( PDF ) A revisão de controles no ambiente ERP

Download PDF

ads:

FRANCESCO GIGLIO BOTTINO

Orientador: Prof. Dr. Valter Moreno Jr.

Rio de Janeiro, 12 de dezembro/2005

ads:

Livros Grátis

http://www.livrosgratis.com.br

Milhares de livros grátis para download.

Dissertação apresentada ao Curso de Mestrado

Profissional em Administração das Faculdades

Ibmec como parte dos requisitos para obtenção

do título de Mestre em Administração

Área de Concentração: Sistemas de

Informação e Apoio à Decisão

FRANCESCO GIGLIO BOTTINO

Orientador: Prof. Dr. Valter Moreno Jr.

Rio de Janeiro, 12 de dezembro/2005

ads:

FRANCESCO GIGLIO BOTTINO

A REVISÃO DE CONTROLES NO AMBIENTE ERP

Dissertação apresentada ao Curso de Mestrado

Profissional em Administração das Faculdades

Ibmec como parte dos requisitos para obtenção

do título de Mestre em Administração

Área de Concentração: Sistemas de

Informação e Apoio à Decisão

Aprovada em:

BANCA EXAMINADORA:

Prof. Dr. Valter Moreno Jr., Faculdades IBMEC

Profa. Dra. Simone Bacellar Leal Ferreira, Faculdades IBMEC

Profa. Dra. Sandra Mariano, Universidade Federal do Rio de Janeiro

Rio de Janeiro, 12 de dezembro/2005

DEDICATÓRIA

Este trabalho é dedicado as pessoas que me

apoiaram na decisão de fazer o mestrado e me deram

força e ajuda nessa difícil jornada, tendo paciência

nos momentos difíceis e permitindo que eu estivesse

distante e concentrado, durante todas as longas horas

de estudo necessárias.

Para a minha filha, Giovanna, que cedeu o tempo de

convívio e de atenção em dias de infância, e pela

alegria que traz a minha vida e motivação que nos

estimula a continuar crescendo.

À minha irmã, pelo incentivo inicial e constante de

realizar esse grande sonho de minha vida.

AGRADECIMENTOS

Aos meus pais, pela educação, amor e incentivo em todos os momentos da vida.

Ao Prof. Valter Moreno, pela transmissão de conhecimentos, orientação e apoio, desde a fase

de escolha do tema da dissertação até a sua conclusão.

A Prof

. Simone Leal, pelos importantes aspectos revisionais, desde a banca do projeto até a

derradeira apresentação.

Aos professores do IBMEC que tanto contribuíram para o engrandecimento desta jornada,

construída com o esforço dos alunos e muita dedicação de todos, onde em nossos encontros,

trocamos experiências e conhecimentos.

Aos amigos do IBMEC, que mais que companheiros de sala de aula, são amigos de uma

jornada maior e a todos que convivi, nestes anos de estudo, que permitiram trocas tão ricas e

engrandecedoras.

A REVISÃO DE CONTROLES NO AMBIENTE ERP

RESUMO

Este estudo foi conduzido com o propósito de entender como uma revisão de controles no

ambiente onde está implantado o ERP (Enterprise Resource Planning) poderia ser utilizada

para minimizar os riscos aos quais as empresas estão expostas, do ponto de vista de controle e

segurança, e assim garantir a obtenção dos benefícios esperados da implantação do sistema. O

estudo utiliza a estratégia de estudo de caso exploratório, por meio de entrevistas realizadas

com os gerentes da área de TI e das diversas áreas de negócios das empresas. Os dados

coletados permitiram também que se avaliasse até que ponto a revisão de controles é vista

pelas empresas como um meio para maximizar as chances reais de sucesso da implantação de

ERP, constituindo-se, portanto, em um de seus fatores críticos de sucesso.

Palavras-chave: ERP, controle, segurança, riscos.

vii

THE REVIEW OF CONTROLS IN AN ERP ENVIRONMENT

ABSTRACT

The purpose of this study was to see how the control of any environment using the ERP

System (Enterprise Resource Planning) could be utilized to minimize the risks that companies

are exposed to in the areas of control and security, guaranteeing the desired results. This study

utilized an exploratory case through interviews carried out by the managers in the IT and

other business areas of the company. This information showed how companies see control as

a means to maximize the real success opportunities through the implementation of the ERP,

thereby making this one of the most important (critical) factors for success.

Key-words: ERP, control, security, risks.

viii

LISTA DE FIGURAS E GRÁFICOS

Figura 1 – Evolução das aplicações empresariais (Colangelo Filho, 2001, pg 21).------------20

Figura 2 – Principais módulos de um sistema ERP e suas interligações (Souza &

Zwicker, 2000, pg 67). --------------------------------------------------------------21

Figura 3: Gráfico do mercado internacional de ERP (Pesquisa da AMR Research, 2005) ----23

Figura 4: Gráfico do mercado nacional de ERP (Pesquisa da Fundação

Getúlio Vargas, 2004)----------------------------------------------------------------23

Figura 5 – Ciclo de vida de sistemas ERP segundo Souza e Zwicker (2001). -----------------33

Figura 6 – Ciclo de vida de sistemas ERP segundo Musaji (2002). ---------------------------35

Figura 7 – Ciclo de vida de sistemas ERP segundo Colangelo Filho (2001). -----------------38

Figura 8: Níveis de segurança num ambiente ERP (Musaji, 2002, p.7):-----------------------54

LISTA DE TABELAS

Tabela 1 – Principais benefícios obtidos pelas empresas ao implantar o ERP, e os

autores que os mencionaram.-------------------------------------------------------32

Tabela 2 – Quadro comparativo demonstrando os modelos de implantação de ERP----------39

Tabela 3: Quadro resumo com as principais características das empresas---------------------69

Tabela 4: Quadro resumo com o cargo dos entrevistados das quatro empresas ---------------70

Tabela 5: Motivos da implantação do ERP para as empresas que não realizaram as

atividades de controle e segurança --------------------------------------------------72

Tabela 6: Motivos da implantação do ERP para as empresas que realizaram as

atividades de controle e segurança.--------------------------------------------------73

Tabela 7: Benefícios esperados, pelas empresas que não realizaram as atividades

de controle e segurança. -------------------------------------------------------------75

Tabela 8: Benefícios esperados, pelas empresas que realizaram as atividades de

controle e segurança. ----------------------------------------------------------------76

Tabela 9: Problemas ocorridos durante a fase de implantação do ERP, para as

empresas que não realizaram as atividades de controle e segurança.-----------79-80

Tabela 10: Problemas ocorridos durante a fase de implantação do ERP, para as

empresas que realizaram as atividades de controle e segurança. -------------------80

Tabela 11: Problemas ocorridos durante a fase pós-implantação do ERP, para as

empresas que não realizaram as atividades de controle e segurança ----------83-84

Tabela 12: Problemas ocorridos durante a fase pós-implantação do ERP, para as

empresas que realizaram as atividades de controle e segurança.-------------------85

Tabela 13: Motivos mencionados pelas empresas que as levaram a realizar as

atividades de controle e segurança. ------------------------------------------------88

Tabela 14: Motivos mencionados pelas empresas que as levaram a não realizar

as atividades de controle e segurança.----------------------------------------------89

SUMÁRIO

1.1. OBJETIVOS-------------------------------------------------------------------------16

1.2. ESTRUTURA DO TRABALHO----------------------------------------------------18

2.1. SISTEMAS ERP (ENTERPRISE RESOURCE PLANNING) -----------------------19

2.1.1. CARACTERÍSTICAS E BENEFÍCIOS BÁSICOS DO ERP-------------------------------24

2.1.2. ESTRUTURA DE UM PROJETO DE IMPLANTAÇÃO DE ERP------------------------32

2.1.3. DURAÇÃO E ESTRATÉGIAS DE IMPLANTAÇÃO ---------------------------------------39

2.1.4. RISCOS DE IMPLANTAÇÃO DE ERP----------------------------------------------------40

2.1.5. CRÍTICAS AOS SISTEMAS ERP’S --------------------------------------------------------47

2.2. ASPECTOS LEGAIS (AMBIENTE EXTERNO) ----------------------------------48

2.2.1. LEI SARBANES-OXLEY--------------------------------------------------------------------48

2.2.2. BASILÉIA -------------------------------------------------------------------------------------50

2.2.3. CIRCULAR SUSEP NÚMERO 249 -------------------------------------------------------52

2.3. REVISÃO DE CONTROLES -------------------------------------------------------52

2.3.1. CONCEITOS BÁSICOS DE CONTROLES -------------------------------------------------52

2.3.2. REALIZAÇÃO DA REVISÃO DE CONTROLES E SEGURANÇA------------------------56

4.1. AS EMPRESAS – CARACTERÍSTICAS GERAIS --------------------------------67

4.2. OS ENTREVISTADOS -------------------------------------------------------------70

4.3. ANÁLISE DOS RESULTADOS----------------------------------------------------71

4.3.1. ANÁLISE DOS RESULTADOS DA PESQUISA PARA A FASE DE

PLANEJAMENTO ----------------------------------------------------------------------------71

4.3.2. ANÁLISE DOS RESULTADOS DA PESQUISA PARA A FASE DE

IMPLANTAÇÃO ------------------------------------------------------------------------------78

4.3.3. ANÁLISE DOS RESULTADOS DA PESQUISA PARA A FASE

PÓS-IMPLANTAÇÃO ------------------------------------------------------------------------82

4.3.4. ANÁLISE DOS RESULTADOS DA PESQUISA PARA OS MOTIVOS QUE

LEVARAM AS EMPRESAS A REALIZAREM OU NÃO AS ATIVIDADES DE

CONTROLE E SEGURANÇA-----------------------------------------------------------------87

1. INTRODUÇÃO

De acordo com Davenport (2002), o processo de globalização, os freqüentes avanços

tecnológicos, o aumento do nível de exigência dos clientes, e a competitividade do mercado

vêm promovendo grandes alterações em todos os segmentos da sociedade atual. O mesmo

autor diz que especialmente nas indústrias, observa-se uma busca constante por melhores

formas de criação, produção, comercialização de bens e serviços, e de administração dos seus

custos. A integração dessas atividades tem sido apontada como um fator crítico de sucesso das

empresas, que passaram a depender não somente de produtos melhores e mais competitivos,

mas também, de melhores técnicas de administração, gerenciamento e segurança das

informações.

Nery (2004) menciona que a crescente demanda dos usuários corporativos por sistemas de

informações computacionais que suportam e melhoram o desempenho se suas atividades,

aliada ao crescente nível de importância dado à segurança da informação pela alta direção das

corporações, até mesmo em função das novas exigências legais, têm gerado desafios para as

tradicionais abordagens de segurança da informação (SI) e se tornaram prioridade entre os

requisitos de negócios de executivos e empresas. O mesmo autor diz que foram quatro as

fases da segurança da informação. Na primeira, caracterizada pelo uso dos computadores de

grande porte ou mainframes nas empresas, o próprio fabricante do equipamento, além de

fornecer o hardware e software, preocupava-se também em garantir a segurança da

informação. Na década de 80, que corresponde à fase do surgimento e adoção em larga escala

das redes e dos microcomputadores, observou-se uma falta de sistemas e métodos de

segurança formalizados nas organizações. A terceira fase está associada ao uso comercial da

Internet. Foi nessa fase que a SI começou a amadurecer e a se tornar uma preocupação dos

executivos e usuários. Surgiram produtos e serviços sofisticados, e as empresas e os governos

criaram e investiram no desenvolvimento de equipes especializadas em segurança.

A quarta fase está sendo vivida agora, caracterizando-se pelo aparecimento de novas

tecnologias que aumentam o alcance e a exposição das informações, tais como as redes sem

fio, os equipamentos portáteis integrados com celular, a tecnologia de Voz sobre IP (VoIP), e

a TV Digital. Outro aspecto que amplia a necessidade de segurança é o aumento das

transações envolvendo autorizações financeiras eletrônicas, seja em operações de comércio

eletrônico e internet banking, ou nos sistemas de gestão empresarial. Verifica-se, também,

uma ampla regulamentação dos aspectos relativos à segurança da informação. A cada dia,

mais setores da economia vêem-se obrigados a atender determinações das agências

reguladoras, que exigem a proteção das informações e a garantia de seu sigilo, integridade,

privacidade e disponibilidade.

No passado, os usuários finais dependiam dos profissionais de TI para selecionar e

implementar novos sistemas computacionais. Hoje, muitas vezes, os próprios usuários finais

tomam decisões sobre tais iniciativas com relativa independência. Porém, freqüentemente,

eles não têm conhecimento dos procedimentos e princípios de SI, deixando de adotá-los ao

implantarem e utilizarem seus sistemas. Vale destacar que a segurança da informação não

depende apenas de produtos especializados de hardware e software (ex., firewalls, programas

anti-vírus, etc.), mas de uma abordagem corporativa que contemple as pessoas, processos, e

tecnologias que compõem o sistema organizacional. Assim, é importante que a corporação

assuma, de forma centralizada, a missão de promover a conscientização geral e de disseminar

atitudes em prol da segurança da informação (Medeiros, 2003). Isso pode ser feito através da

definição de Políticas de Segurança da Informação que reflitam as necessidades internas da

organização, e o teor das legislações que deve se cumprir (Peixoto, 2001).

Nos últimos anos, muitas empresas vêm adotando Sistemas Integrados de Gestão (SIGs) ou

ERP’s (Enterprise Resource Planning) com o intuito de atingir seus objetivos estratégicos e

metas operacionais, de forma eficiente e segura. De acordo com Mendes e Escrivão Filho

(2001), ERP’s são sistemas genéricos capazes de integrar todas as informações que fluem pela

organização, por intermédio de uma base de dados única. Um ERP integra os dados chaves e

a comunicação entre as áreas da empresa, fornecendo informações detalhadas sobre todas as

operações da companhia.

Além de aumentar a disponibilidade e qualidade da informação nos vários setores da empresa,

o ERP possibilita a melhoria dos processos administrativos e de produção, promovendo maior

agilidade na tomada de decisão e operação da empresa (Davenport, 2002). Alguns dos

motivos normalmente citados para a adoção de um ERP, associados à melhoria de processos

de negócio, são (Davenport, 2002): a possibilidade de acompanhamento e fechamento de

ciclos financeiros de forma rápida e confiável; a redução de pessoal; diminuição de

pendências (backlog) de aplicações e dos custos na área de TI; possibilidade de medição e

comparação da performance de processos de negócio; e o acompanhamento da concorrência.

Diversas empresas decidiram implantar um ERP por razões tecnológicas (O'Leary, 2000).

Embora, na década de 90, o bug do milênio tenha sido um dos principais motivos, destaca-se

também a possibilidade de usar o ERP para a integração entre os diferentes sistemas das

unidades de negócios de uma organização, e a sua capacidade de processar e gerenciar

grandes volumes de transações.

Os ERP’s oferecem oportunidades para aumentar a eficiência das empresas, considerando,

desde os aspectos de administração até os aspectos de controle e de segurança (Musaji, 2002).

No entanto, para que isso ocorra, os sistemas integrados de gestão devem ser bem

implementados, implantados e utilizados. Assim, todos os agentes organizacionais devem

entender que as mudanças previstas na implantação do ERP precisam ser concretizadas, não

para o bem do próprio sistema, mas em benefício da melhoria do desempenho da organização,

resultado este que depende de um melhor alinhamento entre os seus sistemas de informação e

os processos de negócio que governam a operação da empresa (Davenport, 2002).

A implantação de um ERP pode causar impactos significativos sobre os processos e

tecnologias das empresas, principalmente quando sua implantação envolve um alto índice de

customização, ou seja, quando um número grande de alterações é feito nos programas do

ERP, para atender as necessidades específicas de uma firma (Davenport, 2002). Dessa forma,

projetos de ERP tendem a intensificar os riscos inerentes ao negócio da empresa, e até gerar

novos riscos para a sua operação, tendo impacto direto na segurança da área de TI e no

controle dos processos de negócio, porque os testes efetuados durante a implantação podem

não ser suficientes para contemplar todas as alterações efetuadas no ERP. Adicionalmente,

nem sempre os aspectos de controle e segurança são observados ou adequadamente

desenhados pelas empresas que realizam a implantação dos ERP’s, ou, tão pouco, pelos

usuários e gestores desses sistemas nas empresas onde são instalados. A questão da segurança

normalmente não é considerada no primeiro momento e somente tratada posteriormente, o

que na realidade, acaba por nunca acontecer, pois uma vez assegurada a continuidade da

operação, demais outras prioridades irão surgir para a área de TI e para os usuários do sistema

(Ernst & Young, 2005).

Faz-se necessário contratar especialistas em controle e segurança da informação para que

desenvolvam ações específicas com o objetivo de mitigar os riscos derivados do projeto.

Diversas empresas de auditoria e consultoria passaram a oferecer os serviços de especialistas

em avaliação de riscos e em integridade de sistemas integrados de gestão, que têm as

competências necessárias para avaliar a segurança e os controles específicos da configuração

de um ERP, e do ambiente de tecnologia que o suporta, devido principalmente à exigência das

regulamentações e à demanda do mercado por esses tipos serviços. Esses especialistas

conhecem os riscos associados aos processos e à infra-estrutura envolvidos na implantação

dos ERP’s, e, portanto, podem auxiliar no desenho otimizado dos mecanismos e

procedimentos de segurança e dos controles necessários para mitigar os riscos que afetam o

negócio da empresa.

1.1. OBJETIVOS

O tema central desse trabalho é a revisão de controles no ambiente ERP, e como essa

atividade pode ser utilizada para minimizar os riscos a que uma empresa está exposta, do

ponto de vista de controle e segurança, num processo de implantação e no uso do ERP. O

presente trabalho tem por objetivo principal avaliar até que ponto a revisão de controles é

vista pelas empresas como um meio para maximizar as chances reais de sucesso da

implantação e uso efetivo de um ERP, constituindo-se, portanto, num de seus fatores críticos

de sucesso, e ajudando-as, também, a obter os potenciais benefícios de um sistema integrado

de gestão.

O bom funcionamento de um ERP depende, dentre outros aspectos, da configuração adequada

de seus vários módulos e da infra-estrutura que o suporta. Quando isso não ocorre, o sistema

deixa de atender as expectativas de seus usuários e dos gestores da empresa, e não remunera o

investimento feito para a sua aquisição. À luz do que foi exposto anteriormente, ressalta-se a

importância de se efetuar uma configuração criteriosa e eficaz dos parâmetros de segurança

do ERP, e da adoção de controles internos e externos eficazes no ambiente do sistema. Sem

isso, é impossível garantir o sigilo, integridade, privacidade e disponibilidade das informações

processadas pelo sistema.

Para atingir o objetivo definido acima, foi necessário cumprir algumas etapas. Elas são

expressas em termos de objetivos secundários, conforme descrito a seguir:

♦ Avaliar o grau de importância dado pelas empresas à revisão de controles no ambiente

ERP e entender suas motivações para implantar um projeto desse tipo;

♦ Entender como algumas empresas avaliam o sucesso de projetos de revisão de controles,

em termos dos benefícios gerados para a organização;

♦ Identificar, com base nas informações coletadas, literatura disponível, e recente

transformação no ambiente de negócios, cenários e condições não contemplados pelas

empresas participantes do estudo que tornam um projeto de revisão de controles um fator

crítico para as operações e sucesso de uma organização.

Foi realizada uma pesquisa qualitativa e de natureza exploratória, com 20 profissionais em

quatro empresas distintas. Selecionamos em cada uma das quatro empresas, 5 profissionais,

sendo 1 gerente da área de informática e 4 gerentes das áreas de negócios (Compras, Contas a

Pagar, Pagamentos, Vendas, Faturamento, Contas a Receber, Contabilidade) e que são

usuários do sistema ERP da empresa. A pesquisa foi realizada em empresas da iniciativa

privada, mais especificamente indústrias do município do Rio de Janeiro, que tinham sistemas

ERP implantados. Em duas dessas empresas, havia ocorrido um trabalho especial de revisão

de controles e segurança do sistema ERP durante a sua implantação. Nas outras empresas, até

o momento da implantação do ERP, e também após esse momento, esse tipo de serviço não

havia sido realizado.

1.2. ESTRUTURA DO TRABALHO

O presente trabalho está estruturado da seguinte forma. Primeiramente, são apresentadas as

características básicas dos sistemas integrados de gestão, e discutidos temas relativos à sua

importância estratégica e benefícios obtidos após a sua implantação nas empresas.

São abordados também, o ciclo de implantação de um ERP e os riscos envolvidos nesse

processo, destacando-se as principais fases em que os aspectos de controle e segurança devem

ser acompanhados e analisados. Em seguida, a metodologia de pesquisa adotada no trabalho é

descrita, indicando-se as fontes e formas de coleta de dados, e os métodos de análise dos

dados coletados. Por fim, apresentam-se algumas conclusões e os resultados esperados da

pesquisa.

Vai ser discutido na conclusão se as empresas que realizaram atividades de revisão de

controles e segurança do sistema ERP durante a sua implantação obtiveram benefícios

esperados, e minimizaram os riscos que ocorrem num processo de implantação de ERP, se

comparadas com aquelas que não realizaram atividades de revisão de controles e segurança do

sistema ERP.

A relevância dessa pesquisa poderá ser útil para as empresas que estão pretendendo implantar

um ERP em seu ambiente, para aquelas que farão atualização de versão de seus sistemas de

gestão, e para aquelas que já possuem um sistema de gestão, mas nunca realizou esse tipo de

procedimento. A comunidade acadêmica também poderá ser beneficiada com a pesquisa, em

função da relevância que as empresas estão dando para os quesitos de controles implantados

no ambiente ERP.

2. REVISÃO DA LITERATURA

A literatura sobre o ERP apresenta uma série de conceitos e benefícios associados aos

sistemas integrados de gestão. A literatura também apresenta os aspectos relacionados aos

diversos tipos de riscos que a empresa está exposta num processo de implantação do ERP e os

controles para mitigá-los. A busca dos artigos e publicações que nortearam este capítulo foi

realizada em sites na internet, base de dados de periódicos científicos (ex.: Ebsco, ACM,

Prokuest), anais de congressos nacionais e internacionais, e livros sobre os diversos temas

abordados no trabalho.

2.1. SISTEMAS ERP (ENTERPRISE RESOURCE PLANNING)

ERP (Enterprise Resource Planning) é um tipo de software que integra as diferentes funções

e áreas da empresa para criar operações mais eficientes. É constituído por vários módulos que

podem suportar várias áreas de uma companhia, sejam elas de manufatura ou prestadora de

serviços (Davenport, 2002, Colangelo Filho, 2001, Buckhout, 1999). Por se tratar de sistema

genérico, sua abrangência é definida pela própria empresa, podendo estar atrelada a vários

fatores, como: custo de implantação dos módulos, possibilidade de integração de sistemas

legados ao ERP, infra-estrutura necessária, entre outros (Buckhout, 1999).

Os sistemas ERP’s são uma evolução dos sistemas MRP e MRP II (Material Requeriment

Planning), que tinham por foco a automação do processo produtivo fabril, efetuando,

basicamente, o controle dos estoques e dando apoio a funções de planejamento de produção e

compra (Colangelo Filho, 2001).

Por volta da década de 70, algumas empresas de software desenvolveram sistemas,

implementando técnicas de MRP, voltados para a produção. Gradativamente mais módulos e

funcionalidades foram incorporados aos sistemas, como os aspectos financeiros e de custo da

produção, dando origem ao MRP II. No início da década de 1990, com a globalização, outras

adições começaram a ser implantadas, contemplando as necessidades dos setores

administrativos e comerciais. Tais adições culminaram no surgimento dos ERP’s que

controlavam tanto os recursos diretamente utilizados na manufatura, quanto os demais

recursos da empresa, como por exemplo, as áreas de recursos humanos e contabilidade, além

de fazer parte da estratégia da empresa (Davenport, 2002; Colangelo Filho, 2001 e Corrêa,

1997). Na figura 1 pode-se observar a evolução das aplicações empresariais (Colangelo Filho,

2001).

Figura 1 – Evolução das aplicações empresariais (Colangelo Filho, 2001, pg 21).

Os principais módulos de um sistema ERP em uma empresa industrial e suas principais

interligações, que podem ser feitas através de troca de informações com entidades externas ou

através de integração com os módulos, são apresentados na figura 2 (Souza & Zwicker, 2000).

Figura 2 – Principais módulos de um sistema ERP e suas interligações (Souza & Zwicker, 2000,

pg 67).

Nos anos 90, não era difícil encontrar empresas com vários sistemas de informação, com

baixo grau de integração entre eles. Nessa década, esses sistemas funcionavam e suportavam

as operações das grandes companhias que, por sua vez, passavam por diversos processos de

reengenharia de negócios e downsizing (Davenport, 1998).

O'Leary (2000) e Colangelo Filho (2001) mencionam que com a ameaça do bug do milênio,

as empresas começaram a avaliar a possibilidade de implantar um ERP para resolver os

problemas tecnológicos existentes nos sistemas que processavam suas informações e para

suportar o próprio crescimento da empresa. Destacava-se também, nas empresas, a

dificuldade de integração entre diferentes sistemas das unidades de negócios e, por

conseqüência, de comparação de resultados; os sistemas internos obsoletos e de baixa

qualidade - com falhas e pouca segurança; e a possibilidade de analisar o negócio durante o

processo de escolha do novo sistema e buscar uma equiparação à concorrência.

Barros (2003) também enfatiza que os ERP’s são sistemas integrados de gestão mais amplos e

robustos, cobrindo as várias áreas de negócio da empresa. Ele diz que, passado o período das

implementações obrigatórias estimuladas pelo bug do milênio, as corporações passaram a

exigir projetos mais curtos e, principalmente, retornos rápidos e comprovados para seus

investimentos. Para acompanhar as novas demandas do mercado, a área de pré-vendas dos

fornecedores de ERP passou a contar com especialistas em negócios, enquanto o

departamento de marketing assumiu a função de qualificar potenciais clientes. O público alvo

também mudou: as iniciativas agora passam a ser voltadas para os usuários e suas gerências, e

não mais para os CIOs (Chief Information Officer).

O mercado mundial de ERP é amplo, com diversos fornecedores apresentando as suas

soluções. Nesse mercado pode-se mencionar as aquisições que ocorreram nos últimos anos,

com destaque para as transações em que a empresa SSA adquiriu a BAAN e a PeopleSoft

comprou a J.D. Edwards, culminando com a compra da própria PeopleSoft pela Oracle. A

alemã SAP detém uma parcela forte de participação no mercado em todo o mundo e a Oracle

vem em segundo lugar, principalmente após a aquisição da PeolpleSoft. A Sage-Best, SSA e

Microsoft ficam em terceiro, quarto e quinto lugares, respectivamente, mas aí a categoria já

não é peso-pesado (Pesquisa da AMR Research, 2005). A figura 3 mostra o gráfico do

mercado internacional de ERP.

SAP

37%

MS B.S.

Oracle

20%

Sage-Best

SSA

Outros

31%

Figura 3: Gráfico do mercado internacional de ERP (Pesquisa da AMR Research, 2005)

No Brasil, há vários fornecedores que atuam a nível mundial, como SAP e Oracle, e também

nacional como, Datasul, Microsiga, RM e outros. Os dados apresentados no gráfico da figura

4 demonstram a participação dessas empresas no mercado brasileiro (Pesquisa da Fundação

Getúlio Vargas, 2004). Podemos perceber que a SAP também domina o mercado nacional. A

Datasul e a Microsiga vêm em segundo e terceiro lugares, respectivamente, embora atuem

principalmente em mercados de pequenas e médias empresas, diferentemente da SAP, que se

concentra no mercado de grandes empresas.

SAP

24%

Datasul

17%

Microsiga

13%

Oracle

Outros

33%

Figura 4: Gráfico do mercado nacional de ERP (Pesquisa da Fundação Getúlio Vargas, 2004)

2.1.1. Características e benefícios básicos do ERP

Segundo Souza & Zwicker (2000), os ERP’s são adquiridos na forma de pacotes comerciais,

com o objetivo de dar suporte a maioria dos processos de negócios de uma empresa,

procurando atender a requisitos e demandas do maior número possível de empresas,

incorporando modelos de processos obtidos pela experiência acumulada de fornecedores,

consultorias e pesquisas de benchmarking.

Davenport (2002) define processos de negócio como um conjunto de tarefas e procedimentos

interdependentes realizados para alcançar determinado resultado empresarial, sendo uma de

suas características a transposição de fronteiras organizacionais. Os processos contemplados

num sistema ERP não se restringem a uma área ou departamento, quebrando barreiras

impostas pelas estruturas departamentais.

Saccol, Macadar, Soares (2003) e (Davenport, 1998) mencionam que os ERP’s controlam e

abrangem várias áreas da empresa, de Produção a Finanças, registrando e processando cada

fato novo na corporação, e distribuindo a informação de maneira clara e segura, em tempo

real. Falam também que e a adoção desses sistemas implica num processo de mudança

organizacional, afetando a empresa em suas dimensões tecnológicas, estruturais e

comportamentais, conforme descrito a seguir:

Mudanças tecnológicas – Para a instalação do sistema pode ser necessária uma atualização de

hardware (ex: cabeamento, servidores) e de software (ex: banco de dados), além do aumento

do número de computadores na empresa (ex: computadores dentro da área de produção da

fábrica).

Mudanças estruturais – O sistema auxilia na comunicação inter e intra-unidades, tornando-a

mais rápida, reduzindo a quantidade de consultas diretas e trocas de informações verbais, e

facilitando e auxiliando o trabalho em equipe. Além disso, com a implantação do ERP pode

haver demissões de pessoas, em função da não adaptação dos funcionários à nova tecnologia,

ou pela eliminação de níveis hierárquicos na companhia pelo fato de algum processo da

empresa tornar-se completamente automatizado.

Mudanças comportamentais – A implantação do ERP também pode estar associada à uma

mudança na cultura da empresa, no grau de motivação dos funcionários e nas habilidades e

capacidades requeridas das pessoas. Muitas empresas têm aproveitado e utilizado esses

sistemas para introduzir mais disciplina e integridade em seus processos de negócios. O ERP

auxilia a padronizar práticas administrativas para empresas que estão fisicamente e

geograficamente separadas.

Sistemas dessa natureza também são adquiridos com o intuito de tornar os processos

empresariais mais ágeis e extrair informações mais acuradas da empresa, colocando fim aos

vários sistemas e banco de dados que funcionavam de forma isolada, com informações

redundantes e não confiáveis (Lima, 2000; Miltello, 1999).

Existe o compartilhamento de informações comuns entre os diversos módulos, pois os dados

são armazenados em um único banco de dados, corporativo e centralizado, minimizando

problemas de inconsistências e duplicidade. Assim, os dados são digitados uma só vez, e

então consultados e compartilhados por toda a empresa, em tempo real. Desta forma,

aumenta-se a confiabilidade e integridade dos sistemas de informação da empresa,

permitindo-se que os dados estejam atualizados, controlados e que reflitam a realidade das

suas operações (Stamford, 2000; Mendes e Escrivão Filho, 2001; Souza & Zwicker, 2000).

Uma pesquisa realizada por Wood Jr. (1999) demonstra que a implantação do ERP trouxe

diversas melhorias para as empresas consultadas. Por exemplo, 60% das empresas analisadas

afirmaram ter havido integração efetiva das suas funções e processos, 45% apontaram

melhoria na utilização de recursos do sistema ou da tecnologia, e 40% disseram ter melhorado

o desenho e controle dos processos.

Outra pesquisa, realizada pela Deloitte Consulting (1998), indica que os benefícios de um

ERP somente podem ser obtidos durante a sua utilização, se, após a implantação, o foco do

projeto for mantido, ou seja, que se continue a empreender esforços para a obtenção dos

resultados esperados. A pesquisa revelou que as empresas sentiram os benefícios do sistema

após algum tempo de uso, à medida que perceberam suas potencialidades. É o que também

diz Souza & Zwicker (2000), revelando que os resultados com a implantação do ERP são

percebidos após a etapa de estabilização, com uso contínuo do sistema. Para obter os

benefícios, é preciso encará-lo como um projeto em evolução contínua.

O ERP está vivendo uma era de maturação bastante acelerada, com a maioria das grandes

corporações já se definindo por seu uso. Muitos ERP’s possuem ferramentas que permitem

ligação com as operações na Internet oferecendo suporte à estratégia de negócio eletrônico.

De acordo com Stamford (2000), como as informações são armazenadas em uma única base

de dados, sendo disponibilizadas em tempo real, torna-se mais fácil o acesso, para clientes e

fornecedores, a informações necessárias para a realização de um negócio pela Internet. Assim,

o ERP permite que a empresa faça negócios em qualquer lugar do mundo. O ERP é

considerado a porta de entrada para a integração entre as empresas da cadeia de fornecedores

e está se tornando uma plataforma para aplicações de data mining, gerenciamento da cadeia e

sistemas de informação para executivos (Stamford, 2000).

Alguns fornecedores de ERP estão expandindo suas fronteiras oferecendo ferramentas de

Data Warehouse como forma de disponibilizar à alta administração de seus clientes,

ferramentas de tomada de decisão, totalmente integradas ao ERP (SAP, 2003; Oracle, 2003).

A implantação de um ERP também contribui para que a empresa tenha maior performance.

As vantagens podem ser citadas, como (Stamford, 2000):

♦ Aumento de valor percebido pelos investidores e pelo mercado;

♦ Agilidade nas oportunidades de negócios;

♦ Visibilidade por possuir um sistema de gestão;

♦ Informação em tempo real;

♦ Atendimento a requerimentos globais, regionais e locais em um único sistema.

O sistema de gestão põe fim à colcha de retalhos que caracteriza muitos sistemas

corporativos, com programas redundantes, sem integração, tornando a consolidação dos dados

demorada e ineficiente. Assim, a empresa deixa de operar como se existissem várias ilhas

informatizadas e independentes.

Os processos implantados no sistema transpõem os limites departamentais, trazendo

continuidade e rapidez das atividades, facilitando a integração entre as várias áreas da

empresa. O treinamento não pode ser esquecido ou negligenciado. O uso do sistema exige

uma melhor capacitação técnica dos funcionários, demandando treinamento. O usuário, bem

treinado conceitual e operacionalmente, deve operar adequadamente o ERP com segurança e

eficiência, e visualizar como a sua tarefa está integrada aos processos de negócio da empresa,

ao invés de ater-se unicamente ao seu departamento (Colangelo Filho, 2001; Taurion, 1999).

A documentação e contabilização dos processos e todos os procedimentos e formas de

negócios suportados pelo ERP, quando bem implementados, geram regras de negócio bem

definidas, permitindo controles mais rígidos sobre pontos vulneráveis do negócio, fazendo

com que a empresa ganhe em controle e padronização de procedimentos (Davenport, 1998).

Como também menciona a revista Informática Exame (1997), os sistemas de gestão deixaram

de registrar somente o fluxo de informações e passaram a ajudar também na gestão.

A adoção de um ERP constitui uma excelente oportunidade para os diversos tipos de

empresas, sejam elas de grande porte ou de médio porte, para a modernização tecnológica, e

um meio para conhecer e adotar as melhores práticas do mercado, que é identificar,

documentar, avaliar e difundir as melhores experiências em determinado assunto, resultantes

de ações e projetos nos quais já tenham sido utilizados no mercado. A empresa, ao adotar um

ERP, cria uma base tecnológica fundada na tecnologia do sistema de gestão. Assim, suas

próximas aquisições tecnológicas deverão considerar a arquitetura desse tipo de sistema

implantado. Pode-se mencionar que as organizações orientadas para processos, com forte rede

de relacionamentos, integradas por um sistema de gestão, conseguem ser significativamente

mais eficientes e eficazes que organizações departamentais tradicionais. (Lima et al.,2000;

Miltello 1999).

Diferentes aspectos financeiros da empresa podem, ao final do processo de implantação do

ERP, ser afetados positivamente, em função das mudanças em processos de negócios

fundamentais. Por exemplo, as companhias poderão aumentar a capacidade de negociar com

os fornecedores, e reduzir o custo com a distribuição. Na área de produção, podemos citar

como exemplo de benefícios do ERP, o suporte à produção enxuta, onde os estoques mantidos

na empresa são próximos de zero (Davenport, 2002).

Independente do ramo ou setor de atuação, as empresas de hoje estão inseridas em um

ambiente de mudanças constantes, caracterizado pela globalização irreversível dos mercados,

pela dinâmica da demanda e pelo aumento do nível de exigência dos clientes.

Neste cenário, o adequado suporte aos processos operacionais e gerenciais das organizações e

a disponibilização de informações confiáveis e tempestivas, desempenha papel essencial na

obtenção de vantagens competitivas, harmonizando e dinamizando as relações das empresas

com os elos de sua cadeia produtiva, sejam eles clientes, fornecedores, colaboradores ou

distribuidores, todos participantes da “sociedade de informação”. Os fornecedores têm

apresentado os seus sistemas ERP’s como capazes de responder adequadamente a este

desafio, disponibilizando informações confiáveis e integradas e provendo suporte às

atividades da empresa por meio de processos que refletem as melhores práticas do mercado. É

importante salientar que a percepção da importância dos sistemas ERP’s para determinadas

empresas muitas vezes decorre de uma visão voltada para o mercado, na qual as organizações

identificam o uso de determinadas abordagens em suas concorrentes e conseqüente

necessidade de adequação a estes cenários (Davenport, 2002).

Mendes e Escrivão Filho (2001) mencionam que a implantação do ERP demonstra um amplo

impacto estratégico e de melhorias obtidas na empresa. Esses fatos podem ser agrupados em:

2. Evolução da base tecnológica, que permite a redução no tempo de processamento das

informações, obtenção das informações em tempo real e agilidade nas tarefas da

empresa, pela otimização e uniformização dos procedimentos internos.

3. Integração entre as diversas áreas da empresa, pela adoção de um único sistema integrado

em toda a companhia, melhor controle e integridade das informações, pela eliminação da

redundância dos dados e a redução do fluxo de papéis.

4. Impacto no controle e gestão da empresa, que pode ser percebido pela diminuição no

retrabalho e na centralização de tarefas administrativas, na melhoria do desempenho e

crescimento da empresa, possibilitado pelo controle em suas tarefas e a otimização da

comunicação e tomada de decisões com informações obtidas em tempo real.

5. Impacto na administração de recursos humanos da empresa, que pode ser percebido pela

redução de custos por meio da redução de mão-de-obra e de horas extras, racionalização

de recursos e da melhoria do nível técnico dos funcionários na área de Tecnologia da

Informação.

Colangelo Filho (2001) menciona três classes de motivos para a empresa implantar um

sistema ERP: negócios, legislação e tecnologia. O motivo de negócios é subdividido em

motivos estratégicos e operacionais. O estratégico pode ser destacado como o interesse da

empresa em diferenciar-se da concorrência, pela busca por maior competitividade no plano

global, uniformizando os seus processos, pela preparação para o crescimento e pela

capacidade que o ERP tem de mudar processos de negócios e suportar estrutura operacional

da empresa bastando ser reconfigurados. Eles atendem a essas exigências por concepção. No

operacional é destacada a grande falta de integração entre os sistemas existentes nas empresas

e o elevado número de fornecedores de sistemas que causa dificuldades para integrá-los e para

administrá-los.

Com relação ao motivo de legislação, Colangelo Filho (2001) diz que a implantação do

Sistema de Pagamentos do Brasil (SPB), pelo mercado financeiro, obriga as empresas a

mexerem em seus sistemas de informação, e na adoção de moeda única (ex: Euro na Europa),

necessitando a substituição de seus sistemas e na internacionalização das organizações,

fazendo com que elas sigam as políticas de diversos países.

O motivo relacionado à tecnologia, mencionado pelo mesmo autor, pode ser explicado pela

obsolescência de equipamentos (hardware) e sistemas de informação (software). Com o

passar do tempo torna-se inviável utilizar a tecnologia obsoleta, em função do aumento de

custos operacionais, da perda de suporte do fornecedor e pela dificuldade de encontrar

profissional que conheça uma tecnologia ultrapassada. As exigências tecnológicas de

parceiros de negócios também são motivos de substituição para um sistema ERP, pois o

relacionamento entre as empresas cada vez mais estão se baseando em e-business e as

empresas precisam estar preparadas para esse segmento de negócio.

Davenport (2002) também cita motivos ligados aos processos de negócio para adoção dos

ERP’s, a saber:

♦ Possibilidade de fechamento mais rápido de ciclos (ex: prazos de encerramento financeiro;

prazo de entrega dos pedidos aos clientes);

♦ Obter informações mais rápidas sobre transações (ex: verificações de crédito de cliente;

remessas de peças de reposição);

♦ Abrir caminho para o comércio eletrônico (ex: oferecimento aos clientes do acesso pela

Web ao processamento de pedidos);

♦ Converter o conhecimento tácito sobre o processo em conhecimento explícito (ex:

documentação no sistema dos principais processos e das regras de negócios)

A tabela 1 mostra os principais benefícios obtidos pelas empresas ao implantar o ERP, e os

autores que os mencionaram.

Tabela 1 – Principais benefícios obtidos pelas empresas ao implantar o ERP, e os autores que os

mencionaram.

Benefícios Referências

Maior integração entre departamentos e

unidades de negócios

Souza & Zwicker (2000); Wood Jr. (1999)

Padronização de processos e regras de

negócios bem definidas

Davemport (1998)

Base de dados única com as informações

integradas

Mendes e Escrivão Filho (2001); Lima

(2000); Miltello (1999); Stamford (2000);

Souza & Zwicker (2000)

Melhoria e maior performance dos

processos, com agilidade na tomada de

decisão

Davemport (2002); Stamford (2000)

Capacidade de processar e gerenciar grandes

volumes de transações

Wood Jr. (1999); O’Leary (2000)

Redução da estrutura gerencial Davemport (1998)

Redução de material em estoque Davemport (1998)

Evolução da base tecnológica Mendes e Escrivão Filho (2001)

2.1.2. Estrutura de um projeto de implantação de ERP

Implantar ou não um ERP não deve ser uma decisão primariamente técnica, não devendo ficar

exclusivamente a cargo da área de tecnologia da empresa. O processo de decisão precisa

envolver pesquisas e análises realizadas por um grupo de executivos das áreas técnicas e de

negócios. Além disso, em função dos altos custos e das mudanças organizacionais envolvidas

num projeto desse tipo, a decisão final deve sempre ser tomada pelo CEO (Chief Executive

Officer) e pela sua equipe de executivos e diretores. Os profissionais de tecnologia podem

apresentar aos especialistas em negócios como a tecnologia funciona e as implicações de

determinadas alternativas tecnológicas para a empresa. Aos especialistas em negócios cabe

determinar ou articular a estratégia da empresa e identificar as necessidades de suporte

tecnológico que seus processos de negócios apresentam (Davenport, 2002).

No processo de tomada de decisão sobre a implantação de um ERP, a análise mais comum

que as empresas realizam, é a de custos e benefícios (Davenport, 2002). A questão que se quer

analisar é se a implantação do sistema de gestão custará mais do que os benefícios que ele

proporcionará. Trata-se de uma análise feita com foco no negócio e embora a essa análise

possa incluir fatores não financeiros, normalmente, as tomadas de decisões são tomadas com

base em questões e os cálculos financeiros (Davenport, 2002; Swartz, 2000).

Após as análises realizadas e tendo-se decidido pela adoção de um sistema de gestão na

empresa, a implantação de um sistema ERP geralmente é estruturada em fases bem definidas.

Segundo Souza e Zwicker (2001), um modelo para o ciclo de vida de sistemas ERP inclui as

fases de decisão e seleção, implementação, estabilização e utilização. Estas grandes fases e as

relações entre elas estão esquematizadas na figura 5.

Figura 5 – Ciclo de vida de sistemas ERP segundo Souza e Zwicker (2001).

Souza e Zwicker (2001) menciona que, na fase 1 da sua metodologia, a empresa decide, como

solução para as suas necessidades de informação, pela implementação de um sistema ERP,

escolhendo o fornecedor. Após a seleção do fornecedor, é realizado o planejamento da

implantação do ERP, que engloba a definição do escopo do projeto e dos seus objetivos,

metas a serem cumpridas, métricas do projeto, definição de responsabilidades e toda a

estratégia de implantação. A estratégia de implantação envolve a definição de como a

operação irá se iniciar, das atividades que serão realizadas e de todo o cronograma do projeto,

com os prazos e recursos envolvidos.

A fase de implementação é definida na metodologia de Souza e Zwicker (2001) como o

período em que os módulos do sistema ERP são transportados para o ambiente de produção

da empresa. Essa fase envolve a adaptação dos processos de negócio ao sistema ou do sistema

ERP ao negócio, a parametrização e customização do sistema ERP, a conversão e carga dos

dados iniciais, a configuração do hardware e software de suporte, o treinamento de usuários e

gestores e a definição de suporte aos usuários do sistema.

Segundo Souza e Zwicker (2001), após o início da operação, inicia-se a fase de estabilização,

que é crítica para o sucesso do projeto. Nessa fase, o sistema ERP já está em produção na

empresa e passa a fazer parte do dia-a-dia dos seus gestores. Nesse momento, a empresa já

depende do sistema ERP para as suas atividades, o que aumenta a preocupação para que

possíveis problemas, como dificuldades de operação, erros em programas, falhas de testes,

necessidades de customizações, dentre outros, não ocorram, ou sejam resolvidos rapidamente.

Embora a fase de utilização do sistema, que é a última fase da metodologia de Souza e

Zwicker (2001), torne-se parte integrante das operações da empresa, isso não significa que

todas as suas possibilidades de uso do ERP tenham sido reconhecidas e estejam corretamente

funcionando. Este conhecimento só se estabelece após certo tempo de uso continuado da

tecnologia. Portanto, a fase de utilização realimenta informações para a fase de implantação,

com novas necessidades e que podem ser resolvidas através da implantação de novos

módulos, novas parametrizações, ou novas customizações.

Já Musaji (2002) define um modelo de ciclo de vida com 6 fases, que são: planejamento e

solução, desenho externo, desenho interno, pré-implementação, implementação e pós-

implementação. Estas grandes fases e as relações entre elas estão esquematizadas na figura 6:

Figura 6 – Ciclo de vida de sistemas ERP segundo Musaji (2002).

Musaji (2002) entende que, na fase de planejamento e solução, os seguintes aspectos são

contemplados:

I - Entendimento do problema – Envolve a decisão em buscar uma solução para o problema

que a empresa está enfrentando, e a comparação entre os benefícios esperados pelo projeto

versus o custo da solução. Adicionalmente, são identificadas as necessidades e as deficiências

existentes na empresa, as oportunidades para aumentar a eficiência e economia da empresa, e

todos os requerimentos de mudanças associados à implantação do sistema.

II - Plano do projeto – Consiste na especificação da estratégia para a gestão da implementação

do ERP; definição dos objetivos e atividades para todas as fases e subfases do projeto;

inclusão da estimativa de recursos para a duração da implantação do ERP; revisão técnica e de

gerenciamento de como a segurança e os requerimentos de controles internos serão definidos;

a definição de métodos para desenhar, documentar, e realizar relatórios de problema e

controle de mudanças; especificação das ferramentas e técnicas de suporte; e especificação de

uma única metodologia a ser utilizada durante todo ciclo de vida do projeto.

III - Requerimentos legais - Esse aspecto é importante para assegurar que o sistema ERP

estará em conformidade com requerimentos legais e seguindo as políticas da empresa. A

aplicabilidade dos requerimentos legais para o sistema ERP pode ser determinada a partir de

várias fontes, como por exemplo, os estatutos locais e nacionais os quais podem restringir o

uso de certos tipos de informações.

IV - Documentação - Esse aspecto é crucial para que a empresa possa desenvolver as

mudanças necessárias sem a dependência das pessoas que implantaram o sistema. A

documentação é importante e necessária para ajudar os funcionários a lidar com atualizações

do sistema e integração com novos projetos. Adicionalmente, a documentação pode

economizar o tempo de consultores e ajudá-los na implementação das futuras modificações no

sistema. A documentação deve ser suficiente para, entre outros aspectos, definir os programas

e arquivos que serão processados, definir os relatórios que serão preparados, definir as

instruções que serão utilizadas pelos operadores do sistema e as instruções para os usuários de

como entrar e obter os dados no sistema.

V - Gestão do projeto – Esse aspecto inclui o monitoramento e diretrizes da implementação

do projeto. A gestão do projeto deve assegurar que as necessidades dos usuários serão

efetivamente contempladas no projeto.

Musaji (2002) segrega a fase de implementação em 4 etapas distintas que são o desenho

externo, desenho interno, pré-implementação e implementação. O desenho externo contempla

a especificação do problema, com o levantamento de informação em alto nível, com o

desenho do fluxo de informações e as devidas interfaces, com as entradas e saídas de

informações. A etapa de desenho interno inclui a criação do ambiente de desenvolvimento,

teste e produção, com os respectivos controles de gestão de mudanças implementados e a

reengenharia dos processos, no qual envolve a especificação detalhada do desenho dentro do

ERP.

A etapa de pré-implementação é onde ocorrem os testes, e que geralmente participam os

próprios funcionários que operam os processos de negócios da empresa. O plano para os

testes inclui a especificação detalhada, descrição e procedimentos para todos os testes e os

critérios para a avaliação da qualidade do sistema ERP.

A última etapa dessa fase é exatamente a implementação do ERP, onde tem-se um plano de

implementação que serve como ferramenta para direcionar o processo. O plano inclui o

orçamento, o controle das mudanças e manutenções no ERP durante o seu processamento e

outros controles e aprovações que devem existir para facilitar a evolução do ERP. Ainda

menciona a especificação de requerimentos que definem a segurança e o controle interno

necessário para o sistema.

Musaji (2002) também realiza uma análise de risco em todas as fases, que é um aspecto que

trata da revisão e atualização dos riscos envolvidos no processo de implantação. Isso é

necessário durante cada fase do ciclo de vida do ERP, para assegurar que não tenham surgido

novas vulnerabilidades e que a segurança apropriada tenha sido instalada, evitando, por

exemplo, acessos indevidos a dados e informações. Adicionalmente, definem-se os

requerimentos de segurança e de controle para mitigar os riscos identificados. A auditoria,

durante a revisão da certificação do ERP, baseia-se nas questões e recomendações

contempladas nessa análise.

Musaji (2002) finaliza a sua metodologia com a fase de pós-implementação, que engloba a

descrição das fases de estabilização e utilização, da metodologia de Souza e Zwicker (2001).

O mesmo autor menciona que a duração de cada fase depende do tamanho da empresa e da

estratégia de implementação escolhida.

Colangelo Filho (2001) define um modelo de ciclo de vida com 4 fases, que são:

planejamento, desenho da solução, construção e testes / implantação. Estas grandes fases

estão esquematizadas na figura 7.

Figura 7 – Ciclo de vida de sistemas ERP segundo Colangelo Filho (2001).

Colangelo Filho (2001) diz que na fase de planejamento é desenvolvido o plano detalhado

para a execução do projeto. Definem-se as estratégias para alcançar os objetivos do negócio,

os recursos humanos que serão necessários, e os procedimentos a serem executados durante a

execução do projeto, como por exemplo, a definição do escopo. Na fase de desenho da

solução, é desenvolvida uma visão de alto nível dos processos de negócio, capaz de atingir os

objetivos estabelecidos pela empresa usando o sistema ERP como tecnologia suportando os

processos. Ela terá como produto um modelo de processos que direcionará a configuração do

sistema ERP.

Na fase de construção, são realizadas as atividades relacionadas às configurações do ERP.

Segundo Colangelo Filho (2001), essa fase exige grande atenção e participação por parte da

gerência, pois, na maioria dos projetos de implantação, é a fase de maior duração e com um

alto consumo de recursos financeiros. A fase final do projeto é a fase de testes e implantação,

que abrange a execução dos testes finais e da substituição dos sistemas atuais da empresa pelo

ERP, finalizando com o novo sistema em produção. Ela exige o envolvimento não só da

equipe do projeto, mas também de todos os usuários do sistema, que serão treinados no novo

ambiente (Colangelo Filho, 2001).

A tabela 2 mostra uma visão comparativa dos modelos de implantação de ERP entre os

autores citados anteriormente e como as fases mencionadas por eles se relacionam:

Tabela 2 – Quadro comparativo demonstrando os modelos de implantação de ERP

Autor

Souza e Zwicker Decisão e Seleção Implementação Estabilização Utilização

Musaji Planejamento e Solução

Desenho Externo

Desenho Interno

Pré-Implantação

Implantação

Pós-Implantação

Colangelo Filho Planejamento

Desenho da Solução

Construção

Testes e Implantação

Fases de Implantação

2.1.3. Duração e estratégias de implantação

Colangelo Filho (2001) diz que a duração de um projeto de implantação pode variar em

função de diversos fatores envolvidos na empresa, como a quantidade de mudanças de

processos envolvidos no projeto e se elas são de pequena ou de grande profundidade. Outro

aspecto que o mesmo autor menciona que pode ser determinante para a duração do projeto é a

estratégia de implantação. Seguem abaixo, as várias alternativas de implantação que podem

ser adotadas pelas empresas:

• Big bang – implantação de todos os módulos do escopo de um projeto ERP, de uma só

vez.

• Em fase (faseada) – substituição gradativa dos sistemas existentes na empresa por

componentes do novo sistema ERP, iniciando pelos processos mais críticos, nos quais

devem ser esperados maiores retornos pela empresa, com base no investimento aplicado

para a implantação, ou que representem menores riscos para o projeto, que normalmente

não resultam em retornos para a empresa.

• Roll-out – substituição realizada com base em uma configuração desenvolvida em outra

instalação do ERP.

Projetos com estratégias de roll-out tendem a ter a duração menor que aqueles com estratégia

de big-bang. Estes, por sua vez, costumam ser mais rápidos daqueles que têm a estratégia de

gradual.

Qualquer que seja a estratégia de implantação, a empresa estará sujeita aos riscos inerentes a

esse processo. Mas na alternativa de implantação do ERP com a estratégia de big-bang, a

empresa está sujeita ao risco maior, em função da possibilidade de todo o sistema não entrar

no ar, num mesmo momento (Colangelo Filho, 2001).

2.1.4. Riscos de implantação de ERP

Os investimentos na implantação, atualização e modernização de Sistemas de Informação são

realidades do negócio de qualquer empresa. Estes investimentos são, normalmente, enormes,

quer ao nível de compras de hardware, software, networking e serviços, quer ao nível do

esforço e dedicação dos recursos humanos da empresa (Musaji, 2002).

Porém, após a implantação do ERP e, consequentemente, de novos processos de negócios, a

empresa pode perder em flexibilidade e não ter recursos suficientes para arcar com os custos

das modificações necessárias para manter o sistema alinhado às necessidades do negócio.

Como conseqüência, poderá desistir da implementação das mudanças em sua forma de

atuação, deixando de inovar, ou não atualizar o sistema, que deixa de refletir a prática

empresarial (Musaji, 2002).

Num ambiente de negócio tão dinâmico como o atual, cada empresa deve ter como objetivo

fundamental extrair o máximo valor dos sistemas de informação em que investiu. Para isso, é

imprescindível saber se um sistema é fidedigno e seguro, se a informação que disponibiliza

está de acordo com a que foi recolhida e tratada, e se os dados são de qualidade, isto é, se toda

informação recolhida é introduzida no sistema devidamente e o seu processo de tratamento

está de acordo com as necessidades do negócio. Também é preciso saber se a infra-estrutura

que suporta o sistema de gestão é segura e se atende o processamento do ERP sem impactar a

sua performance. Em particular, num ambiente de ERP, pode-se realizar uma auditoria e

avaliação dos controles, durante ou após a implantação do sistema, para verificar se a solução

implementada tem tais características. Uma avaliação deste gênero não se limita a analisar a

situação vigente, mas também se propõe a executar as adaptações necessárias no sistema para

que este possa melhorar a sua capacidade de resposta às exigências do negócio e às próprias

regulamentações (Musaji, 2002).

Muitas implantações de ERP não alcançam os resultados esperados pelas empresas

principalmente com relação aos custos envolvidos, que ultrapassam as suas estimativas; os

prazos, que ultrapassam a previsão inicial; e os controles, que não seguem as melhores

práticas do mercado, deixando vulnerável a segurança, disponibilidade e integridade das

informações. Dentre as principais justificativas para ocorrência dos problemas, destacam-se a

falta de comprometimento da alta direção; a baixa cobertura funcional proporcionada pelo

sistema; o desconhecimento das características dos ERP’s por seus implementadores; a falta

de cultura das empresas em controle e segurança da informação; e a questão da

funcionalidade versus segurança, que é o foco dado especificamente na funcionalidade do

ERP, não considerando os aspectos mínimos de controle e segurança. (Davenport, 2002; Ernst

& Young, 2005).

Também existem riscos de controle interno inerentes numa implantação de ERP, como por

exemplo, risco do sistema não entrar no ar e por conseqüência, a interrupção do negócio e

risco de erro na configuração de parâmetros de segurança de sistema. Esses riscos podem se

potencializar a medida que os usuários não possuem um adequado treinamento no sistema de

gestão, e também o limitado envolvimento no desenho dos controles, nos testes e na

implantação do ERP. Esses fatos, aliado à grande quantidade de customização do ERP (em

algumas implementações), falta de integridade de dados durante a migração de dados, e a

incompatibilidade entre o ERP e os demais sistemas legados da companhia, fazem com que

aumente a possibilidade de erros ou fraudes potenciais. Para alguns autores, os ERPs são

implantados sem os adequados controles internos, deixando-se até de executar atividades com

esses propósitos, que são críticas numa implantação, porque os próprios clientes e consultores

estão focados no go live (momento de entrada em produção do sistema) do ERP (Hunton,

Wright e Wright, 2004; Wright e Wright, 2002; Straub, 1998).

Geralmente, projetos de auditoria e de revisão de controles e de segurança num ambiente de

sistema integrado de gestão contemplam as seguintes questões, entre outras (Ernst & Young,

2005; Musaji, 2002):

♦ Os profissionais de segurança da informação da empresa foram envolvidos nas fases de

desenho do modelo de segurança do ERP e de segregação de função?

♦ O processo de gestão de mudanças de programas está adequadamente controlado e

monitorado?

♦ Existe a adequada segregação entre os ambientes de produção, homologação e teste do

ERP, e entre as funções dos profissionais da área de TI?

♦ A restrição de acessos e a adequada configuração de banco de dados, tabelas, software de

segurança, e sistema operacional foram contempladas?

♦ Existe um plano de continuidade para o ambiente de tecnologia da informação e para

negócios?

♦ A infra-estrutura de tecnologia está suportando adequadamente o sistema de gestão?

♦ O ERP é utilizado de forma ótima e todas as suas funcionalidades estão sendo exploradas?

♦ Foram desenhados controles que permitam identificar e monitorar atividades não

autorizadas e com falta de segregação de função nos processos (ex: um mesmo usuário

não poder comprar e aprovar pagamentos)?

♦ Existem compatibilidade e segurança nas interfaces entre o ERP e os sistemas legados da

empresa?

Para que uma empresa sobreviva, tem que dispor de sistemas de informação altamente

eficientes e capazes de atender aos requisitos acima, sem deixar de considerar os riscos

envolvidos. Segundo Specchio (1999), muitas empresas apresentam certas dificuldades para

mensurar seu nível de exposição ao risco, em virtude da diversidade de fatores que afetam tal

avaliação. O mesmo autor (Gitman, 1997 apud Specchio, 1999) explica que:

“O risco, em seu sentido fundamental, pode ser definido como a

possibilidade de prejuízo financeiro. Também enfatiza que os ativos

que possuem grandes possibilidades de prejuízos são vistos como

mais arriscados que aqueles com menos possibilidades de prejuízos.”

(p.9)

Também Solomon e Pringle (1981) apud Specchio (1999) explicam que o risco é o grau de

incerteza a respeito de um evento. Já Securato (1996) apud Specchio (1999) define o risco

como a probabilidade de ocorrer o fracasso.

O risco do negócio pode ser definido como a ameaça de que um evento ou ação possa vir a

afetar, de forma adversa, a habilidade da organização de maximizar o valor para seus

acionistas, e atingir os objetivos traçados para o negócio. Os riscos do negócio existem em

função tanto da possibilidade do não acontecimento de oportunidades, quanto da possibilidade

das ameaças se materializarem (Specchio, 1999). O cuidado com os riscos torna-se, então,

uma questão primordial para as organizações, e passa a ser também um diferencial de

competitividade (Mateo, 2005).

Specchio (1999) e Peltier (2001) também mencionam outros tipos de riscos, a saber:

Risco Sistêmico – Possibilidade de perdas devido a alterações no ambiente operacional, como

a modificação repentina de base de cálculo de tributos corporativos.

Risco de Tecnologia – É a possibilidade de descontinuidade das atividades apoiadas por

serviços tecnológicos. As empresas dependem de sistemas e meios eletrônicos de transmissão

de informações, bem como processa todas as atividades ou produtos em computadores. Dessa

forma pode ocorrer sobrecarga de sistema de processamento de dados, falta de capacidade dos

sistemas de prover informações confiáveis e suficientes, falhas de hardware, dentre outros.

Risco de Fraudes – Possibilidade de perdas em decorrência de comportamentos fraudulentos,

como, a adulteração de controles, descumprimento intencional de normas da empresa, desvio

de valores, divulgação de informações erradas, etc.

Risco Operacional - representa a possibilidade de ocorrência de perdas devido a pessoas,

processos, problemas contratuais ou documentais, tecnológico, falha de infra-estrutura e até

desastres, influências externas e relações com os clientes. Inclui também o risco regulatório,

ou seja, de a empresa incorrer em alguma infração legal.

Podem-se destacar os riscos operacionais, como sendo um dos mais importantes que as

empresas estão expostas, após a implantação de sistemas ERP. Por exemplo, se os perfis (um

conjunto de autorizações para um ou mais objetos de autorização – SAP, 2003) de acesso dos

usuários que utilizam o sistema não estiverem devidamente definidos e implantados no ERP,

os seguintes problemas poderiam ser gerados nas áreas de Compras, Contas a Pagar, e

Pagamentos (Hunton, Wright e Wright, 2004):

♦ Um único usuário poderia criar uma requisição de compra, converter essa requisição em

ordem de compra e, em seguida, aprovar a sua própria compra, sem a devida autorização

requerida.

♦ Um usuário poderia alterar indevidamente a conta bancária de um fornecedor, e processar

pagamentos de obrigações legítimas. Dessa forma, o pagamento seria depositado na conta

bancária que esse usuário determinasse.

A necessidade das organizações em implementar uma estrutura de gestão de risco para

minimizar estas questões com controles eficazes, está cada vez mais acentuada devido a um

cenário mundial de competitividade crescente.

A gestão de riscos é considerada, pelas instituições financeiras, por exemplo, como um

instrumento essencial para otimizar o uso do capital e selecionar as melhores oportunidades

de negócios, de forma a obter, para seus acionistas, a melhor relação risco x retorno (Banco

Itaú, 2005).

Dentro deste contexto, o ponto de partida das organizações para a estruturação de um sistema

de gerenciamento de riscos faz-se, inicialmente, através das respostas dos executivos da

empresa a algumas questões fundamentais, dentre outras, exemplificadas a seguir (Banco Itaú,

2005; Ernst & Young, 2005):

♦ A companhia está identificando os riscos adequadamente e conhece aqueles que são os de

maiores impactos?

♦ A companhia tem os processos adequados para gerenciar os riscos?

♦ O processo de gerenciamento de riscos da companhia está sendo coordenado e

compreendido por toda a empresa?

♦ A companhia está tomando as decisões corretas em relação aos riscos de negócio?

♦ A cultura organizacional da companhia estimula ou desencoraja as gerências em assumir o

correto nível de risco?

As respostas a essas e outras questões trarão subsídios para criar controles eficazes, de forma

estruturada, e para gerenciar este complexo e inter-relacionado cenário de riscos da empresa.

2.1.5. Críticas aos sistemas ERP’s

Davenport (2002) diz que, tanto do ponto de vista técnico, quanto do de negócios, os ERPs

também têm seus problemas. Há, portanto, várias dificuldades que podem surgir na empresa

ao longo do caminho até a implantação do ERP:

Inflexibilidade – Geralmente, é bastante difícil adaptar o ERP aos negócios da empresa, sem a

necessidade de realizar customizações no sistema de gestão, tanto durante a implantação,

quanto em instalações futuras.

Prolongados períodos de implementação – A implementação de um ERP em uma empresa de

grande porte pode levar até cinco anos de duração. Num ambiente de negócios com rápidas

mudanças, projetos com esse tempo de duração podem ser inviáveis. Porém, é bom deixar

claro que o que leva tempo não é a instalação do ERP, mas sim, as indispensáveis mudanças

nos negócios que resultam da definição e adoção de novos processos de negócios,

configuração dos módulos do sistema, estabelecimento das definições comuns de

informações, e determinação das melhores estruturas de agregação de informação no universo

das unidades de negócios.

Organizações excessivamente hierarquizadas – Os ERP’s podem impor uma perspectiva

hierarquizada às organizações, com controles mais rígidos. Com esse argumento, a

monitoração e o controle centralizados de informação constituem uma perspectiva

ultrapassada para as organizações que vivem em um cenário de delegação de poderes. Os

ERP’s geralmente supõem que a informação será monitorada de forma centralizada e que as

empresas terão uma estrutura hierárquica bem definida.

Portanto, existem questões que devem ser analisadas pela alta administração, em conjunto

com a área de TI, quando for decidido pela implantação do ERP na organização, focando, por

exemplo, nas questões mencionadas por Davenport (2002).

2.2. ASPECTOS LEGAIS (AMBIENTE EXTERNO)

Atualmente existem várias leis que enfocam aspectos relacionados a controle interno e

segurança da informação, em função da necessidade de assegurar a implantação de controles

eficientes e de qualidade nas empresas. Conseqüentemente, muitas das empresas que são

regidas por essas leis possuem sistemas ERP para suportar seus processos em função da

obrigatoriedade de estar em conformidade com a legislação. A seguir, serão abordadas

algumas das leis que motivam a adoção de controles, tais como:

2.2.1. Lei Sarbanes-Oxley

A recente onda de fraudes contábeis tem chamado a atenção de autoridades, clientes e do

mercado para as práticas adotadas pelas empresas de auditoria quando da avaliação dos

balanços de seus clientes. Em função disso, nos últimos dois anos, elaborou-se uma série de

leis, normas e regulamentos que falam sobre segurança. A Lei Sarbanes-Oxley de 2002, que

tem tido grande influência no aumento da segurança e dos controles nas empresas, foi criada

para aumentar a confiança no mercado, após escândalos financeiros na bolsa de valores

americana, capitaneado pelos casos das empresas Enron e a Worldcom, em 2000, que

abalaram a economia dos Estados Unidos, afetando por conseqüência a credibilidade de

bolsas de valores e corporações em todo o mundo. Segundo essa lei, as empresas com ações

na bolsa dos EUA são obrigadas, dentre outras coisas, a proteger os sistemas e a infra-

estrutura de tecnologia que possam influenciar seus demonstrativos financeiros (Ernst &

Young, 2003).

A lei Sarbanes-Oxley é a mais ampla legislação sobre valores mobiliários promulgada nos

Estados Unidos nos últimos 70 anos. Essa legislação trata de inúmeras questões de

importância vital para companhias abertas, independentemente de serem ou não organizadas

nos Estados Unidos (Ernst & Young, 2003).

Dessa forma, seus controles internos, bem como a segurança dos sistemas de informação que

utilizam, devem ser capazes de garantir a transparência e a credibilidade das informações

financeiras que provêm ao mercado (Nery, 2004)

A adequação ao conteúdo da Sarbanes-Oxley deve-se dar em toda a cadeia de comunicação

da empresa, principalmente em relação aos recursos que coletam, processam, armazenam, e

disponibilizam informações financeiras. Sistemas corporativos (ex., ERP, CRM, SCM),

juntamente com as demais aplicações de comunicação, banco de dados e armazenamento de

informações, precisam estar em sintonia com as regras definidas na legislação (Nery, 2004).

Basicamente, a lei aumenta as responsabilidades de presidências e diretorias e aperta as

exigências dirigidas a auditorias e advogados responsáveis pela fiscalização dos relatórios

contábeis das empresas. A medida introduz regras severas de governança corporativa para

assegurar maior transparência aos resultados das organizações, institui punições contra

fraudes empresariais e garante maior independência aos órgãos de auditoria. A Lei Sarbanes-

Oxley requer que as organizações melhorem a responsabilização usando diretivas e

procedimentos financeiros documentados, além de relatórios financeiros mais rápidos. Uma

das regras mencionadas pela Lei, é a exigência que a SEC (Securities and Exchange

Commission) emita regras solicitando que os relatórios anuais registrados incluam um

relatório da administração sobre os controles internos. O relatório declara a responsabilidade

da administração por estabelecer e manter uma estrutura e procedimentos de controles

internos adequados para elaboração de demonstrações financeiras, e deve conter uma

avaliação no final do exercício fiscal mais recente, quanto à eficácia dos procedimentos e da

estrutura de controles internos da Companhia para este fim. Os auditores independentes

precisam, então, atestar essa avaliação e reportar sobre ela, de acordo com regras a serem

promulgadas pelo Conselho de Supervisão das Firmas de Auditoria Independente (Ernst &

Young, 2003).

Todas as companhias públicas registradas nos Estados Unidos que emitiram patrimônio ou

títulos de dívida e que estão organizadas ou domiciliadas nos Estados Unidos ou no exterior,

assim como as empresas estrangeiras registradas nos Estados Unidos, serão sujeitas às

mesmas regras que as companhias locais. Dentre elas, destaca-se a que prevê que as empresas

que possuem um ambiente ERP devem realizar uma avaliação dos seus controles e da

segurança do sistema (Ernst & Young, 2003).

2.2.2. Basiléia

O acordo de Basiléia, em vigor desde 1988, introduziu requisitos mínimos de capital para a

generalidade dos bancos, de acordo com o risco de crédito das suas operações, isto é, a

previsão da maior ou menor probabilidade de os clientes não cumprirem as obrigações de

pagamento resultantes do empréstimo, entre outros. O Comitê de Basiléia, criado em 1974, é

um comitê de autoridades de Supervisão Bancária que foi estabelecido pelos Presidentes dos

Bancos Centrais do Grupo dos 10 (G10 - grupo que compreende atualmente onze paises:

Bélgica, Canadá, França, Alemanha, Itália, Japão, Holanda, Suécia, Suíça, Reino Unido e

Estados Unidos) e tem como objetivo principal revisar o acordo de Basiléia, desenvolvendo

uma estrutura que fortaleça ainda mais a solidez e a estabilidade do sistema bancário

internacional, e ao mesmo tempo manter consistência suficiente para que o regulamento de

adequação do capital não seja uma fonte significativa de desigualdade competitiva entre os

bancos internacionalmente ativos. O Comitê acredita que a estrutura revisada promoverá a

adoção de práticas de administração de risco mais sólidas pelo setor bancário (Bank for

International Settlements, 2004).

O Basiléia 2 é um acordo criado a partir da revisão do acordo de 1988, e que regulamenta as

necessidades adicionais de capital próprio de instituições financeiras para suportar futuras

perdas. As normas do acordo, que visam mitigar riscos de fraudes e falhas nos sistemas de

informação das instituições financeiras, deverão ser publicadas em breve pelo Comitê da

Basiléia. Isso significa que os bancos de todo o mundo deverão estar alinhados com as novas

regras de gerenciamento de riscos de crédito, operacional e de mercado, até 2006, prazo

fixado pela autoridade do setor. No Brasil, isso ainda depende do Banco Central aderir ao

Basiléia 2, já que ainda não foi decidido se países não pertencentes ao G10 serão obrigados ou

não a seguir o acordo. Do ponto de vista da governança corporativa e de TI, o acordo Basiléia

2 representa a exigência da criação de políticas de gerenciamento de riscos para garantir total

segurança e confidencialidade dos dados de clientes e da própria instituição. Isso exigirá que

as empresas do setor alterem processos e sistemas, e que garantam que seus ambientes de

controles estejam adequados às regras do novo acordo (Bank for International Settlements,

2004).

2.2.3. Circular SUSEP número 249

A Superintendência de Seguros Privados - SUSEP, órgão regulador de seguros do Brasil,

emitiu uma circular que dispõe sobre a implementação de controles internos nas atividades e

nos sistemas de informação das sociedades seguradoras, das sociedades de capitalização e das

entidades abertas de previdência complementar.

A legislação exige que seja feito testes periódicos de segurança para os sistemas de

informação mantidos em meio eletrônico ou não e os controles internos devem ser

periodicamente revisados e atualizados, de forma que sejam a eles incorporadas medidas

relacionadas a novos riscos ou riscos não abordados no período (Circular SUSEP Número

249, 2004).

2.3. REVISÃO DE CONTROLES

2.3.1. Conceitos básicos de controles

Apesar dos altos investimentos envolvidos na implantação do ERP, os benefícios podem não

ser usufruídos e aproveitados pela empresa. Boa parte das empresas que possuem soluções

voltadas para o ERP, ainda hoje tem inúmeros problemas comuns relacionados à segurança e

controle em seus ambientes operacionais inerentes aos riscos do processo de implantação. O

ERP pode, por exemplo, ter sido implantado com configurações inadequadas: perfis de acesso

podem não estar perfeitamente implantados e definidos, podendo existir uma inadequada

estrutura de segregação de funções; alterações de programas e tabelas de dados podem estar

sendo feitas diretamente em ambiente de produção; controles podem não estar em linha com

as normas, políticas e procedimentos da companhia; e outros aspectos de segurança podem

não ter sido contemplados durante a instalação (Wright e Wright, 2002).

Bons controles internos deixaram de ser apenas uma questão de melhores práticas de

governança e passaram a ser também uma questão de cumprimento de lei. No entanto, muitas

empresas não se preocupam com esses aspectos durante as fases de implantação do ERP,

concentrando-se apenas nos benefícios que o sistema pode lhes trazer. Contudo, somente com

a garantia de um ambiente seguro, o ERP pode alcançar a integridade operacional e financeira

das transações envolvendo dados e processos de produção (Musaji, 2002; Davenport, 1998,

2002).

A estratégia de informalidade nos controles é adotada por algumas incorporações no mercado,

que depositam confiança no desconhecimento que os gestores e usuários dos sistemas

possuem sobre as suas permissões de acesso, sinalizando desta forma, a falta de investimento

nos aspectos voltados para o controle e segurança da informação (Ernst & Young, 2005).

Muitas vezes, isso ocorre devido ao uso pouco criterioso dos templates que os provedores dos

ERP´s oferecem para as empresas agilizarem suas implantações. Esses templates são apenas

modelos para permitir uma instalação mais rápida, com foco na funcionalidade operacional do

sistema e que procuram se adequar aos diversos tipos de segmentos e processos de negócios

existentes no mercado. Porém, esse tipo de recurso esquece os aspectos de controle e

segurança que são necessários para o sistema de gestão (Musaji, 2002).

Geralmente, a implantação do sistema de gestão sem a consideração e a revisão dos processos

e dos controles resulta em ganhos de pouco alcance e em controles mal implementados. Os

diversos aspectos associados à revisão de controle e segurança e que devem ser

cuidadosamente considerados durante ou após a implantação do ERP na empresa podem ser

observados na pirâmide apresentada na figura 8 (Wright e Wright, 2002; Musaji, 2002;

Straub, 1998).

Figura 8: Níveis de segurança num ambiente ERP (Musaji, 2002, p.7):

Musaji (2002) menciona que, na base da pirâmide, está a segurança física do hardware do

sistema (ex: equipamentos, bases de dados, fitas e discos). Em seguida, tem-se a segurança no

sistema operacional (ex: Unix, AS400). No terceiro nível, tem-se o software de segurança que

controla o ERP. Esse componente pode ter sido incluído no ambiente de mainframe, pela

instalação de um produto de segurança (ex: AC2, RACF, Top Secret), ou pelos mecanismos

de segurança incluídos no próprio sistema operacional. Esses três níveis contribuem para a

segurança do ambiente computacional. Nos dois itens do topo da pirâmide nós tem-se o

Banco de Dados e o próprio ERP, que são também alvo de avaliação.

Os fundamentos básicos da segurança da informação são: integridade, confidencialidade e

disponibilidade. Esses fundamentos são as bases de controles e medidas da segurança da

informação, que podem ser utilizados para reduzir entre outros, os riscos de vazamentos e

divulgação não autorizada da informação, fraudes financeiras, apropriação indevida de

informações e reputação da imagem da instituição (D´Andréa et al,1999).

D´Andréa et al (1999) definem os conceitos anteriormente citados da seguinte forma:

“Integridade - Princípio que trata sobre a proteção da informação ou

dos bens de informação contra a criação ou a modificação não

autorizada. Perda de integridade pode estar relacionada com erro

humano, ações intencionais ou contingenciais. A perda de integridade

de uma informação pode torná-la perigosa. A conseqüência de se

utilizar dados incorretos pode ser desastrosa.” (p.72)

“Confidencialidade - Princípio que trata sobre a disponibilidade de

informações à apenas pessoas autorizadas. Controles devem ser

implementados para garantir que o acesso a informação seja sempre

restrito àquelas pessoas que necessitam efetivamente tê-lo. Muitos

crimes eletrônicos acontecem através da quebra da confidencialidade

e do roubo da informação.” (p.72)

“Disponibilidade - Princípio que trata sobre prevenir que a

informação ou o recurso de informação esteja indisponível, quando

requerida pelo cliente ou gestor, por órgão regulador ou mesmo pela

instituição.” (p.73)

Os mesmos autores também definem controle como qualquer ação, procedimento, técnica ou

qualquer outra medida que reduza a vulnerabilidade de uma ameaça ou risco a um sistema.

Embora controle seja um dos conceitos mais usados na prática gerencial, nem sempre o que se

faz na prática pode ser chamado de controle. A essência do controle consiste na comparação

entre os resultados previstos e os realizados. O objetivo desta comparação é certificar-se de

que o desempenho real está dentro do que se foi previsto, e em caso negativo, identificar os

pontos que requerem correção. Quando não há comparação entre o que foi planejado e o que

realmente está sendo feito, não há um processo efetivo de controle. (Arantes, 1998).

Ainda que a função de controle avalie todo o conjunto de resultados, o administrador deve

focalizar a sua atenção naqueles que estão fora dos padrões de desempenho. Portanto, sem um

padrão de comparação, não é possível exercer um processo eficaz de controle. Vale lembrar

que, embora o controle faça a avaliação dos resultados, com base no seu desempenho, ele

também pode ter um caráter pró-ativo. Um sistema de controle adequado deve ser capaz de

identificar o impacto dos desvios de desempenho nos resultados futuros, sinalizando as ações

corretivas significativas que devem ser feitas. Se o administrador esperar pelo resultado final

para então avaliar se ele está de acordo com o previsto, pode ser tarde demais. Por isso, os

bons sistemas de controle prevêem pontos de avaliação progressiva de resultados

intermediários, visando garantir que estejam caminhando para os resultados finais esperados

(Arantes,1998).

O controle adequado é aquele que garante, dentro de limites razoáveis, que os objetivos e

metas sejam atingidos de maneira eficaz, eficiente, com a necessária economia e que mitigue

o risco associado. O sistema de controle deve detectar não somente irregularidades ou atos

intencionais, como também erros ou atos não intencionais. Esses erros podem ser, como

exemplo, de interpretação, de omissão e de má aplicação de normas ou procedimentos

(Gouvêa, 2003).

2.3.2. Realização da revisão de controles e segurança

As empresas utilizam várias ferramentas e modelos de referências para realizar as atividades

de revisão de controles e de segurança num ambiente ERP, baseados em riscos nesse tipo de

ambiente. Dentre as ferramentas e modelos de referências que são recomendadas por

instituições reguladoras e seguem um padrão de referência para governança de TI, pode-se

citar o CobiT (Control Objectives to Information and related Technologies). O CobiT é

considerado o padrão de boas práticas de controles da informação e de tecnologia para

gerente, usuários e auditores para ajudá-los nas questões de minimização dos riscos em

ambiente computadorizado (Wright e Wright, 2002; Sousa, 2002)

Ele é baseado nos objetivos de controle da ISACF (Information Systems Audit and Control

Foundation), em uma estrutura de controles de tecnologia, e em atividades relativas à

reengenharia de negócios. Define, assim, formas de aplicação corporativa da tecnologia da

informação (TI), em conformidade com as normas e regulamentos de direito e de fato (IT

Governance Institute, 2005).

No CobiT, o termo objetivo de controle, refere-se a uma formalização sobre o resultado

desejado ou propósito a ser alcançado pela implementação de procedimentos de controle em

atividades específicas à Tecnologia da Informação. O modelo define tais objetivos para o

ambiente geral de TI, sendo portanto, aplicável ao próprio ERP. Mas não se restringe apenas à

TI, se estendendo também as atividades relacionadas à áreas de processos de negócios. (IT

Governance Institute, 2005).

O CobiT têm como missão, dentre outros aspectos, desenvolver e promover um conjunto

atualizado de objetivos de controle, com autoridade e foco internacional, que sejam

geralmente aceitos e aplicáveis à Tecnologia da Informação, para o uso rotineiro de gerentes

de negócio, usuários e auditores. O principal objetivo do CobiT é permitir o desenvolvimento

de políticas claras e boas práticas para os controles de TI nas organizações. Os gerentes de

negócios são auxiliados por esse modelo, no balanceamento de riscos e investimentos em

controles de um ambiente de tecnologia. Os usuários obtêm garantias sobre a segurança e os

controles sobre os serviços de TI prestados internamente ou por terceiros. Os auditores

baseiam-se no modelo para consubstanciar as suas opiniões e/ou assessorar a administração

sobre controles internos (IT Governance Institute, 2005; Lainhart IV, 2000).

Assim, esse modelo de referência tem sido utilizado por oferecer uma estrutura consolidada

para avaliar riscos, apresentar soluções orientadas ao negócio da companhia, enfatizar a

administração corporativa sobre as necessidades específicas de controle de recursos de

tecnologia, dentre outros aspectos (Sousa, 2002; Lainhart IV, 2000)

Outra forma que pode ser utilizada como fonte de consulta e direcionamento de trabalho para

realizar as atividades de revisão de controles e de segurança num ambiente ERP é o site

Auditnet.org, onde se pode encontrar, por tipo de indústria e segmento de mercado, por

tecnologia, e por processo, diversos programas de trabalho de auditoria focado em revisão de

controle e segurança.

As diversas empresas de consultoria que existem no mercado também possuem as suas

próprias bases de conhecimento, onde são armazenadas as informações que foram utilizadas

para esse tipo de trabalho, de forma positiva, em outras empresas. Essas informações são

disponibilizadas entre as suas filiais de todo o mundo, como o intuito de compartilhar o

conhecimento e os procedimentos realizados com sucesso nas diversas empresas.

Musaji (2002), Musaji (2001), Wright e Wright, (2002) e Straub (1998) também mencionam

as várias atividades de revisão de controles e de segurança que as empresas podem realizar

para minimizar os riscos inerentes, durante ou após a implantação de seu ERP, dentre as

quais, destacam-se:

Atividade 1: Revisão dos controles gerais do ambiente de tecnologia da informação onde

o ERP é processado

Os processos de tecnologia da informação e seus respectivos controles se aplicam a um nível

superior as das aplicações computadorizadas. Os controles gerais de TI estão desenhados para

assegurar que todas as modificações das aplicações foram adequadamente autorizadas,

testadas e aprovadas antes de entrarem em produção, e assegurar que somente pessoas e

aplicações autorizadas têm acesso aos dados e somente para executar funções definidas

especificamente. Seguem abaixo, alguns exemplos:

♦ Análise da gestão de mudanças de programas;

♦ Análise da segregação entre os ambientes de produção, homologação e desenvolvimento

do ERP, e entre as funções dos profissionais da área de TI;

♦ Avaliação dos aspectos de segurança do banco de dados, tabelas, software de segurança, e

sistema operacional;

♦ Avaliação da adequação dos parâmetros e das configurações do módulo de segurança do

ERP;

♦ Revisão, redesenho e implantação de um novo modelo de processo de autorização de

acesso;

♦ Avaliação do plano de continuidade, em caso de contingência no ambiente ERP.

Atividade 2: Revisão dos controles da aplicação

Os controles de aplicação são procedimentos desenvolvidos para garantir a integridade dos

registros na aplicação. Seguem abaixo, alguns exemplos:

♦ Validação das críticas de entrada de dados no ERP;

♦ Validação de cálculos realizados pelo ERP;

♦ Revisão da segurança das interfaces entre os sistemas legados e o ERP;

♦ Revisão dos perfis de acesso compostos, transitórios e daqueles com transações

decorrentes de desenvolvimento (usuários especiais gerados na instalação);

♦ Revisão dos perfis de acesso simples e críticos do ambiente de produção, verificando

conflitos entre eles;

♦ Análise da trilha de auditoria (log) das transações realizadas pelos usuários;

♦ Análise dos controles referentes às transações críticas dos processos no ERP, ou seja,

aquelas que impactam os processos de negócio da empresa (ex: aprovação de compras,

aprovação de faturamentos).

Os controles gerais do ambiente de TI e de aplicação podem ter procedimentos manuais ou

procedimentos automatizados realizados por sistemas. Esses controles são avaliados para uma

abordagem de auditoria dos controles de alta confiança e que suportam diretamente objetivos

de controle de integridade, exatidão, validade e acesso restrito.

Todas essas atividades podem ser executadas por profissionais da própria empresa ou por

consultorias externas especializadas. No entanto, a maioria das empresas não possui

profissionais com conhecimentos suficientes para realizar os serviços, ou ferramentas

automatizadas para realizar as análises, revisões e avaliações de forma eficiente. Dessa forma,

geralmente, essas atividades são realizadas por empresas de auditoria e consultoria, que

possuem experiência, com as melhores práticas do mercado nacional e internacional,

conhecimentos específicos, ferramentas, e o suporte de filiais no exterior e parceiros.

Percebe-se então que os aspectos mais relevantes identificados na revisão da metodologia do

presente trabalho e que serão utilizados e comparados com a pesquisa, são os motivos que

levaram as empresas a implantar o ERP e os benefícios que os sistemas de gestão irão lhe

proporcionar, do ponto de vista dos entrevistados, tanto da área de TI, quanto para os

entrevistados da área de negócios. Os aspectos de controle e segurança abordados na revisão

de metodologia, também serão utilizados e comparados com a pesquisa, num processo de

implantação do sistema ERP.

3. METODOLOGIA DE PESQUISA

O conteúdo desse capítulo, metodologia de pesquisa, foi baseado nas idéias desenvolvidas por

Yin (2001).

Considerado apenas como mais uma estratégia de pesquisa em ciências sociais, o estudo de

caso, como metodologia de pesquisa, tem sido aplicado cada vez mais em dissertações e teses.

Ele é apenas umas das muitas maneiras de se fazer pesquisa em ciências sociais. Sua

utilização, numa investigação, permite que se preservem as características holísticas e

significativas dos eventos da vida real, como processos organizacionais e administrativos,

mudanças ocorridas em alguma região e a maturação de alguns setores.

Existem também outras maneiras, como experimentos, levantamentos, pesquisas históricas e

análise de informações em arquivos. Cada uma dessas estratégias apresenta vantagens e

desvantagens, dependendo do tipo de questão da pesquisa, do controle que o pesquisador

possui sobre os eventos comportamentais, e do foco em fenômenos históricos. Em geral, os

estudos de caso representam a estratégia preferida quando se colocam questões do tipo

“como” e “por que”, quando o pesquisador tem pouco controle sobre os eventos estudados, e

quando o foco se encontra em fenômenos contemporâneos inseridos no contexto da vida real.

Tradicionalmente, a estratégia de estudo de caso é vista como sendo apropriada apenas à fase

exploratória, não podendo ser utilizada para descrever ou avaliar hipóteses. Segundo Yin

(2001), essa visão é equivocada, já que se pode utilizar a estratégia com três propósitos, a

saber: descritivo, exploratório ou explanatório. A aplicação do estudo de caso com cada

propósito tem características distintas.

No propósito descritivo, por exemplo, o estudo é voltado para questões amplas, abordando

uma variedade de tópicos que podem ser considerados uma descrição “completa” do que está

sendo estudado. Por outro lado, qualquer novo estudo empírico caracteriza-se como sendo um

estudo “exploratório”. Complementando, no estudo de caso explanatório, é o pesquisador que

tem pouco controle sobre os eventos e quando o foco se encontra em fenômenos

contemporâneos inseridos em algum contexto da vida real.

A questão da pesquisa proposta como extensão de controle que o pesquisador tem sobre

eventos comportamentais efetivos e o foco em acontecimentos contemporâneos ou históricos

são fatores para guiar a seleção de uma estratégia de pesquisa. Podemos apresentar as três

condições para uma estratégia de estudo de casos: forma da questão da pesquisa (como e por

que), a não existência de controles sobre eventos comportamentais e o foco nos

acontecimentos contemporâneos.

Definir as questões da pesquisa é o passo mais importante a ser considerado em um estudo.

Deve-se reservar tempo suficiente para a realização dessa tarefa e obter precisão na

formulação das questões que exige uma boa preparação. Ainda assim, muitos pesquisadores

põem em dúvida a credibilidade da estratégia, ou por falta de rigor da pesquisa, aceitando

evidências e visões equivocadas, ou por pouca base para generalizar, partindo do conceito de

estudo de caso único. Mas o que poucos sabem é que o estudo de caso pode utilizar as

mesmas técnicas em estudos múltiplos.

O estudo de caso pode incluir casos únicos ou múltiplos como suas variantes em pesquisa. Os

casos únicos são aqueles que ocorreram uma única vez e casos múltiplos são aqueles que

ocorreram diversas vezes sobre um determinado assunto.

Um projeto de pesquisa é um plano de ação para se sair do conjunto inicial de questões a

serem respondidas e chegar a um conjunto de conclusões ou respostas sobre essas questões,

podendo passar por etapas como a coleta e análise de dados. Para os estudos de caso, são

importantes 5 componentes para um projeto de pesquisa, quais sejam:

− As questões do estudo;

− Suas proposições;

− Sua unidade de análise;

− A lógica que une os dados às proposições;

− Os critérios para se interpretar as descobertas.

Para a presente dissertação foi escolhida a estratégia de estudo de caso múltiplo exploratório

como forma de pesquisa. Tal modelo permite que o pesquisador conheça com mais

profundidade de detalhes a realidade estudada, trazendo assim mais propriedade ao seu relato.

O estudo de caso múltiplo exploratório permite um aumento da experiência e do

conhecimento do pesquisador frente ao assunto por ele abordado. Utilizaremos uma questão

importante e relevante para se seguir essa estratégia de pesquisa estabelecida. O tema central

desse trabalho é a revisão de controles no ambiente ERP, e como essa atividade pode ser

utilizada para minimizar os riscos a que uma empresa está exposta, do ponto de vista de

controle e segurança, num processo de implantação e no uso do sistema de gestão.

Como passo inicial, no sentido de esclarecer as questões relativas a esse tema, o presente

trabalho tem por objetivo principal avaliar até que ponto a revisão de controles é vista pelas

empresas como um meio para maximizar as chances reais de sucesso da implantação e uso

efetivo de um ERP, constituindo-se em, portanto, num de seus fatores críticos de sucesso, e

ajudando-as também, a obter os potenciais benefícios de um sistema integrado de gestão.

As unidades de análise da pesquisa foram quatro empresas que possuem um sistema ERP em

operação e que tenham ou não realizado uma revisão de controle e da segurança do seu

ambiente, antes ou após a implantação do sistema.

Em pesquisas qualitativas, não existe uma preocupação com a quantidade da amostra e sim

quanto à qualidade e da representatividade do grupo escolhido para participar do estudo. A

pesquisa foi realizada através de entrevistas pessoais e por telefone, com um questionário

aberto, com 20 profissionais em quatro empresas distintas da iniciativa privada, e

especificamente indústrias do município do Rio de Janeiro, que possuem sistemas ERP

implantados. Foram selecionados, em cada uma das quatro empresas, 5 profissionais

considerados pessoas-chaves dentro do ambiente ERP da empresa e que participaram do

processo de implantação do sistema de gestão, sendo 1 gerente da área de informática e 4

gerentes das áreas de negócios (exemplo: Compras, Contas a Pagar, Pagamentos, Vendas,

Faturamento, Contas a Receber e Contabilidade) e que são usuários do sistema ERP da

empresa. Em duas dessas empresas, já havia ocorrido um trabalho especial de revisão de

controles e segurança do sistema ERP após a sua implantação. Nas outras empresas, ainda não

havia ocorrido esse tipo de trabalho.

Com base em uma revisão da literatura sobre o tema da pesquisa, elaborou-se um questionário

testado por um especialista que atua no setor. A parte da coleta dos dados foi efetuada através

de entrevistas pessoais com o próprio funcionário, na própria empresa ou por telefone,

material formatado pelas empresas, literatura disponível, artigos sobre implantação de ERP no

Brasil e nos EUA, artigos sobre os riscos envolvidos em implantação, experiência profissional

do autor em serviços de revisão e de empresas que tiveram que se adequar às leis vigentes no

mercado.

As entrevistas tiveram em média uma hora de duração e foram, em sua grande parte, gravadas

na íntegra, quando realizadas pessoalmente. O roteiro das entrevistas foi estruturado com

perguntas, na sua maioria abertas, mas relativamente amplas. A primeira parte procurou

coletar dados das características gerais do entrevistado e da empresa. A segunda parte

verificou os aspectos do projeto ERP. Por fim, a terceira parte focou nos aspectos de controle

e segurança no ambiente ERP. Os dados obtidos nas entrevistas foram consolidados para cada

grupo, e em seguida, comparados. A análise das entrevistas nos permitiu avaliar o grau de

importância dado pelas empresas à revisão de controles e da segurança no ambiente ERP, e

suas motivações para implantar um projeto desse tipo. Além disso, procurou-se entender e

descrever como as empresas avaliam o sucesso de projetos de revisão de controles em termos

de benefícios gerados, e se tais projetos são considerados um fator crítico para as operações e

sucesso de uma organização.

Levando em consideração a utilização de uma análise de percepção sobre o problema e

contando com a amostra selecionada de empresas, os resultados encontrados não podem ser

generalizados. Porém, os dados coletados e as análises fornecem uma boa perspectiva do

estágio das empresas com relação ao processo de revisão de controles num ambiente ERP.

4. RESULTADOS OBTIDOS

Nesse capítulo, apresentam-se os dados obtidos nas organizações estudadas. Os dados serão

apresentados separados, para as companhias que não realizaram nenhum trabalho ou

procedimento de avaliação de controle e segurança no seu ambiente tecnológico onde está

inserido o ERP, durante o período de implantação do sistema de gestão, e as companhias que

realizaram algum trabalho ou procedimento de avaliação de controle e segurança no seu

ambiente tecnológico onde está inserido o ERP, durante o período de implantação do sistema

de gestão.

4.1. AS EMPRESAS – CARACTERÍSTICAS GERAIS

Empresa 1 – Esta empresa é do segmento de editorial (livro e revista) e gráfico, com cerca de

450 funcionários e um faturamento de R$ 72.000.000, em 2004. Ela está no processo de

transição entre uma cultura familiar, onde a confiança nas pessoas é muito grande, deixando

os controles nos processos em segundo plano, e uma cultura profissional, mas já bastante

focada no mercado, com o pensamento no crescimento e observando os seus concorrentes. O

ERP implantado na companhia foi o JD Edwards, em abril de 2002. O projeto teve o tempo de

duração de 1 ano. A estratégia de implantação foi de big-bang, considerada de média

complexidade pelos entrevistados. Os principais módulos implantados foram: financeiro,

logística e manufatura. O sistema suporta os processos de vendas, contas a receber,

recebimento, compras, contas a pagar, pagamentos, logística e manufatura.

Empresa 2 – Esta empresa é do segmento de mercado fonográfico e entretenimento, com

cerca de 160 funcionários e um faturamento em torno de R$ 55.000.000, em 2004. Ela tem

uma cultura extremamente familiar, onde a confiança nas pessoas é muito grande, deixando os

controles nos processos em segundo plano. Porém, também está voltada para o mercado. O

ERP implantado na companhia foi o Microsiga, em junho de 2002. O projeto teve o tempo de

duração de 5 meses. A estratégia de implantação foi de big-bang e considerada de baixa

complexidade pelos entrevistados. O principal módulo implantado foi o financeiro, e o

sistema suporta os processos de vendas, contas a receber, recebimento, compras, contas a

pagar, pagamentos, crédito e cobrança.

Empresa 3 – Esta empresa é do segmento de distribuição de combustível. Tem cerca de 1600

funcionários e um faturamento de R$ 450.000.000, em 2004. Segundo os entrevistados, ela

era de uma cultura familiar, mas hoje, já extremamente profissional e voltada para o mercado,

cliente e produtividade. O ERP implantado na companhia foi o JD Edwards em dezembro de

2004 e o projeto teve o tempo de duração de 2 anos. A estratégia de implantação foi modular,

e foi considerada de média complexidade pelos entrevistados. O principal módulo implantado

foi o financeiro, focado em dar suporte ao processo de contas a receber.

Empresa 4 – Esta empresa é do segmento de manufatura, possuindo cerca de 600

funcionários. Ela teve um faturamento em torno de R$ 310.000.000, em 2004. Tem uma

cultura voltada fortemente para controle e para o mercado. O ERP implantado na companhia

foi o SAP R/3, em junho de 2004. O projeto teve o tempo de duração de 1 ano. A estratégia de

implantação foi de big-bang, considerada de média complexidade pelos entrevistados. Os

principais módulos implantados foram: financeiro, estoque, custo e produção, suportando os

processos de vendas, contas a receber, recebimento, compras, contas a pagar, pagamentos,

estoque, custo e produção.

Na tabela 3, é apresentado o quadro com o resumo das principais características das empresas

selecionadas:

Tabela 3: Quadro resumo com as principais características das empresas

Empresa

Número de

Funcionários

Segmento

Cultura da

Empresa

ERP

Implantado

Número de

Licenças

para Uso

do ERP

Processos

Suportados

Estratégia da

Implantação

Início do

Projeto

Data da

Implantação

Status

Atual

Foi realizado

algum

trabalho de

revisão

durante a

implantação?

Empresa 1 450

Editorial (livro e

revista)

e gráfica

Está no processo

de transição

entre a cultura

familiar e

profissional

JD Edward 130

. Financeiro

. Vendas

. Contas a Receber

. Recebimento

. Compras

. Contas a Pagar

. Pagamentos

. Logística

. Manufatura

Big Bang abr/01 abr/02 Finalizado Não

Empresa 2 160

Mercado

fonográfico

entretenimento

É de cultura

familiar, porém

voltada para o

mercado

Microsiga 23

. Financeiro

. Vendas

. Contas a Receber

. Recebimento

. Compras

. Contas a Pagar

. Pagamentos

. Crédito

. Cobrança

Big Bang jan/02 jun/02

Implantando

novos

módulos

Não

Empresa 3 1600

Distribuição de

combustível

É de cultura

familiar, porém

voltada para

controle,

mercado, cliente

e produtividade

JD Edward 1000

. Financeiro

. Contas a Receber

Modular dez/01

dez/03 e

up-grade em

dez/04

Implantando

novos

módulos

Sim

Empresa 4 600 Manufatura

Voltada para

controle e para o

mercado

SAP/R3 300

. Financeiro

. Vendas

. Contas a Receber

. Recebimento

. Compras

. Contas a Pagar

. Pagamentos

. Estoque

. Custo

. Produção

Big Bang jul/03 jun/04 Finalizado Sim

As empresas 1 e 2 não realizaram nenhum trabalho ou procedimento de avaliação de controle

e segurança no seu ambiente tecnológico onde está inserido o ERP, durante o período de

implantação do sistema de gestão.

As empresas 3 e 4 realizaram algum tipo de trabalho ou procedimento de avaliação de

controle e segurança no seu ambiente tecnológico onde está inserido o ERP durante o período

de implantação do sistema de gestão.

4.2. OS ENTREVISTADOS

Na tabela 4, pode-se identificar o cargo dos entrevistados das quatro empresas que fizeram

parte da pesquisa:

Tabela 4: Quadro resumo com o cargo dos entrevistados das quatro empresas

Cargo dos entrevistados

Número de

entrevistados no cargo

Empresas

Gerente da área de TI 4 1, 2, 3, 4

Gerente de Contabilidade 2 1, 2

Gerente de Vendas 3 1, 3, 4

Gerente de Compras 3 1, 2, 4

Gerente de Contas a Pagar 2 1, 2

Gerente de Crédito e Cobrança 1 3

Gerente de Relacionamento 1 3

Gerente de Custos 1 3

Gerente Financeiro 3 2, 3, 4

Total 20

Os profissionais entrevistados tinham idade entre 25 e 50 anos, com tempo de experiência na

profissão e de empresa de até 20 anos. Do total, 90% possuíam curso superior completo.

4.3. ANÁLISE DOS RESULTADOS

Para melhor visualização dos resultados da pesquisa, eles foram consolidados nas duas

categorias em que as empresas estão situadas, ou seja, empresas que realizaram um trabalho

de revisão de controles e segurança no ambiente onde está inserido o ERP, e empresas que

não realizaram esse tipo de trabalho. Também foram separadas as respostas em três grandes

fases do processo de implantação do Sistema Integrado de Gestão, conforme a seguir:

a. Fase de Planejamento dos trabalhos de implantação do ERP – para essa fase compilamos

as respostas referentes às razões mencionadas pelos entrevistados que motivaram as

empresas a implantarem o ERP e os benefícios dele esperados.

b. Fase de Implantação do ERP – para essa fase compilamos as respostas referentes aos

problemas ocorridos durante a fase de implantação do sistema ERP.

c. Fase Pós-Implantação do ERP – para essa fase compilamos as respostas referentes aos

problemas ocorridos após a implantação do ERP nas empresas estudadas, e o tratamento

e eventuais soluções para tais problemas.

4.3.1. Análise dos resultados da pesquisa para a fase de planejamento

Os resultados da pesquisa realizados nas empresas selecionadas, para a fase de planejamento,

no que tange aos motivos da implantação do ERP e os benefícios esperados pelas empresas,

podem ser observados nas tabelas 5, 6, 7 e 8:

Tabela 5: Motivos da implantação do ERP para as empresas que não realizaram as atividades

de controle e segurança

Principais Temas Exemplos - Área de TI Exemplos - Áreas de Negócios

Suportar o

crescimento da

empresa

"Precisávamos de nova

tecnologia para suportar o

crescimento da empresa, com

base na estratégia da alta

administração." - Empresa 1 -

Gerente de TI

"Realmente a empresa precisava de um novo

sistema para suportar as operações na

época. A empresa estava crescendo muito e

a minha área não conseguia mais trabalhar." -

Empresa 2 - Gerente de Crédito e Cobrança

Automação de

processos

"Precisávamos também

automatizar alguns processos,

como por exemplo, aprovação

eletrônica de pagamento." -

Empresa 1 - Gerente de TI

"A tecnologia para suportar o crescimento

da empresa, a pouca opção do antigo

sistema e aprovação eletrônica de

pagamento." - Empresa 1 - Gerente de

Vendas

Deficiências de

sistemas legados

"Havia pouca navegabilidade

do antigo sistema e não era um

sistema gráfico e multi-

empresa." - Empresa 1 -

Gerente de TI

"A minha área utilizava o sistema antigo que

não suportava mais as operações, dando

erros e perda de dados. Também havia

questões de segurança que não estava boa." -

Empresa 2 - Gerente de Contabilidade

Falta de atendimento

às demandas de

negócios

"O sistema antigo não

suportava mais os negócios. A

empresa estava ameaçada

fiscalmente pois não

conseguia comprovar as

entradas e saídas de

mercadorias." - Empresa 2 -

Gerente de TI

"A área de Crédito e Cobrança utilizava os

sistemas antigos que não suportavam mais as

nossas operações, ocorrendo erros e até

perda de dados. […] Realmente a empresa

precisava de um novo sistema para suportar

as operações na época." - Empresa 2 -

Gerente de Crédito e Cobrança

Falta de segurança

dos sistemas legados

"O sistema antigo não

suportava mais o número de

registros, truncava tabelas. Se

perdia dados, e não havia

segurança." - Empresa 2 -

Gerente de TI

"Os sistemas antigos não tinham a

flexibilidade de criação de perfis por menu.

Era diretamente nos programas, e com isso

não havia a segurança total." - Empresa 2 -

Gerente de Contas a Pagar

Tabela 6: Motivos da implantação do ERP para as empresas que realizaram as atividades de

controle e segurança.

Principais Temas Exemplos - Área de TI Exemplos - Áreas de Negócios

Suportar o

crescimento da

empresa

"[…] Tecnologia nova para suportar

o crescimento da empresa." -

Empresa 4 - Gerente de TI

"Era importante ter um novo sistema para

suportar o crescimento da empresa, com

confiança." Empresa 4 - Gerente Financeiro

Automação de

processos

"[...] e também poderia aproveitar a

implantação do ERP para

alinhamento entre o negócio e a

tecnologia, e suprir as necessidades

dos sistemas antigos, nas automações

dos processos." - Empresa 3 -

Gerente de TI

Deficiências de

sistemas legados

"[…] havia muitas deficiências nas

fucionalidades dos sistemas antigos." -

Empresa 3 - Gerente de Arquitetuta

de TI

"[…] Depois a empresa decidiu continuar a

implantar outros módulos em função de

deficiências dos sistemas que não atendia todas

as necessidades das áreas." - Empresa 3 -

Gerente de Vendas

Falta de

atendimento às

demandas de

negócios

"[…] pouca navegabilidade e suporte

aos negócios dos antigos sistemas." -

Empresa 4 - Gerente de TI

"[…] Depois a empresa decidiu continuar a

implantar outros módulos em função de

deficiências dos sistemas que não atendia todas

as necessidades das áreas." - Empresa 3 -

Gerente de Vendas

Falta de segurança

dos sistemas

legados

"Os sistemas legados da companhia

não eram seguros suficiente para

suportar o crescimento da empresa." -

Empresa 4 - Gerente de TI

"A empresa estava crescemdo demais e

precisava de um sistema robusto e seguro que

suportasse os processos da empresa com

segurança." Empresa 4 - Gerente de Vendas

Bug do milênio

"O motivo inicial foi por causa do

bug do milênio. Mas em seguida

descobrimos que também poderia

aproveitar a implantação do ERP

para outros benefícios." -

Empresa 3 - Gerente de TI

"O principal motivo para a implantação do

ERP foi o bug do milênio." - Empresa 3 -

Gerente de Relacionamento

Os dados obtidos nesta fase da pesquisa revelam que muitos dos motivos que levaram as

empresas a implantarem o ERP foram também mencionados em pesquisas anteriores, citadas

na revisão da literatura, como por exemplo, o bug do milênio, o suporte ao crescimento das

empresas (Colangelo Filho, 2001; O’Leary, 2000), as deficiências e a falta de segurança dos

sistemas legados, a necessidade de maior automação e definição dos processos e a falta de

atendimento às demandas de negócios (Davemport, 2002; Barros, 2003). Por outro lado,

outros fatores importantes mencionados nos resultados de pesquisas anteriores, citados na

revisão da literatura, não foram mencionados pelos nossos entrevistados, como por exemplo, a

documentação no sistema dos principais processos e das regras de negócios (Davemport,

2002) e a robustez e abrangência do ERP nas várias áreas de negócios da empresa (Barros,

2003).

Se comparados os dados das empresas que realizaram as atividades de controle e segurança

com os dados das empresas que não realizaram tais atividades, pode-se observar os motivos

que as empresas tiveram para implantar o ERP, que foram praticamente os mesmos, tanto

para os entrevistados da área de TI, quanto para os entrevistados das áreas de negócios, com

exceção do bug do milênio, citado em apenas uma das empresas, e a automação dos processos

de negócios, que não foi mencionada pelas áreas de negócios das empresas que realizaram as

atividades de controle e segurança, e sim pela área de tecnologia: "Precisávamos também

automatizar alguns processos, como por exemplo, aprovação eletrônica de pagamento." -

Empresa 1 - Gerente de TI.

Tabela 7: Benefícios esperados, pelas empresas que não realizaram as atividades de controle e

segurança.

Principais

Temas

Exemplos - Área de TI Exemplos - Áreas de Negócios

Maior segurança

"[…] Esperávamos ter mais segurança

no sistema e no ambiente." -

Empresa 1 - Gerente de TI

"Com a implantação do novo sistema

esperávamos ter maior segurança nos

processos." - Empresa 2 - Gerente de

Contas a Pagar

Maior

confiabilidade

"[…] Ter maior confiabilidade dos

dados." - Gerente de TI - Empresa 1

Definição de

Processos

"O ERP ajuda a definir claramente os

processos da empresa."

- Gerente de TI -

Empresa 2

Maior eficiência

dos Processos

"Ter rapidez e eficiência nos processos,

como por exemplo, o ciclo de

fechamento contábil em menos tempo e

de pagamento eletrônico." - Gerente de

TI - Empresa 1

"Maior eficiência dos processos com

segurança." - Empresa 1 - Gerente de

Contabilidade

Vantagem

competitiva

"Sabíamos que teríamos que estar

alinhados com o mercado para não

perder de vista os nossos concorrentes."

Gerente de TI - empresa 1

Tabela 8: Benefícios esperados, pelas empresas que realizaram as atividades de controle e

segurança.

Principais Temas Exemplos - Área de TI Exemplos - Áreas de Negócios

Maior segurança

"[…] Maior eficiência dos

processos, com maior segurança

no ambiente."- Empresa 4 -

Gerente de TI

"[…] Maior eficiência dos processos e

com total segurança." - Empresa 3 -

Gerente de Vendas

Maior

confiabilidade

"Esperava produtividade e

melhoria nos processos, […] com

segurança e confiablidade no

ambiente, até porque aprendemos

com as antigas implan-tações." -

Empresa 3 - Gerente de TI

"Segurança e confiabilidade do ERP,

são os benefícios primários esperados."

- Empresa 4 - Gerente Financeiro

Maior eficiência

dos processos

"[…] Maior eficiência dos

processos, com maior segurança

no ambiente."- Empresa 4 -

Gerente de TI

"[…] Alguns processos necessitavam

ser revistos e a maior eficiência deles

seria um dos benefícios esperados,

como por exemplo, o fechamento de

ciclos de processo com maior rapidez."

- Empresa 4 - Gerente de Compras

Melhorar o

suporte às

demandas de

negócios

"Colocar o ERP no ar para

suportar os negócios,

principalmente para atender as

demandas das diversas áreas da

companhia." - Empresa 3 -

Gerente de TI

"Realmente a empresa precisava de um

novo sistema para suportar as

operações na época. A empresa estava

crescendo muito e a minha área não

conseguia mais trabalhar." - Empresa 3

Gerente de Vendas

Atualização de

hardware e

software

"Esperávamos que com a adoção

do ERP teríamos a necessidade

de atualizar todo o nosso parque

tecnológico. […] Seria uma

oportunidade ímpar para a

empresa." - Empresa 3 - Gerente

de TI

Vantagem

competitiva

"A competitividade sempre tem

que está em nossos planos. A

implantação do ERP também teve

essa visão." - Gerente de TI -

Empresa 4

"Já sabia que o nosso concorrente havia

implantado um ERP. Tínhamos que

seguir a mesma linha para não ficar

atrás."- Empresa 4 - Gerente Financeiro

Os dados obtidos nesta fase da pesquisa revelam que todos os benefícios que as empresas

esperavam, tanto as que realizaram, quanto as que não realizaram as atividades de controle e

segurança, foram mencionados em pesquisas anteriores, citadas na revisão da literatura, como

por exemplo, a segurança e confiabilidade dos dados (Mendes e Escrivão Filho, 2001; Souza

e Zwicker, 2000; Stamford, 2000; Saccol, Macadar, Soares, 2003), a eficiência dos processos

(Davemport, 2002; Barros, 2003), a vantagem competitiva (Davemport, 2002) e a atualização

do parque tecnológico, em termos de hardware e software (Colangelo Filho, 2001):

“Esperávamos ter maior eficiência dos processos, com maior segurança no ambiente e

confiança nos dados.” – Empresa 4 - Gerente de TI.

Por outro lado, tem-se que registrar que não foram mencionados pelos entrevistados, outros

fatores importantes mencionados nos resultados de pesquisas anteriores, como por exemplo, a

integração total dos departamentos, com o controle e abrangência de várias áreas da

companhia (Saccol, Macadar, Soares, 2003; Souza e Zwicker, 2000), a disponibilidade da

informação em tempo real (Stamford, 2000), as regras de negócios bem definidas no sistema

(Lima, 2000; Miltello, 1999), o aumento da capacidade dos funcionários para a utilização do

ERP (Saccol, Macadar, Soares, 2003; Colangelo Filho, 2001; Taurim, 1999) e na redução

custos com o corte da mão de obra nas empresas (Mendes e Escrivão Filho, 2001).

Se comparados os dados das empresas que realizaram as atividades de controle e segurança

com os dados das empresas que não realizaram tais atividades, pode-se observar os benefícios

que as empresas tiveram para implantar o ERP, que foram praticamente os mesmos, tanto

para os entrevistados da área de TI, quanto para os entrevistados das áreas de negócios, com

exceção do tema que menciona a melhoria no suporte aos negócios e na atualização do parque

tecnológico, citado apenas pelas empresas que realizaram as atividades de controle e

segurança. Por outro lado, apenas a área de TI das empresas que não realizaram tais

atividades, mencionou que a definição dos processos de negócios seria um benefício para as

suas empresas.

4.3.2. Análise dos resultados da pesquisa para a fase de implantação

Os resultados da pesquisa realizados nas empresas selecionadas, para a fase de implantação

do ERP, no que tange aos problemas ocorridos durante essa fase, podem ser observados nas

tabelas 9 e 10:

Tabela 9: Problemas ocorridos durante a fase de implantação do ERP, para as empresas que

não realizaram as atividades de controle e segurança.

(continua)

Principais Temas Exemplos - Área de TI Exemplos - Áreas de Negócios

Falta de

documentação

(manual de

usuário e de

sistema).

"O sistema não possui informações

gerenciais e uma documentação

(manual de usuário e de sistema)

adequada." - Empresa 2 - Gerente de

"A falta de documentação foi um dos

problemas na implantação.

Precisávamos consultar as dúvidas e

somente os consultores tinham as

respostas." Empresa 2 - Gerente de

Contabilidade

Turn-over de

usuários chaves

"Um dos maiores problemas foi o

turn-

over /rotatividade de key-users no

projeto, pois tínhamos que explicar

todo o processo de novo, aliado a falta

de documentação (manual de usuário e

de sistema) que também foi percebida,

pois a empresa implantadora não

finalizou os documentos, havendo uma

dependência nas pessoas. Hoje não

tenhos nenhum key-users da época de

implantação." - Empresa 1 - Gerente

de TI

Customização

excessiva

"Por ser um negócio específico

tivemos uma customização excessiva

que trouxe problema para a gente

como alguns bugs no sistema." -

Empresa 1 - Gerente de TI

"O sistema não veio pronto nem com

as funções básicas. Apesar de ser uma

empresa de nome, dentro da minha

área tivemos que mandar fazer um

programa novo, pois não pude

aproveitar nada." - Empresa 2 -

Gerente de Vendas

Definição

incorreta das

necessidades nos

processos de

negócios

"O sistema não possui informações

gerenciais. Não há rateio de custo das

áreas. Os implantadores não

levantaram adequadamente os fluxos

dos processos pois os usuários não

souberam passar as suas

necessidades." - Empresa 2 - Gerente

de TI

"Definimos pontos e relatórios

específicos de controles, pois foi

detectado erros de programas e falta

de informações disponíveis, por

motivo de definição incorreta das

necessidades de negócios." - Empresa

2 - Gerente de Vendas

Tabela 9: Problemas ocorridos durante a fase de implantação do ERP, para as empresas que

não realizaram as atividades de controle e segurança.

(conclusão)

Principais

Temas

Exemplos - Área de TI Exemplos - Áreas de Negócios

Migração

incorreta dos

dados

"O sistema teve vários problemas de

integridade de dados. Criamos

relatórios para a área de Contabilidade

para fazer os batimentos para checar os

saldos dos relatórios. Esses problemas

eram por causa de picos de luz, por

exemplo, e migração dos dados. Hoje

já se estabilizou com as novas versões.

Isso poderia ser observado se

tivéssemos um teste de estresse maior."

- Empresa 1 - Gerente de TI

"Na migração de dados tivemos

problemas de saldo final, com saldo

inicial no novo sistema." - Empresa 2 -

Gerente de Contabilidade

Testes

realizados

em ambiente

de produção

"Não tivemos tempo de fazer todos os

testes em ambiente de teste. Vários

testes foram feitos diretamente em

ambiente de produção. Preferimos

correr o risco desse procedimento do

que não implantarmos o sistema para

suportar os processos de negócios." -

Empresa 2 - Gerente de TI

Falta de

testes mais

abrangentes

"O sistema teve vários problemas de

integridade de dados. Criamos

relatórios para a área de Contabilidade

para fazer os batimentos para checar os

saldos dos relatórios. Esses problemas

eram por causa do pico de luz, por

exemplo. Hoje já se estabilizou com as

novas versões. Isso poderia ser

observado se tivéssemos um teste de

estresse maior." - Empresa 1 - Gerente

de TI

Treinamento

não adequado

"Os usuários não tiveram um

treinamento adequado, e

adicionalmente, com muita

antecipação, o que ocasionou o

desconhecimento do sistema no

momento da implantação. Era tudo

novo para os usuários." - Empresa 1 -

Gerente de TI

"O treinamento poderia ser mais

detalhado. Na implantação, alguns

usuários ainda tinham dúvidas de

utilização do sistema." - Empresa 1 -

Gerente de Contabilidade

Tabela 10: Problemas ocorridos durante a fase de implantação do ERP, para as empresas que

realizaram as atividades de controle e segurança.

Principais

Temas

Exemplos - Área de TI Exemplos - Áreas de Negócios

Falta de

documentação

(manual de

usuário e de

sistema).

"Os manuais de utilização do sistema

não eram tão claros. Tínhamos

dificuldades de entender o material." -

Empresa 4 - Gerente de Vendas

Customização

excessiva

"Por ter sido bastante customizado

tivemos alguns problemas. O ambiente

era bastante complexo e informatizado

com interfaces com BI e CRM. Foi uma

fase bastante longa. O contas a receber

e manufatura, desde o início ao fim. A

questão bancária foi complicada e

complexa." - Empresa 3 - Gerente de

"Como houve uma nível alto de

customização do ERP, os bugs de

programas poderiam ocorrer." -

empresa 3 - Gerente de

Relacionamento

Definição

incorreta das

necessidades

nos processos

de negócios

"Apareceu um problema pontual, que

provavelmente foi por causa da não

definição de ítens específicos no

processo de interface com o banco." -

Empresa 4 - Gerente de TI

"Tivemos um pequeno problema de

interface durante a implantação, que

acredito que tenha sido alguma

definição de conceito que não tenha

ficado claro para a empresa que

estava implantando o ERP." -

Empresa 4 - Gerente Financeiro

Falta de testes

mais

abrangentes

"Procuramos simular todas as situações

e fazer os testes que deveríamos.

Porém, sabíamos que existia um

pequeno risco calculado de que algo

poderia passar em função da massa de

teste não ser igual a massa real de

produção. Foi um risco calculado." -

Empresa 4 - Gerente de TI

Treinamento

não adequado

"Treinamento é fundamental para todos.

Acho que inicialmente poderia ter sido

melhor e poderíamos ter investido um

pouco mais nesse tema. Depois

investimos nessa questão." - Empresa 3 -

Gerente de TI

"Achei que a empresa poderia ter

investido mais no treinamento, com

mais tempo. A sub-utilização do ERP

ocorreu em função dessa situação." -

Empresa 3 - Gerente de Vendas

Os dados obtidos nesta fase da pesquisa revelam que mesmo as empresas que realizaram as

atividades de controle e segurança tiveram problemas na fase de implantação. Além disso, os

mesmos problemas foram mencionados pelos entrevistados das empresas que não fizeram

esse tipo de atividade, como o gerente de TI da empresa 4: “Procurou-se simular todas as

situações e fazer os testes que deveriam, porém, sabía-se que existia um pequeno risco

calculado de que algo poderia passar em função da massa de teste não ser igual a massa real

de produção.”

Pode-se verificar também que nem todos os problemas mencionados pela área de TI das

empresas que realizaram atividades de controle e segurança foram mencionados pelas áreas

de negócios, como, por exemplo, a falta de testes mais abrangentes. As áreas de negócios

também mencionaram o fato dos manuais do sistema não serem claros suficientes para

entendimento de todas as funcionalidades. Esse fato não foi mencionado pela área de TI.

Por outro lado, pode-se verificar que, de acordo com os entrevistados da área de TI, nas

empresas em que não foram realizados trabalhos focados em controle e segurança durante a

fase de implantação, percebeu-se mais problemas do que nas outras empresas. Essas

constatações confirmam aspectos já apontados pela literatura (Musaji, 2002; Wright e Wright,

2002 e Straub,1998) quanto ao fato das atividades de controle e segurança minimizarem os

riscos desses problemas ocorrerem durante a implantação do ERP.

Outra análise que pode-se fazer dos resultados é com relação aos entrevistados da área de TI,

que, independente da empresa ter realizado ou não as atividades de controle e segurança,

mencionaram problemas que ocorreram durante a implantação do ERP ligados diretamente

aos aspectos de procedimentos, que os entrevistados das áreas de negócios não perceberam,

como por exemplo, a falta de testes mais abrangentes e testes que foram realizados

diretamente em ambiente de produção: "Tiveram testes que foram feitos no ambiente de

produção [...]. Mas agora isso não ocorre mais." – Empresa 1 – Gerente de TI.

4.3.3. Análise dos resultados da pesquisa para a fase pós-implantação

Os resultados da pesquisa realizados nas empresas selecionadas, no que tange aos problemas

ocorridos durante a fase pós-implantação do ERP, podem ser observados a seguir:

Tabela 11: Problemas ocorridos durante a fase pós-implantação do ERP, para as empresas que

não realizaram as atividades de controle e aegurança

(continua)

Principais Temas Exemplos - Área de TI Exemplos - Áreas de Negócios

Configuração

incorreta de perfis

de acessos de

usuários

"Tivemos impactos e problemas de perfil de

acesso na empresa pelo fato de não termos uma

política bem definida sobre esse tema. [...] Após

a implantação identificamos que diversos

usuários possuiam acessos além daqueles que

eram necessários. O controle era o

desconhecimento do usuário. Nós achávamos

que as portas não estavam abertas mas elas

estavam. [...] Teve um dia que o sistema parou.

Um usuário tinha super poder e alterou um

parâmetro de uma tabela de produção e fez com

que o sistema parasse." - Empresa 1 - Gerente de

"[…] Realmente os usuários do sistema

tinham os seus perfis incorretos. Tinha

funcionário com poderes que nem eu,

responsável pela área, tinha. Podiam fazer

atividades de outras áreas. Mas depois foi-

se acertando." - Empresa 1 - Gerente de

Vendas

Bug de programas

"Houve bug de programas como muitos

cálculos incorretos e números que não batiam." -

Empresa 2 - Gerente de TI

"Ouvi falar que o JD Edward vinha com

alguns bugs de fábrica, e pude observar

em produção." - Empresa 1 - Gerente de

Compras

Analistas de

sistemas com

acessos ao ambiente

e bases de dados de

produção

"Os analistas tinham acesso a tudo no ambiente

de produção. Teve uma época que tinham 3

analistas com acesso a tudo. Era um risco alto.

Hoje cortamos os acessos." - Empresa 1 -

Gerente de TI

"Fiquei sabendo que o pessoal de TI tinha

acesso nos dados de produção. Isso ajudava

na hora de acertar os problemas, mesmo

sabendo que era um risco essa situação." -

Empresa 2 - Gerente de Crédito e

Cobrança

Processo

inadequado de

manutenção de

usuário

"Não havia uma política de acessos na época da

implantação. Iniciamos um trabalho, em

conjunto com a área de Controladoria, de

revisão dos acessos dos usuários. Começamos a

cortar os perfis das atividades mais críticas e

conceder para quem efetivamente necessitasse." -

Empresa 1 - Gerente de TI

"A Controladoria junto com a área de TI

definiram um processo para acertar os

perfis de acesso." - Empresa 1 - Gerente

de Contabilidade

Falta de integridade

de dados

"Identificamos problemas de migração de dados

em que haviam vários problemas de caractéres

incorretos nas tabelas, e números que não

faziam sentido entre os arquivos. Tivemos que

criar script para limpar as bases de dados e

relatórios para identificar as incoerências." -

Empresa 2 - Gerente de TI

"Encontramos vários problemas após o go-

live. Ficamos conferindo vários saldos

através de relatórios feitos pela área de TI."

- Empresa 1 - Gerente de Contabilidade

Tabela 11: Problemas ocorridos durante a fase pós-implantação do ERP, para as empresas que

não realizaram as atividades de controle e segurança.

(continuação)

Principais Temas Exemplos - Área de TI Exemplos - Áreas de Negócios

Senhas iguais dos

usuários no

momento da

implantação e sem

a necessidade de

troca

"Após 4 meses da implantação do sistema,

criou-se um controle de troca periódica e

automática de senha, com número de caracteres

mínimos e não podendo repetir as últimas 5

senhas." - Empresa 1 - Gerente de TI

"Na implantação, os usuários tinham as

mesmas senhas e somente trocavam caso

quisessem. Não existia a obrigatoriedade."

Empresa 2 - Gerente de Crédito e

Cobrança

Compartilhamento

de senhas

"Não existia uma política de proibição de

compartilhamento de senhas e isso ficou

comum na empresa. Para evitarmos essa

situação, implantamos rígidas sanções para

acabar com o problema. Era um problema de

cultura na empresa." - Empresa 1 - Gerente de

"Os usuários colavam post it no monitor

do computador com as suas senhas.

Houve compartilhamento de senhas entre

os usuáriose a má utilização do sistema."

Empresa 2 - Gerente de Compras

Configuração

incorreta dos

parâmetros do

módulo de

segurança

"Identificamos no ERP configurações

inadequadas dos parâmetros de segurança.

Descobrimos essa situação por acaso, quando

alguns usuários solicitaram a alteração de senha

para a área de TI. Essa solicitação deveria ser

automática do sistema após 30 dias. Outros

padrões de segurança também não estavam

implantados, se fomos seguir as melhores

práticas de segurança." - Empresa 1 - Gerente

de TI

"Verificamos que os parâmetros de

segurança poderiam ser melhorados." -

Empresa 1 - Gerente de Contas a Pagar

Passagem de

programas do

ambiente de teste

para o ambiente de

produção sem as

devidas aprovações

"Na implantação, decidimos não colocar

formalização no processo de passagem de

programas para a produção. Tínhamos que ser

ágeis caso ocorresse algum problema. Ainda o

processo não está totalmente adequado, pois

precisamos avaliar os pontos chaves de

controle para não emperrar o processo." -

Empresa 1 - Gerente de TI

Baixa performance

"Tivemos pequenos, mas alguns problemas de

performance do sistema após a implantação do

ERP e foi um problema inerente ao JD

Edward." - Empresa 1 - Gerente de TI

A performance deixou a desejar um

pouco. Agilidade mesmo para emissão de

relatório. Você quer trabalhar e o sistema

fica lento." - Empresa 2 - Gerente de

Crédito e Cobrança

Usuários sem o

conhecimento do

sistema

"Os usuários não tiveram um treinamento

adequado, e adicionalmente, com muita

antecipação, o que ocasionou o

desconhecimento do sistema no momento da

implantação. Era tudo novo para os usuários." -

Empresa 1 - Gerente de TI

"Tivemos um treinamento muito fraco e

distante da implantação. Não sabíamos

usar todo o sistema." - Empresa 1 -

Gerente de Vendas

Tabela 11: Problemas ocorridos durante a fase pós-implantação do ERP, para as empresas que

não realizaram as atividades de controle e segurança.

(conclusão)

Principais Temas

Exemplos - Área de TI

Exemplos - Áreas de Negócios

Sub-utilização do

Sistema

"Tivemos a sub-utilização total do sistema.

Outro dia falei que a planilha de Access seria

melhor que o sistema e quase fui crucificado." -

Empresa 2 - Gerente de TI

"O sistema hoje pode ser melhor utilizado.

O sistema vem com o esqueleto e temos

que colocar todos os dados." - Empresa 2 -

Gerente de Contabilidade

Indisponibilidade /

instabilidade do

sistema

"Deu defeito na placa do servidor principal da

empresa e não tínhamos a contingência e nem

back up atualizado no momento. Perdemos as

informações e o back-up era de 3 meses atrás."

- Empresa 2 - Gerente de TI

"O sistema parou por causa de uma mexida

do usuário com super poder que tinha no

seu perfil de acesso." - Empresa 1 -

Gerente de Contabilidade

Falta de back-up

"Deu defeito na placa do servidor principal da

empresa e não tínhamos a contingência e nem

back up atualizado no momento. Perdemos as

informações e o back-up era de 3 meses atrás."

- Empresa 2 - Gerente de TI

Falta de Log / Trilha

no Sistema

"[…] Nós não tínhamos log. Mas uma vez

sumiu um registro da tabela de movimento de

estoque. A partir daí, colocamos log nas

tabelas principais e foi muito bom pois

precisamos consultar um outro fato,

semelhante." - Empresa 1 - Gerente de TI

"[…] O sistema não tinha trilha pois ficava

muito lento. Mas depois precisamos e

tivemos que ativar para algumas tabelas." -

Empresa 1 - Gerente de Contabilidade

Falta de informações

gerenciais

"O sistema não possui relatórios gerenciais."

Não há rateio de custo das áreas." - Empresa 2 -

Gerente de TI

"Tivemos que pedir vários relatórios

gerenciais após a implantação do sistema." -

Empresa 2 - Gerente de Crédito e

Cobrança

Número de licenças

do software

insuficientes para os

usuários

"[…] Compramos apenas 23 licenças para uso,

num total de 160 usuários. Entendíamos que

era o suficiente para aquele momento." -

Emoresa 2 - Gerente de TI

"Não temos licenças do ERP para todas as

pessoas. As vezes ficamos esperando a

liberação de user-id e isso impacta a

produtividade da área." - Empresa 1 -

Gerente de Contabilidade

Tabela 12: Problemas ocorridos durante a fase pós-implantação do ERP, para as empresas que

realizaram as atividades de controle e segurança.

Principais Temas Exemplos - Área de TI Exemplos - Áreas de Negócios

Bug de programas

"Ocorreu um pequeno problema com o envio

e recepção de arquivos na interface com um

dos bancos que trabalhamos." - Empresa 4 -

Gerente TI

"Tivemos um pequeno problema de interface

durante a implantação, que acredito que tenha

sido alguma definição de conceito que não

tenha ficado claro para a empresa que estava

implantando o ERP." - Empresa 4 - Gerente

de Vendas

Analistas de

sistemas com

acessos ao

ambiente e bases

de dados de

produção

"[…] Apenas 1 analista de sistemas tinha

acesso ao ambiente de produção. Foi

necessário esse procedimento no início. Hoje

não existe mais." - Empresa 3 - Gerente

de TI

Senhas iguais dos

usuários no

momento da

implantação e sem

a necessidade de

troca

"[…] Verifiquei que as senhas não expiravam

nunca. Depois esse recurso foi implantado." -

Empresa 3 - Gerente de Relacionamento

Configuração

incorreta dos

parâmetros do

módulo de

segurança

"Após a implantação ainda encontramos a

configuração de segurança necessitando de

melhorias. O nosso argumento da área de TI

foi que necessitávamos de algumas brechas na

segurança para colocar o ERP no ar. Foi

acertado logo após o go-live, com o nosso

acompanhamento." - Empresa 4 -

Gerente de TI

"[…] Verifiquei que as senhas não expiravam

nunca. Depois esse recurso foi implantado." -

Empresa 3 - Gerente de Relacionamento

Usuários sem o

conhecimento do

sistema

"Achei que o treinamento poderia ser mais

detalhado. Na implantação, diversos usuários

ainda tinham dúvidas de como manusear o

ERP." - Empresa 4 - Gerente de TI

"A empresa poderia ter investido mais no

treinamento, com mais tempo. A sub-

utilização ou o desconhecimento do sistema

ocorreu em função disso." - Empresa 3 -

Gerente Financeiro

Sub-utilização do

sistema

"Achei que o treinamento poderia ser mais

detalhado. Na implantação, diversos usuários

ainda tinham dúvidas de como manusear o

ERP." - Empresa 4 - Gerente de TI

"Achei que a empresa poderia ter investido

mais no treinamento, com mais tempo. A sub-

utilização ou o desconhecimento do sistema

ocorreu em função disso." - Empresa 3 -

Gerente Financeiro

Falta de

informações

gerenciais

"[…] Faltou ainda informações gerenciais

disponíveis. Tivemos que desenvolver esses

relatórios através de query. Talvez os

usuários não especificaram bem na fase de

definição do projeto ." - Empresa 3 - Gerente

de Relacionamento

Os dados obtidos nesta fase da pesquisa revelam que nas empresas em que não foram

realizados trabalhos focados em controle e segurança durante a fase pós-implantação,

ocorreram três vezes mais problemas do que nas outras empresas. Essas constatações

confirmam aspectos já apontados pela literatura (Musaji, 2002; Wright e Wright, 2002 e

Straub,1998) quanto ao fato das atividades de controle e segurança minimizarem os riscos

desses problemas ocorrerem após a implantação do ERP. É importante ressaltar que outros

problemas poderiam surgir nessas empresas, pois apenas os problemas conhecidos foram

mencionados, deixando de fora os riscos que não se materializaram, mas que podem se

materializar a qualquer momento.

Por outro lado, da mesma forma que na fase de implantação, as empresas que realizaram as

atividades de controle e segurança, ainda assim tiveram problemas na fase pós-implantação.

Novamente, foram os mesmos problemas mencionados pelos entrevistados das empresas que

não fizeram esse tipo de atividade. Esse fato contraria a literatura que diz que essas atividades

minimizariam a possibilidade dos riscos se concretizarem, mesmo sendo problemas de

conhecimento da área de TI, como, por exemplo, o que foi mencionado por essa área da

empresa 4. De acordo com o entrevistado, sabia-se da incorreta configuração de segurança do

ERP. Essa situação irregular era necessária naquele momento, e estava sendo monitorada.

Um fato que se destacou nas entrevistas nas empresas que não efetuaram os trabalhos de

controle e segurança foi que alguns problemas somente foram citados pela área de tecnologia,

como o caso da falta de back-up mais adequado que pudesse ser utilizado em caso de

contingência, e a passagem de programas do ambiente de teste para o ambiente de produção

sem as devidas aprovações: “Deu defeito na placa do servidor principal da empresa e não

tínhamos a contingência e nem back-up atualizado no momento [...]." - Empresa 2 - Gerente

de TI.

Esses fatos explicam-se pelo motivo de dizerem respeito a procedimentos que são executados

exclusivamente pela área de TI, sem o envolvimento e conhecimento das áreas de negócios. A

área de negócio teve o impacto da indisponibilidade, porém, as causa dos problemas ficaram

de conhecimento apenas pela área de TI.

Outro aspecto interessante que pôde ser observado, é que, mesmo a empresa 4 tendo

implantado o ERP seguindo a estratégia de big-bang, que segundo descrito na revisão da

metodologia (Colangelo Filho, 2001), é a estratégia de maior risco, a empresa efetuou os

procedimentos de revisão de controle e segurança e obteve os resultados bem similares com a

empresa 3, que implantou o ERP com a estratégia de modular.

4.3.4. Análise dos resultados da pesquisa para os motivos que levaram as empresas a

realizarem ou não as atividades de controle e segurança

Os resultados da pesquisa realizados nas empresas selecionadas, no que tange aos motivos

que levaram as empresas a realizarem ou não as atividades de controle e segurança, podem ser

observados nas tabelas a seguir:

Tabela 13: Motivos mencionados pelas empresas que as levaram a realizar as atividades de

controle e segurança.

Principais

Temas

Exemplos - Área de TI Exemplos - Áreas de Negócios

Para seguir as

melhores

práticas do

mercado

"Após experiências anteriores, sabíamos

que poderíamos seguir as melhores

práticas do merdado, principalmente,

contratando serviços de especialistas

[…]." - Empresa 3 - Gerente de TI

Maior

segurança

durante e após

a implantação

"Fizemos o trabalho com o objetivo de

haver maior segurança durante e após a

implantação do ERP." - Gerente de TI -

Empresa 3

"Quando o trabalho foi iniciado, tivemos o

kick-off do projeto e foi passado que seria

parte integrante da implantação os aspectos

de controle e segurança." - Empresa 3 -

Gerente de Relacionamento

Fator crítico

de sucesso

para a

implantação

"[…] Seria um dos fatores críticos de

sucesso para a implantação e uma

garantia a mais para a gente, se

seguissemos com um trabalho de

acompanhamento do projeto por uma

empresa focada em controle e

segurança." - Empresa 4 - Gerente de

Aproveitar

bem os

benefícios do

ERP

"Sabíamos que o resultado do trabalho

de avaliação de controles seria bem

aproveitado também pelos usuários,

pois traria benefícios e conhecimento

para as áreas." - Empresa 4 - Gerente

de TI

"Poderíamos contar com esse trabalho para

também aproveitar todos os benefícios e a

segurança que o sistema de gestão poderia

oferecer." - Empresa 4 - Gerente

Financeiro

Menor custo

no futuro com

segurança

"[…] Outro ponto é que você não

precisaria gastar tempo e dinheiro lá na

frente com os problemas que por

ventura surgiriam da implantação. Se

você garante a qualidade e o controle, a

implantação será um sucesso." -

Empresa 3 - Gerente de TI

Tabela 14: Motivos mencionados pelas empresas que as levaram a não realizar as atividades de

controle e segurança.

Principais Temas Exemplos - Área de TI Exemplos - Áreas de Negócios

Orçamento

"O orçamento inicial do projeto não

previa nenhum trabalho específico de

segurança […]." - Empresa 1 - Gerente

de TI

Desconhecimento

"Não tenho conhecimento sobre esse assunto."

- Empresa 1 - Gerente de Vendas

Cultura

"Por ser uma empresa extremamente

familiar, o aspecto de segurança não

vinha em primeiro plano pela alta

administração." - Empresa 2 - Gerente

de TI

"Acreditava que todo o aspecto de segurança e

controle seriam cobertos pelo projeto de

implantação." - Empresa 2 - Gerente de

Contas a pagar

Custo

"[…] além do custo de trabalhos com

especialistas é alto, principalmente se

executado por empesas de renome." -

Empresa 1 - Gerente de TI

Prioridade na

implantação

"A nossa prioridade era a implantação do

ERP para suprir as deficiências dos

sistemas legados, depois pensaríamos

em algum trabalho específico de

segurança." - Empresa 2 - Gerente de TI

Os resultados obtidos nesta etapa da pesquisa apontam que as empresas que realizaram

atividades de revisão de controles e de segurança, fizeram, não para seguir alguma legislação

mencionada em nossa revisão de literatura, e sim, por ser de uma cultura voltada ao mercado,

porém, focadas e preocupadas também em controles. Isso sugere uma facilidade na realização

dessas atividades e não somente preocupada com a implantação do ERP e nos custos

envolvidos com o projeto. Pôde ser observado que os aspectos de controle e segurança fazem

parte da cultura interna das empresas entrevistadas, começando pela alta administração. Esse

aspecto foi um fator importante para a realização ou não dessas atividades.

Pode-se observar na tabela 13 que as únicas respostas que foram dadas pelas áreas de

negócios, também, foram dadas pela área de TI. Elas estão relacionadas aos benefícios que

essas atividades poderiam proporcionar à empresa, além do aumento da própria segurança

durante as fases de implantação do ERP, que seria um dos fatores críticos de sucesso para a

finalização do projeto com êxito. Os demais motivos foram mencionados somente pela área

de TI das empresas.

Em linha do que já foi mencionado na literatura, (Davenport, 1998; D´Andréa et al, 1999),

quando os processos e todos os procedimentos e formas de negócios suportados pelo ERP são

bem implementados, com acompanhamento e um foco em controles e segurança, geram

regras de negócio bem definidas, permitindo controles mais rígidos sobre pontos vulneráveis

do negócio, fazendo com que a empresa ganhe em confiabilidade, integridade dos dados e

padronização de procedimentos. No entanto, analisando a tabela 14, que apresenta os motivos

mencionados pelas empresas que as levaram a não realizarem as atividades de controle e

segurança, as questões relacionadas com a prioridade na implantação e ao custo do projeto

demonstram que o importante seria colocar o ERP no ar o mais rápido possível, seguindo

fielmente os prazos propostos no projeto, independente do risco que as empresas correriam

seguindo essa estratégia.

Pode-se também observar na tabela 14 que as questões de custo e orçamento somente foram

mencionadas pelos entrevistados da área de tecnologia, que foi a responsável pela contratação

das empresas que implantaram o ERP. Por outro lado, o fator relacionado ao desconhecimento

somente foi mencionado por entrevistados das áreas de negócios.

5. CONCLUSÃO E SUGESTÕES PARA PESQUISAS FUTURAS

Em resposta à pergunta proposta por esta pesquisa, pode-se concluir que as duas organizações

que não realizaram qualquer tipo de trabalho de revisão de controles no ambiente onde está

inserido o ERP tiveram muito mais problemas e dificuldades durante a implantação do

sistema de gestão do que aquelas que realizaram atividades de revisão de controles e de

segurança. Esse fato se aproxima bastante das características referenciadas na literatura

mencionada nessa dissertação.

Identificou-se que, com a realização das atividades de revisão de controles no ambiente ERP,

os riscos que as empresas estariam expostas puderam ser minimizados, do ponto de vista de

controle e segurança, maximizando as chances de sucesso no processo de implantação e no

uso do ERP. Proporcionou, assim, a obtenção dos potenciais benefícios de um sistema de

gestão, com maior controle e segurança. Observou-se, apenas, a necessidade das empresas de

focar no aspecto de treinamento, e de realizar um maior número de testes e simulações no

sistema, ainda em ambiente de testes, o que minimizaria também as questões relacionadas ao

conhecimento e utilização do sistema e de bugs de programas.

Ressalta-se a importância de se efetuar uma configuração criteriosa e eficaz dos parâmetros de

segurança dos vários módulos e da infra-estrutura que suporta o ERP, e da adoção de

controles internos eficazes no ambiente do sistema, garantindo o sigilo, integridade,

privacidade e disponibilidade das informações processadas pelo sistema. Qualquer

necessidade de exceção, em função do processo de implantação, deve ser realizada com

monitoramento e acompanhamento.

Porém, é de grande importância destacar, como conclusão final, os diferentes níveis de

conscientização encontrados nas empresas que fizeram parte da pesquisa. As empresas que

não haviam realizado um trabalho de análise e revisão de controles antes ou durante a

implantação do ERP não tinham a cultura voltada para a formalização de controles nos

processos em suas empresas. No entanto, pode-se perceber quanto seria importante a

realização de um trabalho focado nesse tema, que poderia evitar muitos dos problemas

ocorridos durante ou após a implantação do ERP.

Espera-se que os resultados deste trabalho possam preencher algumas lacunas deste campo de

conhecimento ainda tão carente de pesquisas, e que tenham despertado o interesse de

pesquisadores das mais diversas áreas no estudo de trabalhos de identificação de potenciais

riscos nas empresas e na avaliação da eficiência de controles para mitigar esses riscos.

De uma forma geral, pode-se dizer que, em sendo uma pesquisa significativamente qualitativa

e de natureza exploratória, o conjunto proposto da pesquisa deve seguir sendo validado e

expandido. Como foi visto, este é um campo de estudo relativamente novo, e muita coisa

ainda pode ser realizada. O estudo das práticas de revisão de controles é necessário,

principalmente, no momento de forte demanda de novas leis que estão surgindo no mercado

de todo o mundo, exigindo e sugerindo que as empresas cada vez mais foquem e melhorem os

seus controles internos, seja através de ajuda de terceiros ou através de seus próprios esforços,

para trazer maior segurança e transparência nos seus processos de negócios.

Fica então a sugestão para que novos estudos exploratórios sejam desenvolvidos, levando-se

em consideração uma amostra maior de companhias, como forma de colaboração e

enriquecimento da área acadêmica ao processo de elaboração de trabalhos de avaliação da

eficiência de controles e da segurança em ambiente ERP.

6. REFERÊNCIAS BIBLIOGRÁFICAS

ARANTES, N. Sistema de Gestão Empresarial: conceitos permanentes na administração de

empresas válidas. São Paulo: Atlas, 1998.

BANCO ITAÚ, Banco Itaú Holding Financeira. Disponível em: <http://itau.com.br>. Acesso

em: 04 jan. 2005.

BANK FOR INTERNATIONAL SETTLEMENTS – BIS. BASEL COMMITTEE ON

BANKING SUPERVISION. International Convergence of Capital Measurement and Capital

Standards: a revised framework. Suíça, Basiléia, junho de 2004.

BARROS, F. O Retorno do ERP. Computerworld, p. 28, mar. 2002.

BARROS, F. A nova face do mercado de ERP. Computerworld, p. 20, abr. 2003.

BUCKHOUT, S.; FREY, E.; NEMEC JR., J. Por um ERP eficaz. HSM Management.

p. 30-36, set./out. 1999.

CIRCULAR SUSEP No 249, de 20 de fevereiro de 2004.

COLANGELO FILHO, L. Implantação de Sistemas ERP – Um Enfoque de Longo Prazo. São

Paulo: Atlas, 2001.

CORRÊA, H. C.; GIANESI, I.; CAON, M. Planejamento, programação e controle da

produção: MRP II/ERP: conceitos, uso e implantação. São Paulo: Gianesi Corrêa &

Associados, Atlas, 1997.

DAVENPORT, T. H. Missão Crítica: Obtendo Vantagem Competitiva com os Sistemas de

Gestão Empresarial. São Paulo: Bookman, 2002.

DAVENPORT, T. H. Putting de enterprise into the enterprise system. Harvard Business

Review. p. 1221-1231, jul./ago. 1998.

DELOITTE CONSULTING. ERP's Second Wave: maximizing the value of ERP_Enabled

Processes. Relatório de pesquisa publicado pela Deloitte Consulting. Disponível em:

<http://www.dc.com/whathsnew/second.html>. Acesso em: 02 ago. 2003.

D´ANDRÉA, E. R. P. et al. Segurança em Banco Eletrônico. São Paulo:

Pricewaterhousecoopers, 2000.

ERNST & YOUNG. Sarbanes-Oxley Act: novos cenários e tendências corporativas. ago.

2003. Disponível em: <http://www.ey.com>. Acesso em: 16 dez. 2004.

ERNST & YOUNG. Artigos da Digital Insights publicados pela Ernst & Young. mai. 2005 e

out. 2005.

GITMAN, L. J. Princípios de Administração Financeira. São Paulo: Harbra, 1997.

GOUVÊA, M. A. Controles Internos na Prevenção à Lavagem de Dinheiro. Rio de Janeiro,

2003. 91 f. Dissertação de Mestrado Profissionalizante em Administração – Faculdades

IBMEC – Programa de Pós-Graduação e Pesquisa em Administração e Economia - RJ.

HUNTON, J. E; WRIGHT, A. M.; WRIGHT, S. Are Financial Auditors Overconfident in

Their Ability to Assess Risks Associated with Enterprise Resource Planning Systems?

American Accounting Association - Journal of Information Systems; Vol. 18, p 7, 22 p, 2004.

IDG, SAP Lidera Mercado Nacional de ERP. 2001. Disponível em:

<http://idgnow.terra.com.br/idgnow/>. Acesso em: 19 ago. 2003.

IT GOVERNANCE INSTITUTE, IT Control Objectives for Sarbanes-Oxley. Disponível em:

<http://www.itgi.org>. Acesso em: 09 jan. 2005.

LAINHART IV, J. W. COBIT: A Methodology for Managing and Controlling Information

and Information Technology Risks and Vulnerabilities. American Accounting Association -

Journal of Information Systems; Vol. 14, p 21, 5 p, 2000.

LIMA. A. D. A. et al. Implantação de pacote de gestão empresarial em médias empresas.

Artigo publicado pela KMPress. fev. 2000. Disponível em: <http://www.kmpress.com.br>,

Acesso em: 19 ago. 2003.

MATEO, J. G. Basiléia 2: as oportunidades com a gestão de riscos. Disponível em:

<http:// www.guiadetecnologia.com.br/artigos/0004.htm >. Acesso em: 05 jan. 2005.

MEDEIROS, A. C. M. Proposta de Estruturação do Suporte Operacional ao ERP na

Petrobras. Rio de Janeiro, 2003. 147 f. Dissertação de Mestrado Profissionalizante em

Administração - Faculdades IBMEC – Programa de Pós-Graduação e Pesquisa em

Administração e Economia - RJ.

MEIRELLES, F. S. 15

. Pesquisa Anual – Centro de Informática Aplicada da FGV-EAESP,

2004. Disponível em: <http://www.fgvsp.br/academico/estudos/cia/index_r_pesq.htm>.

Acesso em: 25 out. 2004.

MENDES, J. V.; ESCRIVÃO FILHO, E. Sistema Integrado de Gestão (ERP) em Empresas

de Médio Porte: um confronto entre o referencial teórico e a prática empresarial. Anais do

25º. Encontro da ANPAD. Campinas (SP): Setembro de 2001.

MILTELLO, K. Quem precisa de um ERP? Info Exame, p. 140, mar. 1999.

MUSAJI, Y. F. Auditing and Security: AS/400, NT, UNIX, Networks, and Disaster Recovery

Plans. 1. ed. New York: John Wiley & Sons, 2001.

MUSAJI, Y. F. Integrated Auditing of ERP Systems. New York: John Wiley & Sons; 2002.

NERY, F. Porque Proteger as Informações. Disponível em: <http://www.modulo.com.br>.

Acesso em: 21 jun. 2004.

O´LEARY, D. E. Enterprise Resource Planning Systems: Systems, Life Cycle, Electronic

Commerce, and Risk. New York: Cambridge University Press, 2000.

ORACLE. Estruturação do Oracle Applications 2002. Disponível em:

<http://www.oracle.com>. Acesso em: 25 fev. 2004.

PEIXOTO, R.C. Implicações da Lei Sarbanes-Oxley na Tecnologia da Informação.

Disponível em: <http://www.modulo.com.br>. Acesso em: 21 jun. 2004.

PELTIER, T. R. Information Security Risk Analysis. 1. ed. New York: Auerbach Pub, 2001.

SACCOL, A. Z.; MACADAR, M. A.; SOARES, R. O. Mudanças Organizacionais e

Sistemas ERP de SOUZA, C. A.; SACCOL, A. Z. Sistema ERP no Brasil (Enterprise Resource

Planning) – Teoria e Casos. São Paulo: Atlas, 2003.

SAP. 2003. Disponível em: <http://www.sap.com> e

<http://www50.sap.com/brazil/company/mat_impressos/plm.pdf>. Acesso em: 25 fev. 2004.

SOUSA, A. Congresso Nacional de Auditoria de Sistemas de Informação - CNASI, São

Paulo. 2002.

SOUZA, C. A.; ZWICKER, R. Ciclo de vida de sistemas ERP. Caderno de pesquisas em

administração, São Paulo. v. 1, n. 11, 1

trim., 2000.

SPECCHIO, S. R. A. Matriz de Riscos. São Paulo: IBCB, 1999.

STAMFORD, P. P. ERPs: prepare-se para esta mudança. Artigo publicado pela KMPress.

jun. 2000. Disponível em: <http://www.kmpress.com.br/00set 02.htm>. Acesso em: 01 ago.

2003.

STRAUB, D. W. Coping With Systems Risk: Security Planning Models for Management

Decision Making. MIS Quarterly. Vol. 22 Issue 4, p 441, 29 p, 4 diagrams, 1998.

SWARTZ, D.; ORGILL, K. Higher Education ERP: Lessons Learned. Washington, DC,

oct.2000. Disponível em: <http://www.gwu.edu/~cio/presentations/erp.html>. Acesso em: 10

ago. 2003.

TAURION, C. Oportunidades e riscos na escolha de uma solução ERP. Artigo publicado

pela gestão empresarial, edição n. 1, nov. 1998 – jan. 1999. Disponível em:

<www.uol.com.br/computerworld/computer world/280/gcapa3.htm>. Acesso em: 24 jul.

2003.

WRIGHT, S., WRIGHT, A. Information System Assurance for Enterprise Resource Planning

Systems: Unique Risk Considerations. American Accounting Association - Journal of

Information Systems; Vol. 16, p 99, 15 p, 2002.

WOOD JR., T. Modas e modismos gerenciais: o caso dos sistemas integrados de gestão.

Série de Relatórios de Pesquisa, NPP, Núcleo de Pesquisas e Publicações. Escola de

Administração de Empresas de São Paulo, FGV. Relatório n. 16/1999.

YIN, R.; GRASSI, D. Estudo de Caso: planejamento e métodos. 2. ed. Porto Alegre:

Bookman, 2001.

GLOSSÁRIO

AUDITORIA DE SISTEMAS / ERP – Atividade de monitoramento constante da qualidade e

funcionalidades dos sistemas de informação, garantindo respeito às normas estipuladas para a

companhia e às melhores práticas do mercado.

BUG DO MILÊNIO – Erros de programas de sistemas que poderiam ocorrer durante a

passagem do ano de 1999 para o ano 2000.

BUG DE PROGRAMAS – Erros de programas de sistemas que estão em processamento.

CRM – Customer Relationship Management – estratégias de negócio centradas nos clientes

que determinam o redesenho de processos de negócio usando tecnologia de informação.

ERP – Enterprise Resource Planning – Sistema Integrado de Gestão na língua portuguesa.

Tipo de sistema que têm a integração plena entre os processos de negócios da companhia.

GO LIVE – Momento de entrada em produção do sistema ERP. Precedido dos procedimentos

detalhados no plano de cut-over.

IP – Internet Protocol - Protocolo que permite o envio de dados de um computador para outro

através da Internet. Qualquer tipo de operação realizada via Internet é efetuada com base no

Endereço IP dos intervenientes, como por exemplo, o envio de uma mensagem de correio

eletrônico ou o acesso a um site.

MRP – Materials Requirements Planning – técnica para planejamento de suprimentos e de

fabricação que leva em conta as previsões de demanda, as dependências existentes entre os

componentes do produto e os estoques existentes.

MRP II – Manufacturing Resources Planning – extensão do MRP que além dos materiais,

planeja também recursos físicos (capacidade de equipamentos e mão-de-obra) e financeiros.

PERFIL DE ACESSO – Forma pela qual são estabelecidas as autorizações para acesso aos

módulos do sistema ERP. São inicialmente identificados, por processos de negócios, quais os

possíveis conjuntos de funções são criados os perfis de acesso. Posteriormente são levantados

os futuros usuários do sistema, e em função das atividades que estes desempenham, são

associados seus perfis de acesso.

PLANO DE CUT-OVER – Consiste no plano detalhado de quais passos serão dados para a

correta entrada em produção do sistema ERP. Devem ser detalhados todos os pontos, com

ênfase nos mais críticos, como migração de dados, chaves de usuários e perfis de acesso.

SEC - Securities and Exchange Commission – órgão regulamentador nos Estados Unidos.

SCM - Supply Chain Management – gerenciamento integrado de fluxos de materiais e

informações em uma rede de empresas que movem ou transformam produtos, desde a origem

das matérias primas até o consumidor final.

SISTEMA LEGADO – Sistema existente antes da existência do ERP. Dependendo da solução

adotada pela empresa, alguns sistemas legados podem ser mantidos em operação,

independentemente da existência de módulos equivalentes no ERP. Em muitos casos,

fornecem os dados básicos para alimentação dos cadastros básicos do ERP.

ANEXO

Questionário de pesquisa

Este questionário teve como objetivo coletar dados sobre as principais características da

empresa como parte da dissertação na área de Sistema de Informação em Administração e

Controle, desenvolvido pelo Programa de Mestrado Profissionalizante em Administração das

Faculdades IBMEC.

Todas as informações prestadas nesta entrevista foram consideradas estritamente

confidenciais. Com relação à análise das respostas, os resultados foram apresentados de forma

agregada de maneira a tornar impossível identificar respostas individuais.

O questionário foi organizado em 3 partes: a primeira parte buscou coletar dados das

características gerais do entrevistado e da empresa, a segunda parte verificou os aspectos do

projeto ERP e por fim, a terceira parte focou nos aspectos de controle e segurança no

ambiente ERP, como segue abaixo:

1. Dados demográficos do entrevistado e da empresa

2. Projeto ERP

− Aspectos relacionados a estratégia

− Aspectos relacionados a treinamento

− Aspectos relacionados a políticas internas e externas

− Aspectos relacionados a infra-estrutura

3. Aspectos de controle e segurança no ambiente ERP

100

Dados demográficos

1. Data da entrevista:

2. Nome do entrevistado:

3. Idade:

4. Qual a sua formação e histórico de cursos?

( ) ensino fundamental completo

( ) ensino médio completo

( ) ensino superior completo

( ) pós-graduação, incluindo mestrado e doutorado

5. Nome da empresa:

6. Qual a sua diretoria (operações, finanças, produção)?

7. Qual a sua posição na hierarquia funcional da organização (Direção / Gerência /

Supervisão / Operacional)?

8. Qual a sua função?

9. Quais são suas responsabilidades básicas?

10. Qual o tamanho de sua área?

11. Há quanto tempo está nessa posição na empresa?

12. Há quanto tempo na profissão?

13. Tempo total de experiência profissional?

101

Dados da empresa

14. Quantos funcionários a sua empresa tem aproximadamente?

15. A sua organização é:

− ( ) um órgão do governo municipal, estadual ou federal

− ( ) pública s/ fins lucrativos

− ( ) pública c/ fins lucrativos

− ( ) privada s/ fins lucrativos

− ( ) privada c/ fins lucrativos

16. Qual a atividade principal da sua empresa?

17. Quais os principais processos de negócios críticos ou essenciais da sua empresa?

18. Como você descreveria a cultura da sua empresa?

Projeto ERP

19. Comente sobre o projeto ERP da sua empresa.

20. Qual o ERP que foi implantado em sua empresa?

21. Quando começou o projeto (usar linha do tempo)?

22. Qual foi a data da implantação?

23. Quanto tempo levou a implantação do ERP na sua empresa?

24. Os prazos de implantação foram atendidos (porque)?

25. Qual foi a estratégia da implantação do ERP na empresa (big-bang, modular, por

processos de negócios)?

102

26. Você se envolveu na implantação do ERP na empresa?

27. Qual foi o seu papel na implantação do ERP?

28. Na sua opinião, a alta administração se comprometeu e se envolveu adequadamente na

implantação do ERP? Como?

29. Quais foram os módulos do ERP implantados na empresa?

30. Quais áreas, unidades de negócios e processos foram afetados com a implantação do

ERP?

31. Quantos usuários têm o sistema?

32. Qual foi a complexidade do projeto (prazo, orçamento, escopo)?

33. Os processos foram mapeados ou redesenhados?

34. Qual o nível de padronização e customização que houve no projeto (flexibilidade na

implantação)?

35. Quem foram os principais stakeholders do projeto?

36. Como foi organizado o projeto (quem participou nas equipes, papéis, liderança,

accountability)?

Aspectos relacionados a estratégia

37. O que motivou a implantação do ERP na empresa?

38. O que a empresa e a sua área esperaram do projeto?

39. Os benefícios foram atingidos?

40. Após a implantação, durante o uso continuado do ERP, o sistema vem atendendo as

necessidades de negócio? Como?

41. Quais os problemas e dificuldades percebidos após a implantação?

103

42. Como estão sendo solucionados?

Aspectos relacionados a treinamento

43. Na sua opinião, a sua área teve o treinamento adequado para a utilização do ERP?

44. Em quais módulos a sua área foi treinada?

45. Em geral, o sistema ERP é fácil de ser utilizado?

46. É fácil obter do sistema ERP aquilo que você necessita?

Aspectos relacionados a políticas internas e externas

47. A implantação do ERP foi impactada por alguma legislação (interna e externa)? Qual

legislação e qual foi o impacto?

Aspectos relacionados a infra-estrutura

48. Na sua opinião, a infra-estrutura de tecnologia está suportando adequadamente o sistema

de gestão? Como?

49. Na sua opinião, existe um plano de continuidade para o ambiente de tecnologia da

informação e para negócios?

Aspectos de controle e segurança

50. Na sua opinião, quais os riscos que a empresa correu com a implantação do ERP?

51. Como o aspecto de controle e segurança foi tratado no projeto? Em quais fases?

52. A empresa se preocupa com controles internos e com segurança ou existe na empresa

área de auditoria interna ou de segurança?

104

53. Após a implantação, ocorreu algum fato relacionado com a segurança ou controle do

ERP (ex: falta de segregação de função, cálculo incorreto, indisponibilidade, etc)?

54. Como os problemas de controle e segurança são tratados ou solucionados?

55. Na sua opinião, as informações são íntegras, seguras e disponíveis?

56. Na sua opinião, os perfis e restrições de acesso dos usuários estão adequadamente

definidos e como?

57. Na sua opinião, os processos estão adequadamente segregados e controlados? Porque?

58. A sua empresa já realizou algum trabalho de revisão de controle e segurança? Quando,

qual e como?

59. Caso positivo, porque? E caso negativo, porque?

60. Caso positivo, quais vantagens que você identificou após a realização do trabalho?

(marque todas as opções verdadeiras)

− ( ) Ambiente mais seguro com informações íntegras;

− ( ) Restrição de acesso de apenas pessoas autorizadas a transações críticas;

− ( ) Funções devidamente segregadas, minimizando o risco de fraudes;

− ( ) Maior garantia da integridade dos processos;

− ( ) Garantia de que a empresa está seguindo as políticas internas e externas;

− ( ) Garantia de que a empresa está praticando no ERP as melhores práticas de

controle e de segurança do mercado;

− ( ) Um dos fatores críticos de sucesso após a implantação;

− ( ) Outras.

61. Caso negativo, quais as dificuldades enfrentadas? (marque todas as opções verdadeiras)

− ( ) Falta de segurança no ambiente;

105

− ( ) Falta de controle no ambiente;

− ( ) Falta de segregação de funções no ambiente;

− ( ) Falta de garantia de que a empresa está seguindo as políticas internas e

externas;

− ( ) Usuários com poderes excessivos no ambiente;

− ( ) Oportunidade de melhoria no processo de manutenção de usuário e perfil de

acesso;

− ( ) Sub-utilização do ERP;

− ( ) Outras.

62. Na sua opinião, o ERP está sendo utilizado de forma ótima e todas as suas

funcionalidades estão sendo exploradas?

Livros Grátis
( http://www.livrosgratis.com.br )
 
Milhares de Livros para Download:
 
Baixar livros de Administração
Baixar livros de Agronomia
Baixar livros de Arquitetura
Baixar livros de Artes
Baixar livros de Astronomia
Baixar livros de Biologia Geral
Baixar livros de Ciência da Computação
Baixar livros de Ciência da Informação
Baixar livros de Ciência Política
Baixar livros de Ciências da Saúde
Baixar livros de Comunicação
Baixar livros do Conselho Nacional de Educação - CNE
Baixar livros de Defesa civil
Baixar livros de Direito
Baixar livros de Direitos humanos
Baixar livros de Economia
Baixar livros de Economia Doméstica
Baixar livros de Educação
Baixar livros de Educação - Trânsito
Baixar livros de Educação Física
Baixar livros de Engenharia Aeroespacial
Baixar livros de Farmácia
Baixar livros de Filosofia
Baixar livros de Física
Baixar livros de Geociências
Baixar livros de Geografia
Baixar livros de História
Baixar livros de Línguas

Baixar livros de Literatura
Baixar livros de Literatura de Cordel
Baixar livros de Literatura Infantil
Baixar livros de Matemática
Baixar livros de Medicina
Baixar livros de Medicina Veterinária
Baixar livros de Meio Ambiente
Baixar livros de Meteorologia
Baixar Monografias e TCC
Baixar livros Multidisciplinar
Baixar livros de Música
Baixar livros de Psicologia
Baixar livros de Química
Baixar livros de Saúde Coletiva
Baixar livros de Serviço Social
Baixar livros de Sociologia
Baixar livros de Teologia
Baixar livros de Trabalho
Baixar livros de Turismo
 
 