Gerencia a performance e capacidade do ambiente 8
DS7 Treina os usurios 8
AI2 Adquire e mantm os softwares 7
AI3 Adquire e mantm a infraestrutura tecnolgica 7
DS8 Assiste e aconselha os usurios 7
Grupo 2
Prioridade
intermediria
para BSP
DS12 Gerencia a infraestrutura 7
DS9 Gerencia a configurao 6
AI1 Identifica as solues de automao 5
AI5 Instala e certifica softwares 4
Grupo 3
Menor
prioridade para
BSP
DS6 Identifica e aloca custos
4
Figura 7: Priorizao de domnio e processos de COBIT para BSP
A partir do escore acima, foram criados trs grupos. O considerado como alta
prioridade (escores 10 a 14) contm 11 processos (7 de Entrega e Suporte; 4 de
Monitorao). O de prioridade intermediria contempla quatro processos (2 de Entrega
e Suporte; 2 de Aquisio e Implementao), e o de menor prioridade contempla 8
processos (4 de Aquisio e Implementao; 4 de Entrega e Suporte). Optou-se, ento
por analisar detalhadamente os 11 processos de grupo de alta prioridade, lembrando
aqui que esta alta prioridade se refere aplicao de itens do COBIT para o
gerenciamento e controle de terceirizaes atravs de Business Service Provider.
Luciano, E. M., Testa, M. G.
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
256
a) DS2 - Gerencia os servios de terceiros:
Este item, junto com o gerenciamento de operaes, ficou com o escore de
importncia mais elevado entre os 11 processos analisados no caso estudado, o que
facilmente compreensvel, uma vez que ele se refere justamente ao controle dos atores
envolvidos no BSP. Sem o gerenciamento dos servios de terceiros no h como
garantir a qualidade do servio nem mesmo a sua continuidade, tanto porque pequenos
erros e omisses podem se acumular como porque algumas atividades de fronteira
podem passar despercebidas. Em ambos os casos, estas pequenas situaes podem se
acumular, gerando grandes problemas, e para a resoluo destes ser preciso despender
esforos e investimentos.
b) DS13 - Gerencia as operaes:
Se o gerenciamento de operaes fundamental para o qualquer atividade
funcione de acordo com o que foi especificado, para o BSP essa importncia foi
confirmada, uma vez que se tm, alm dos perigos de qualquer terceirizao,
dificuldades inerentes quantidade de fornecedores e ligao virtual entre estes.
No gerenciamento das operaes, mostrou-se fundamental existir a
documentao dos processos, como forma de harmonizar e padronizar a realizao das
atividades. Da mesma forma, o registro (transparente a todos os atores do processo) do
status de cada atividade auxilia os envolvidos a gerenciarem atividades predecessoras e
sucessoras a uma atividade em andamento, alm de conferir confiabilidade ao processo.
c) DS1 - Define e mantm os acordos de nveis de servio (SLA):
O SLA tm se mostrado um efetivo instrumento de controle, um mecanismo
pelo qual uma empresa contratante de servios discrimina as garantias de qualidade,
quantidade, modalidade e preciso dos diferentes servios adquiridos de um terceiro. A
Alpha tem dois tipos de SLA, um com o cliente, como fornecedora do servio BSP, e
outro com os seus fornecedores (dois ou quatro, dependendo de atuar com BSP
simplificado ou ampliado), como cliente do servio. Neste caso, h um SLA para cada
um dos fornecedores.
Em ambos os tipos de SLAs (como fornecedora e como cliente) h o
detalhamento destes, atravs do o SLS (Service Level Specification) e do SLD (Service
Level Description). O SLS especifica quais so os itens que devem ser fornecidos,
enquanto que o SLD descreve em detalhes o funcionamento de cada item acordado,
especificando os tempos ideais de acesso, de retorno a pedidos de suporte, de resposta
de e-mails, de retorno em caso de suspenso de fornecimento, etc. Internamente, a
Alpha define OLA (Operational Level Agreement), que pode ser entendido como um
SLA interno a uma empresa, entre os diferentes setores envolvidos na prestao de um
servio.
Controles de Governana de Tecnologia da Informao para a terceirizao de processos de
negcio: Uma proposta a partir do COBIT
Vol.8, No.1, 2011, p. 237-262
257
O SLA detalha qual a penalidade caso algum item do SLA seja descumprido;
esta penalidade em geral um desconto (percentual) no valor do servio do BSP, indo
de 2 a 50%. O depoimento de um dos entrevistados refora a importncia do SLA.
[...] eu estou assumindo contigo um nvel de servio, se eu no atender esses
quesitos, voc vai ter direito a ressarcimento, e a empresa vai comear a entrar no
vermelho porque no vai receber pelos servios justamente porque no cumpriu o SLA,
e assim a empresa quebra. Essa a sua garantia de segurana. [E1]
d) DS5 - Assegura a segurana dos servios:
Este um tema de extrema importncia nas organizaes, tanto que o ITIL
(Information Technology Infrastructure Library- conjunto de melhores prticas de
gesto de TI) o coloca como base para que o fornecimento de servios possa ser
garantido. A empresa caso deste estudo toma uma srie de cuidados com a imagem de
tica e segurana que passa aos seus clientes: fazemos tudo que possvel, dentro do
que a tecnologia nos permite (E2). H uma confiana grande na equipe, em virtude de
uma seleo rigorosa, e pelo tipo de contato com a informao dos clientes, j que o
funcionrio no sabe que informao est ali e para quem que ela pode interessar
(G1). A empresa assume que falhas podem ocorrer, mas ressalta que toma as precaues
necessrias:
[...] ns temos toda uma infra-estrutura de segurana, o que tem de melhor, de
mais bem feito, ns fazemos. Se voc achar que deixar dentro de sua casa mais
seguro, voc est enganado, mais seguro aqui, porque temos o aparato de segurana.
Se isso no bastasse, o nosso contrato prev toda a parte de confidencialidade, com
multas para tudo, alm do cdigo civil, que me obriga a reparar para ele quaisquer
danos e prejuzos, e se eu infringir isso e essa situao for para a imprensa o meu
negcio acabou [E1]
e) M1 - Monitorar os processos:
Embora parea muito semelhante ao processo de gerenciamento de operaes
(DS13), a diferena entre estes justamente a ao: monitorar ao invs de gerenciar. O
monitoramento dos processos implica na criao de uma srie de indicadores de
controle, estabelecendo mtricas e pontos de controle. Este objetivo o que mais
contribui para que a organizao possa obter os nveis de maturidade expostos no item
2.3 do nvel 0 (gerenciamento de processos inexistente) at o nvel 5 (processos
otimizados).
Com o monitoramento de processos, pode-se passar de um processo que
depende mais das pessoas do que de um mtodo propriamente estabelecido para a
utilizao de melhores prticas e melhoria contnua dos processos. fundamental nesta
atividade uma ferramenta de BPM (Business Process Management), que auxilia o
redesenho e a otimizao dos processos.
Luciano, E. M., Testa, M. G.
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
258
f) M2 - Analisa a adequao dos controles internos:
Este processo funciona de forma muito alinhada ao anterior, uma vez que revisa,
adapta e valida os controles definidos no processo M1 (Monitorar os processos). Os
controles internos, em uma terceirizao atravs de BSP, so um elemento chave para
notificao de todos os atores envolvidos nesta terceirizao. No entanto, se no
estiverem adequados, no sero uma medida efetiva do funcionamento do BSP. Para
melhorar este processo bastante importante a implantao de vrias metodologias (ou
melhores prticas) de gerenciamento de TI, tais como ITIL e COSO, assim como a
implementao dos demais processos do COBIT.
g) M4 - Prov segurana independente:
Sendo o BSP um servio que utiliza diversos fornecedores, fundamental que
cada um deles possa dar garantia de segurana, independente dos demais. Desta forma,
caso a segurana de um dos fornecedores no seja suficiente para barrar uma
determinada ameaa, o aparato de segurana do fornecedor que recebe aquela etapa do
servio pode evitar que esta ameaa se torne real.
h) M3 - Prov auditorias independentes:
Assim como o anterior, importante que cada um dos envolvidos possa auditar
os seus processos e os dos parceiros envolvidos diretamente com as suas atividades. Um
dos grandes riscos da terceirizao uma situao na qual os diferentes fornecedores
vo jogando a responsabilidade para o outro, e no resolvem o problema, prejudicando
o cliente. Com procedimentos de auditoria, esta situao tende a ocorrer com menor
frequncia, alm de ser possvel o controle via SLA.
i) DS11 - Gerencia os dados:
Embora tenha ficado com 11 pontos, este item no se mostrou importante para o
BSP especificamente, uma vez que o gerenciamento de dados j faz parte de rotinas
implementadas h bastante tempo (na Alpha, mas tambm em outras organizaes),
como rotinas sistemticas de backup e gerenciamento do banco de dados.
j) DS4 - Assegura a continuidade dos servios:
A continuidade dos servios garantida a partir da implementao de uma srie
de controles internos para que os servios no sejam interrompidos. Atravs das
entrevistas e em especial da anlise de documentos, percebeu-se que na empresa
analisada o que sustenta este processo o detalhamento e o controle dos nveis de
servio (DS1 - Define e mantm os acordos de nveis de servio - SLA) e a garantia
segurana (DS5 - Assegura a segurana dos servios).
Controles de Governana de Tecnologia da Informao para a terceirizao de processos de
negcio: Uma proposta a partir do COBIT
Vol.8, No.1, 2011, p. 237-262
259
Isto porque para a continuidade dos servios fundamental que os acordos com
fornecedores estejam bem detalhados e passveis de execuo via SLA, alm de ter um
forte esquema de segurana fsica e lgica funcionando na organizao. O Plano de
Continuidade, alinhado Poltica de Segurana completa e bem definida, fundamental
para a garantia de continuidade dos servios, uma vez que expressa todos os
procedimentos necessrios para recuperara a capacidade de operao de uma empresa
quando em um sinistro.
importante tambm que a organizao mantenha OLAs (SLAs internos) com
todos os setores com os quais o setor responsvel pelo BSP tem dependncia (em
termos de servios realizados), visando evitar que, mesmo que os seus fornecedores
(externos) cumpram a sua parte, a continuidade dos servios seja interrompida por no-
conformidades internas.
k) DS10 - Gerencia os problemas e incidentes:
O gerenciamento combinado de incidentes e problemas qualifica a prestao de
servios de TI, modificando a cultura comum que privilegia a resoluo imediata no
acompanhada de reflexo no sentido de evitar que estes desconfortos ocorram
novamente. O incidente tem uma caracterstica de ser isolado, contingencial, enquanto
que o problema algo que (provavelmente) vai se repetir.
Desta forma, importante que a empresa tenha um catlogo de incidentes e
problemas, visando auxiliar a resoluo e no sentido de um comportamento pr-ativo,
investigando e resolvendo previamente incidentes que podem se tornar problemas. Este
comportamento fundamental para que a organizao seja um fornecedor confivel de
servios BSP.
Aps a anlise dos 11 processos considerados pelos dois grupos de especialistas
como prioritrios para terceirizaes atravs de BSP, percebeu-se que o processo
Gerencia os dados (DS11) no se mostrou prioritrio no caso estudado. Embora possa
ser um comportamento derivado dos limites do estudo de caso, os elementos coletados
no estudo de caso levam a acreditar que ele no se mostra realmente prioritrio, por no
ser discriminante para o BSP.
Desta forma, aps as trs etapas da pesquisa, o conjunto de controles para
melhor gerenciar e controlar a terceirizao de processos de negcio baseados em BSP
composto por 10 processos do COBIT, conforme a Figura 8, a seguir.
Luciano, E. M., Testa, M. G.
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
260
Requisitos de Negcio*
Processos
E
f
e
t
i
v
i
d
a
d
e
E
f
i
c
i
n
c
i
a
C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d
e
I
n
t
e
g
r
i
d
a
d
e
D
i
s
p
o
n
i
b
i
l
i
d
a
d
e
C
o
n
f
o
r
m
i
d
a
d
e
C
o
n
f
i
a
b
i
l
i
d
a
d
e
Define e mantm os acordos de nveis de servio
(SLA)
Gerencia os servios de terceiros
Assegura a continuidade dos servios
Assegura a segurana dos servios
Gerencia as operaes
Monitorar os processos
Analisa a adequao dos controles internos
Prov auditorias independentes
Prov segurana independente
Gerencia os problemas e incidentes
S
Figura 8: Controles do COBIT e requisitos de negcio
Em relao aos requisitos de negcio, os setes requisitos esto bem
representados: efetividade e eficincia esto cobertas por todos os processos;
confiabilidade, conformidade e integridade esto amplamente cobertas (nove, sete e sete
itens como primrios, respectivamente); confidencialidade e disponibilidade esto
cobertos em menor intensidade (seis e trs itens como primrios, quatro e sete itens
como secundrios, respectivamente). Se uma organizao utilizar esses dez itens para
controle de atividades de terceirizao via BSP, esta potencialmente ter os requisitos
de negcio efetividade, eficincia, confiabilidade, conformidade, integridade e
confidencialidade controlados e gerenciados. A necessidade de algum controle paralelo
ocorre somente no item disponibilidade.
5. CONSIDERAES FINAIS
Considera-se que os objetivos do estudo foram atingidos. Os controles do
COBIT foram analisados e, aps a opinio de 14 especialistas (divididos em dois
grupos), foram adaptados a situaes de terceirizao atravs de BSP. Como o COBIT
bastante genrico, torna-se importante estudar aplicaes mais especficas a
Controles de Governana de Tecnologia da Informao para a terceirizao de processos de
negcio: Uma proposta a partir do COBIT
Vol.8, No.1, 2011, p. 237-262
261
determinadas situaes e cenrios. A aplicao do resultado em um estudo de caso
corroborou os resultados obtidos a partir da anlise dos especialistas, alm de que esta
etapa permitiu uma descrio da adequabilidade e aplicao destes controles em uma
situao real.
Como limites da pesquisa, alm daqueles tpicos do estudo de caso, pode-se
considerar a realizao de estudo de caso nico. Como continuidade para o estudo,
pretende-se: a) conduzir estudos de caso com empresas de diferentes setores, replicando
a sistemtica desse estudo com o objetivo de gerar grades de processos do COBIT
aplicveis a diferentes cenrios; b) conduzir uma pesquisa survey para identificar o nvel
atual de gesto de processos terceirizados, e a partir disso propor possibilidade de
melhoria da gesto de atividades terceirizadas.
As contribuies do estudo para o campo das organizaes consistem na
potencial melhoria da maturidade de sua gesto, por meio da utilizao de um conjunto
de controles para a gesto das atividades terceirizadas, reduzindo a risco associado
terceirizao. A reduo do risco contribui para a perenidade das organizaes e no
bem-estar de seus stakeholders.
Para o campo acadmico de gesto e, em especial, gesto da informao, a
principal contribuio no sentido da lacuna acadmica citada por Barthelemy (2003),
da necessidade de desenvolvimento de sistemticas efetivas para controlar e gerenciar o
processo de terceirizao. O estudo tambm contribui para a aproximao entre
organizaes, na medida em que o COBIT utilizado por empresas, e este estudo
mostra uma sistemtica validada de priorizao de processos de acordo com a atividade
foco do controle.
REFERNCIAS
Aubert, B., Rivard, S. & Patry, M.. A transaction cost model of IT outsourcing.
Information & Management, 1-12. 2003.
Aundhe, M. D. & Mathew, Saji K.. Risks in offshore IT outsourcing: a service provider
perspective. European Management Journal, 27, 418 428. 2009.
Bardin, L.. Anlise de contedo. Lisboa: Edies 70. 1977.
Barthelemy, J. The Hard and Soft Sides of IT Outsourcing Management. European
Management Journal, 21, 5, 539548. 2003.
Hoppen, N. et al. Avaliao de artigos de pesquisa em sistemas de informao: proposta
de um guia. ENANPAD, 21, Rio das Pedras. Anais; Rio das Pedras: ANPAD. 2007.
Ibgc. Cdigo das melhores prticas de governana corporativa. Instituto Brasileiro de
Governana Corporativa. So Paulo.
It Governance Institute.. COBIT 4rd Edition: Control Objectives. Estados Unidos:
Information Systems Audit and Control Association. 2007.
Lacity, M. C., Khan, S.A. & Willcocks, L. A review of the IT outsourcing literature:
Insights for practice. Journal of Strategic Information Systems,18, 130146. 2009.
Luciano, E. M., Testa, M. G.
R. Gest. Tecn. Sist. Inf. /JISTEM Journal of Information Systems and Technology Management, Brazil
262
Mota, N. R. & Ckagnazaroff, I. B. Governana Corporativa e as melhores prticas:
estudo de caso de uma organizao no governamental. ENANPAD, 32, Salvador.
Anais; Salvador: ANPAD. 2008.
Prado, E. P. V. Terceirizao de Servio de TIC: uma avaliao sob o ponto de vista do
fornecedor. Read, 15, 3. 2009.
Rau, K. Effective governance of IT: design objectives, roles, and relationships.
Information Systems Management, 21, 4, 35. 2004.
Sampieri, R. H., Collado, C. F. & Lucio, P. B.. Metodologa de la investigacin.
Mxico: McGraw-Hill. 1991.
Smith, M. A. & Kumar, R. A theory of application service provider (ASP) use from a
client perspective. Information & Management, 41, 977-1002. 2004.
Weill, P.. Don`t Just Lead, Govern: How Top-Performing Firms Govern IT. Mis
Quarterly Executive, 3, 1, 1-17. United States: Minnesota. 2004.
Weill, P. & Woodham, R.. Don`t Just Lead, Govern: Implementing Effective IT
Governance. Massachusetts: MIT. 2002.
Willcocks, L., Feeny, D. & Olson, N. Implementing Core IS Capabilities: Feeny-
Willcocks IT Governance and Management Framework Revisited. European
Management Journal, 24, 1, 2837. 2006.
Williamson, O. E.. Outsourcing: transaction cost economics and Supply Chain
Management. Journal of Supply Chain Management, 44, 2. 2008.
Xue, Y., Liang, H., Boulton, W. R. Information Technology Governance in Information
Technology investment decision processes: the impact of investment characteristics,
external environment, and internal context. MIS Quarterly, 32, 1, 67-96. 2008.
Yin, R. K.. Case study research: design and methods. Sage Publications. United States:
California. 1994.
Zott, C. & Amit, R.. Business Model Design: an activity system perspective. Long
Range Planning, 43, 216-226. 2010.