ads:
UNIVERSIDADE FEDERAL DA BAHIA
FACULDADE DE CIÊNCIAS CONTÁBEIS
PROGRAMA DE PÓS-GRADUAÇÃO EM CONTABILIDADE
MESTRADO EM CONTABILIDADE
FRANKLIN CARLOS CRUZ DA SILVA
A MATURIDADE DA GOVERNANÇA DE TECNOLOGIA DA
INFORMAÇÃO E O DESEMPENHO FINANCEIRO DAS EMPRESAS
SALVADOR
2009
ads:
Livros Grátis
http://www.livrosgratis.com.br
Milhares de livros grátis para download.
FRANKLIN CARLOS CRUZ DA SILVA
A MATURIDADE DA GOVERNANÇA DE TECNOLOGIA DA
INFORMAÇÃO E O DESEMPENHO FINANCEIRO DAS EMPRESAS
Dissertação apresentada à Faculdade de Ciências
Contábeis, da Universidade Federal da Bahia como
requisito para a obtenção do título de Mestre em
Contabilidade.
Área de concentração: Controladoria
Orientadora: Prof
a
. Dr
a
. Sônia Maria da Silva Gomes
SALVADOR
2009
ads:
Ficha catalográfica elaborada por Vânia Cristina Magalhães CRB5-960
Silva, Franklin Carlos Cruz da.
S581 A maturidade da governança de tecnologia da informação e o desempenho
financeiro das empresas. Franklin Carlos Cruz da Silva. – Salvador, 2009.
168 f.: il. tab. ; fig.; quad.
Orientadora: Prof
a
. Dr
a
. Sônia Maria da Silva Gomes
Dissertação (Mestrado em Contabilidade) – Universidade Federal da Bahia,
Faculdade de Ciências Contábeis, 2009.
1.Governança coorporativa. 2. Tecnologia da informação. I. Universidade Federal
da Bahia. Faculdade de Ciências Contábeis. II. Gomes, Sônia Maria da Silva. III.
Título.
CDD: 658.15
FRANKLIN CARLOS CRUZ DA SILVA
A MATURIDADE DA GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO E O
DESEMPENHO FINANCEIRO DAS EMPRESAS.
Dissertação apresentada à Faculdade de Ciências Contábeis, da Universidade Federal da Bahia
como requisito para a obtenção do título de Mestre em Contabilidade.
Aprovada em 05 dezembro de 2009.
Banca Examinadora
____________________________________________________
Prof
a
. Dr
a
. Sônia Maria da Silva Gomes
Faculdade de Ciências Contábeis – UFBA
(Orientadora)
__________________________________________________
Prof. Dr. Antonio Lopo Martinez
Fundação Instituto Capixaba de Pesq. em Contabilidade,
Economia e Finanças - FUCAPE
__________________________________________________
Prof. Dr. José Bernardo Cordeiro
Faculdade de Ciências Contábeis - UFBA
A Deus, meus pais (Roosevelt e Natalice),
esposa (Maria Valesca), e filhos (Paula e
Franklin Filho) pelo incentivo em minhas
conquistas.
AGRADECIMENTOS
Tenho muito a agradecer. Primeiramente, a Deus, sem ele, com certeza não teria sapiência e o
caminho para conduzir a minha jornada neste trabalho. Também, à minha família. Meus pais,
esposa, irmãos e filhos, pessoas que, de alguma forma, foram muito importantes. Agradeço
também à Professora Dra. Sônia que me deu apoio em todos os momentos.
Aos meus amigos e professores da Faculdade, pelo apoio nos diversos momentos de
aprendizagem.
À banca da defesa (Professores Dr. Bernardo e Dr. Lopo) que se colocou a disposição para
avaliar esta dissertação.
RESUMO
A tecnologia da informação (TI) tem provocado mudança no dia-a-dia das pessoas e mais ainda
no mundo empresarial. As organizações administram muitos ativos (pessoas, dinheiro,
instalações, relacionamento com clientes), todavia, a informação é pouco controlada, mesmo
considerando que os investimentos nesse tipo de ativo são cada vez mais crescentes,
principalmente porque a TI influencia o sistema de controle e gestão de risco organizacional. Por
isso, torna-se premente a necessidade de uma governança de TI eficaz que garanta a criação de
valor empresarial. Portanto, o objetivo desta pesquisa é investigar a existência de relação entre o
grau da maturidade da governança de TI e o desempenho financeiro de empresas. Assim, com
base na revisão de literatura, foram selecionados para o estudo dois processos de TI do
framework COBIT e a análise dos arquétipos decisórios relacionados a TI desenvolvidos
teoricamente por Weill e Ross (2006), com os quais foi confeccionado o questionário da
pesquisa. Assim, optou-se por métodos quantitativos: um baseado na percepção dos executivos
(survey) que foi utilizado para identificar qual o grau de maturidade da governança de TI em
relação aos processos de avaliação e gestão de riscos de tecnologia da informação e promoção da
governança de tecnologia da informação, além de procurar identificar como as respectivas
empresas tomam decisões em relação à TI; e o outro baseado em análises tradicionais, utilizando
diferentes indicadores contábeis para verificar se há relação entre a maturidade da governança de
TI e o desempenho financeiro das empresas. Desta forma, obteve-se uma amostra de 10 empresas
resultante do conjunto de empresas brasileiras de capital aberto cadastrado na Comissão de
Valores Mobiliários (CVM), em 30 de setembro de 2008. Com os resultados obtidos através do
questionário aplicado foi realizada uma análise descritiva e exploratória, indicando qual o grau de
maturidade em relação à avaliação e gestão de riscos de TI e à promoção de governança de TI. E
com as informações coletadas no banco de dados do Economática sobre liquidez e rentabilidade,
para assim caracterizar o desempenho financeiro das empresas, foi possível, desta maneira,
verificar parcialmente a existência de relação linear entre a governança de TI e este desempenho
financeiro. Para isto, foi utilizado o teste de aleatorização com base no coeficiente de correlação
por postos de Spearman, devido a não aleatoriedade da amostra, o seu tamanho reduzido e a
natureza das variáveis envolvidas (qualitativa e quantitativa). Verificou-se, desta forma, que o
desempenho financeiro, medido pelo giro do ativo e pela rentabilidade do ativo, é influenciado
positivamente pela maturidade da governança de TI.
Palavras-chave: Tecnologia da informação. Governança coorporativa. Desempenho financeiro.
ABSTRACT
Information technology (IT) has led to changes in day-to-day lives, even more in the business
world. Organizations manage many assets (people, money, facilities, customers relationships,
however the information is poorly controlled. Although investments in this kind of asset is
increasingly, mainly because IT influences the control system and organization risk management.
So it is necessary an IT governance that ensures the creation of business value. Therefore, the
objective of this research is to investigate the existence of a relationship between the degree of IT
governance maturity and financial performance of companies. Thus, based on literature review,
were selected for this study two IT processes from COBIT framework and analysis of archetypes
related to IT decision-making theory developed by Weill and Ross (2006), so was made the
survey questionnaire.Thus, it was chosen quantitative methods: the first was based on the
perception of executives (survey) that was used to identify the degree of IT governance maturity
in relation to information technology risk management and information technology governance
promoting, Moreover, it was used to identify how companies make IT decisions. The second was
based on traditional analysis, using different accounting indicators in order to discover if there is
relationship between the IT governance maturity and financial performance of companies. Thus,
it was obtained a sample of 10 companies among Brazilian companies registered in Comissão de
Valores Mobiliários (CVM), at September 30, 2008. The results obtained from the questionnaire
were used for a descriptive and exploratory analysis, showing the degree of maturity in relation to
IT assessment and risk management and IT governance promotion. With the information
collected in the database Economática relative to liquidity and profitability, in order to
characterize the financial performance of companies. So, it was possible partly verify the
existence of linear relationship between IT governance and the financial performance. For this,
we used the randomization test based on the Spearman correlation coefficient, because the
sample non-randomness, its small size and nature of involved variables (qualitative and
quantitative). It was found that the performance, as measured by asset turnover and return on
assets, is positively influenced by the IT governance maturity.
Key-words: IT governance. Financial performance.
LISTA DE QUADROS
Quadro 2.1 –
Framework de assimetria de informação
27
Quadro 2.2 –
Situações onde há uma relação do tipo principal e agente
30
Quadro 2.3 –
Relação principal e agente e a tecnologia da informação
30
Quadro 2.4 –
Estrutura de formação do ambiente da governança corporativa e de TI
31
Quadro 2.5 –
TI como provedora de serviços ou como parceira estratégica
37
Quadro 2.6 –
Definições de governança de TI
41
Quadro 2.7 –
Modelo de maturidade de governança de TI do ITGI
47
Quadro 2.8 –
Domínio dos processos do modelo COBIT
50
Quadro 2.9 –
Processos selecionados no modelo COBIT e referenciais
teórico-empíricos
51
Quadro 2.10 –
Assertivas do processo de avaliação e gestão de riscos de TI
53
Quadro 2.11 –
Assertivas do processo de gestão de projetos
54
Quadro 2.12 –
Assertivas do processo de gestão de recursos humanos de TI
55
Quadro 2.13 –
Assertivas do processo de continuidade de serviço
56
Quadro 2.14 –
Assertivas do processo de segurança de sistemas de TI
57
Quadro 2.15 –
Assertivas do processo de gestão de dados
59
Quadro 2.16 –
Assertivas do processo de avaliação e monitoramento de controles
Internos
60
Quadro 2.17 –
Assertivas do processo de promoção da governança de TI
61
Quadro 2.18 –
Evolução do gerenciamento de risco
66
Quadro 2.19 –
Principais decisões sobre a governança de TI
78
Quadro 2.20 –
Arquétipos da governança de TI
79
Quadro 2.21 –
Arquétipos da governança de TI
89
Quadro 2.22 –
Matriz de arranjos de governança – quais arquétipos de governança
são usados por diferentes tipos de decisão?
90
Quadro 2.23 –
Resumo dos tipos de decisão de TI
90
Quadro 3.24 –
Resumo dos arquétipos de governança de TI
97
Quadro 4.25 –
Arquétipos decisórios das empresas
134
Quadro 5.26 –
Arquétipos de decisão de TI nas empresas
141
LISTA DE DESENHOS
Desenho 2.1 – A nova infra- Estrutura 36
Desenho 2.2 –
Princípios básicos do COBIT
46
Desenho 2.3 –
Resumo do modelo do COBIT de maturidade
47
Desenho 2.4 –
Alinhamento, criação de valor, gerenciamento de risco, gestão de
desempenho
69
LISTA DE GRÁFICOS
Gráfico 4.1 – Decisões das empresas do grupo 1 em relação à princípios de TI 127
Gráfico 4.2 –
Decisões das empresas do grupo 2 em relação à princípios de TI
127
Gráfico 4.3 –
Decisões das empresas do grupo 1 em relação à arquitetura de TI
128
Gráfico 4.4 –
Decisões das empresas do grupo 2 em relação à arquitetura de TI
129
Gráfico 4.5 – Decisões das empresas do grupo 1 em relação às estratégias de infra-
estrutura de TI
130
Gráfico 4.6 – Decisões das empresas do grupo 2 em relação às estratégias de infra-
estrutura de TI
130
Gráfico 4.7 – Decisões das empresas do grupo 1 em relação às necessidades de TI
em aplicações de negócios
131
Gráfico 4.8 – Decisões das empresas do grupo 2 em relação às necessidades de TI
em aplicações de negócios
132
Gráfico 4.9 –
Decisões das empresas do grupo 1 em relação a investimentos em TI
133
Gráfico 4.10 –
Decisões das empresas do grupo 2 em relação a investimentos em TI
133
LISTA DE TABELAS
Tabela 4.1 –
Indicadores de desempenho financeiro das empresas
110
Tabela 4.2 –
Maturidade da governança de TI referente processo de avaliação
e gestão de riscos de TI
111
Tabela 4.3 –
Maturidade da governança de TI referente avaliação e gestão
de riscos de TI do grupo 1
113
Tabela 4.4 –
Maturidade da governança de TI referente avaliação e gestão
de riscos de TI do grupo 2
113
Tabela 4.5 –
Maturidade da governança de TI referente ao processo de promoção
de governança de TI
114
Tabela 4.6 –
Maturidade da governança de TI referente promoção da governança
de TI do grupo 1
115
Tabela 4.7 –
Maturidade da governança de TI referente promoção da governança
de TI do grupo 2
116
Tabela 4.8 –
Maturidade da governança de TI das empresas
117
Tabela 4.9 –
Grau de maturidade da governança das empresas nos processos de
avaliação e gestão de TI e promoção da governança de TI
118
Tabela 4.10 –
Posição das empresas no mercado brasileiro
118
Tabela 4.11 –
Quantificação unitária das respostas sobre processo de avaliação
e gestão de riscos de TI
119
Tabela 4.12 –
Quantificação percentual das respostas sobre processo de avaliação
e gestão de riscos de TI
119
Tabela 4.13 –
Quantificação unitária das respostas sobre o processo de promoção
da governança de TI
120
Tabela 4.14 –
Quantificação percentual das respostas sobre processo de promoção
da governança de TI
120
Tabela 4.15 –
Valor do coeficiente de correlação por postos de Spearman e o
respectivo
pvalor
−
, entre parêntesis, para as correlações entre as
variáveis do grupo 1
123
Tabela 4.16 –
Valor do coeficiente de correlação por postos de
Spearman
e o 123
respectivo
pvalor
−
, entre parêntesis, para as correlações entre as
variáveis do grupo 1, continuação da Tabela 4.15
Tabela 4.17 –
Valor do coeficiente de correlação por postos de Spearman e o
respectivo
pvalor
−
, entre parêntesis, para as correlações entre as
variáveis do grupo 2
124
Tabela 4.18 –
Valor do coeficiente de correlação por postos de Spearman e o
respectivo
pvalor
−
, entre parêntesis, para as correlações entre as
variáveis do grupo 2, continuação da tabela 4.17
125
SUMÁRIO
1 INTRODUÇÃO
13
1.1 EXPOSIÇÃO DO TEMA 13
1.2 CARACTERIZAÇÃO DO PROBLEMA DE PESQUISA 15
1.3 OBJETIVOS DA PESQUISA 17
1.4 HIPÓTERES DA PESQUISA 18
1.5 JUSTIFICATIVAS 18
1.6 DELIMITAÇÕES DA PESQUISA 21
1.7 ESTRUTURA DA PESQUISA 22
2
FUNDAMENTAÇÃO TEÓRICA
24
2.1
TEORIA DA AGÊNCIA E A GOVERNANÇA DE TI
24
2.2
GOVERNANÇA DE TI
32
2.2.1
Maturidade da governança de TI
44
2.2.2
Gerenciamento de riscos e a TI
63
2.2.3
Promoção de governança de TI
73
2.2.4
Arranjos de governança de TI
77
3
METODOLOGIA DA PESQUISA
91
3.1
CARACTERIZAÇÃO DA PESQUISA
91
3.2
POPULAÇÃO E AMOSTRA
92
3.3
INSTRUMENTOS DE COLETA E TRATAMETO DE DADOS
95
3.4
DESEMPENHO FINANCEIRO
101
4
APRESENTAÇÃO E ANÁLISE DE RESULTADO
109
5
CONCLUSÃO E RECOMENDAÇÕES
136
REFERÊNCIAS
144
APÊNDICES
159
13
1 INTRODUÇÃO
1.1 EXPOSIÇÃO DO TEMA
A discussão sobre adoção de práticas de governança em Tecnologia da Informação (TI), como
meio de gerenciar os riscos de investimentos TI, em razão do aumento muito rápido desse ativo,
devido a exigências de informações transparentes e confiáveis, começou logo após a
regulamentação do mercado de capitais com a publicação da Lei Sarbanes–Oxley. Assim, em um
cenário de mercado turbulento e desconfiado quanto à fidedignidade das informações contábeis,
os caminhos para a recuperação da confiança são o aumento da regulamentação e exigência de
práticas de governança corporativa. Conseqüentemente, ocorre um aumento de investimentos em
TI, pois, dificilmente uma empresa, na atualidade, consegue gerenciar suas finanças, sem o uso
de sistemas de informação. Além disso, eventuais falhas em TI acabam tendo impacto direto nas
demonstrações contábeis.
Muitas empresas despertaram para a necessidade de manter uma gestão eficiente de segurança
das informações, impulsionadas pelo crescimento da regulamentação, tais como a Lei Sarbanes-
Oxley, cujo principal objetivo é garantir a transparência no fornecimento das informações
financeiras, e a Norma Basiléia II, que estabelece diversas orientações voltadas para o
gerenciamento de risco e o aumento do controle sobre os processos (CHAMPLIAN, 2003;
HUNTON et al, 2004). Como resposta a esse novo contexto, as organizações passaram a adotar
diversos modelos de governança de TI, a exemplo de Cobit, ITIL, PMI, BS 7799, Six-sigma,
entre outros.
A tecnologia de informação (TI) tem provocado mudanças no dia-a-dia das pessoas e, mais ainda,
no mundo empresarial. As organizações administram muitos ativos (pessoas, dinheiro,
instalações, relacionamento com clientes), todavia, a informação é pouco controlada, mesmo
considerando que os investimentos nesse tipo de ativo são cada vez mais crescentes,
principalmente porque a TI influencia o sistema de controle e gestão de risco organizacional
14
(HUNTON et al, 2004). Por isso, torna-se premente a necessidade de uma governança de TI
eficaz que garanta a criação de valor empresarial.
Para que se tenha uma idéia atual da dimensão do movimento em torno da tecnologia da
informação, podem-se utilizar as estatísticas publicadas pela Forrester Research e a IDC, duas
grandes empresas de análise de mercado. Dessa forma, a Forrester Research revela que, mesmo
com a crise, os investimentos globais em TI devem recuperar o crescimento e somar US$ 1,81
trilhões em 2010, aumento de 9% na comparação com o ano de 2008. Já a IDC informou que o
Brasil fecharia o ano de 2009 com investimentos em TI em torno de US$ 30 bilhões.
Atualmente muito se fala sobre maturidade da governança de TI, estilo decisório em relação a TI
e o desempenho financeiro de uma organização. Acredita-se que uma empresa que tenha um
nível de maturidade mais avançado apresente um desempenho financeiro melhor. Nesse sentido,
a contabilidade, através de seus indicadores, pode apresentar uma resposta nessa direção, aliando
seus construtos teóricos às técnicas de se avaliar a maturidade da governança de TI.
Sabe-se que atualmente é crescente o investimento em TI pelas empresas brasileiras. Um estudo
realizado pela Via Fórum, durante o Security Week 2005, revelou que o mercado de segurança da
informação movimentou, no Brasil, cerca de US$ 300 milhões em 2004. As pesquisas realizadas
por Weill e Ross (2006) identificaram que os lucros aumentam significativamente quando as
decisões de investimentos em TI são adequadas. Portanto, considera-se de fundamental
importância o desenvolvimento de pesquisas nesse cenário, pois é essencial conhecer a realidade
brasileira sobre as questões que envolvem a governança de TI. Weill e Ross (2005) afirmam que
a governança de TI é importante, principalmente, em economias emergentes, tendo em vista que
as melhores práticas em TI têm contribuído para que as empresas obtenham vantagens
competitivas.
Mesmo com todos esses investimentos em TI é necessário que a empresa desenvolva a prática de
governança de TI para se obter vantagem competitiva. Além do mais, diversos autores e o senso
comum dizem que o nível de maturidade da governança de TI pode ter impacto no desempenho
financeiro das empresas. No contexto econômico atual, a gestão de TI tornou-se um ingrediente
15
essencial para a competitividade empresarial. Por isso mesmo, justifica-se a realização desta
pesquisa, pois é fundamental conhecer a realidade brasileira sobre as questões que envolvem a
governança de TI.
1.2 CARACTERIZAÇÃO DO PROBLEMA DE PESQUISA
Para muitas organizações são feitos diversos investimentos significantes em Tecnologia da
Informação (TI). O U.S. Dept of Commerce (Departamento Comercial dos Estados Unidos) relata
que grandes organizações estão dedicando mais da metade de suas despesas de capital em TI. A
questão de lidar com todos os investimentos da organização e os riscos é o domínio da
governança corporativa. (HILMER, 1993). Esse é o nome usado por uma vasta gama da literatura
sobre a alta administração das empresas (por exemplo, CADBURY, 1992; DEMB; NEUBAUER,
1992; TRICKER, 1997). Embora não haja somente uma definição aceita de governança
corporativa, Tricker (1984) observou que: "O interesse sobre o papel da governança não é com
execução do negócio em si, mas em dá orientação geral para a empresa…".
A Tecnologia da Informação insere-se na temática de governança pelo crescimento de sua
importância no mundo corporativo e, nesse contexto, busca-se cada vez mais alcançar a definição
da governança como o conjunto de mecanismos internos e externos que visam harmonizar a
relação entre gestores e acionistas, dada a separação entre controle e propriedade. Até porque, os
processos produtivos, o comércio e as decisões vêm se utilizando da TI para condução dos
negócios das empresas.
Segundo Silveira (2002), o senso comum indica que empresas com uma estrutura de governança
corporativa mais adequada às práticas recomendadas pelos agentes de mercado obtém melhores
resultados e, também, são mais bem avaliadas pelo mercado, no preço das suas ações, do que
empresas com uma estrutura de governança não tão adequada. Atualmente, têm-se pesquisas que
oferecem contribuições para analisar a relação entre a governança de TI e o desempenho
financeiro. Um bom exemplo é o estudo de Lunardi (2008) que verifica se a governança de TI
16
afeta o desempenho organizacional, investigando também qual a percepção dos executivos de TI
quanto ao impacto dos mecanismos de governança de TI na gestão da TI. Para tal, foram
realizados um estudo de eventos e uma pesquisa survey. Assim, o estudo de eventos teve a
incumbência de verificar se empresas que haviam adotado mecanismos formais de governança de
TI melhoraram seu desempenho financeiro, examinando mudanças na performance antes e após a
adoção, controlando as mudanças no desempenho através da média do setor. Já a pesquisa survey,
realizada junto a executivos de TI de empresas nacionais, verificou as relações existentes entre os
diferentes mecanismos de governança de TI, o desempenho (percebido) da gestão da TI (avaliado
pelos constructos alinhamento estratégico, valor da TI, gerenciamento de risco, gerenciamento de
recursos, medidas de performance e accountability) e a utilização da TI pela organização. Os
resultados permitiram concluir que as empresas com governança de TI melhoraram
sensivelmente seu desempenho organizacional, quando comparadas às demais empresas,
especialmente no que se refere às medidas de rentabilidade (como ROA, ROE e Margem
Líquida).
Outra pesquisa interessante é a de Rosa (2008) que buscou explorar e descrever as relações entre
maturidade em processos de governança de tecnologia da informação, características de
organizações de alta confiabilidade e gestão de riscos operacionais em instituições financeiras. A
pesquisa empírica utilizou a estratégia de estudo de caso, tendo como unidade de análise o
processo de redesconto bancário conduzido na Diretoria de Política Monetária do Banco Central
do Brasil. As conclusões evidenciaram a participação dos processos do modelo COBIT para
governança de TI na mitigação de riscos operacionais e a importância de sua gestão por níveis de
maturidade para a capacitação contínua e a institucionalização desses processos de governança de
tecnologia da informação.
Não obstante a validade dessas pesquisas, ainda existem pontos que continuam instigando os
estudiosos em relação à governança de TI. Dentre as questões para investigação estão, por
exemplo, a verificação da influência da maturidade da governança de TI e do processo decisório
da TI em relação ao desempenho financeiro da empresa, este último, revelado por indicadores
contábeis. Diante dessa contextualização e com base no quadro teórico subjacente, esta
investigação foi conduzida pelo seguinte problema de pesquisa:
17
Existe relação entre o grau de maturidade da governança de TI e o desempenho financeiro das
empresas com fins lucrativos?
Diante do exposto, esta pesquisa procura esmiuçar a questão da maturidade da governança de TI,
procurando investigar o arranjo do processo decisório de TI, o grau de maturidade da governança
de TI em relação aos aspetos de avaliação e gestão de riscos de tecnologia da informação e
promoção da governança de tecnologia da informação. Dessa forma, relacionar esses aspectos
com o desempenho financeiro da empresas, através da análise de indicadores contábeis.
1.3 OBJETIVOS DA PESQUISA
Objetivo Geral
Esta pesquisa tem por objetivo verificar se existe relação entre o grau de maturidade da
governança de TI e o desempenho financeiro das empresas brasileiras com fins lucrativos.
Como objetivos específicos, têm-se:
Objetivos Específicos
• Discutir sobre os fundamentos e os modelos de governança de TI;
• Identificar o grau de maturidade do
processo de avaliação e gestão de riscos de
tecnologia da informação;
• Verificar o grau de maturidade da promoção da governança de tecnologia da
informação;
18
• Levantar como as empresas tomam decisão sobre princípios, arquitetura,
estratégias de infra-estrutura, necessidades em aplicações de negócios e investimentos em
Tecnologia da Informação.
1.4 HIPÓTERES DA PESQUISA
No sentindo de atingir o objetivo desta pesquisa, as seguintes hipóteses básicas foram
desenvolvidas para o trabalho:
H1: existe uma relação entre o grau de maturidade da governança de TI e o desempenho
financeiro das empresas com fins lucrativos.
H2: existe uma relação entre o grau de maturidade da governança no processo de avaliação e
gestão de riscos de TI e o grau de maturidade da governança no processo de promoção da
governança de TI.
1.5 JUSTIFICATIVAS
A Tecnologia da Informação, frequentemente, implica grandes investimentos de capital em
organizações. Enquanto isso, companhias confrontam-se com vários acionistas que estão a exigir
a criação de valor empresarial através desses investimentos. No período de 1999 a 2003, Weill e
Ross (2006) realizaram estudos sobre esse fato, em mais de trezentas empresas de vinte países
diferentes, sendo que a maior parte das investigações foi desenvolvida, através do Center for
Information System Research (CISR) da Sloan of Managemente (MIT), nos Estados Unidos da
América (EUA). As pesquisas realizadas pelos estudiosos citados acima identificaram que os
lucros aumentam significativamente quando as decisões de investimentos em TI são adequadas.
19
Guldentops e outros (2002) e Gerke e Ridley (2006) realizaram estudos que apontam para o
potencial de utilização do modelo COBIT para governança de tecnologia da informação (TI). A
validação desse modelo no cenário brasileiro e a investigação da importância de seus processos
para a maturidade da governança de TI são contribuições para as pesquisas nessa área de
conhecimento.
As pesquisas realizadas sobre o tema ainda não deram conta de responder as questões
relacionadas aos modelos de mensuração da maturidade da governança de TI e sua eficácia para o
desempenho organizacional das empresas brasileiras, nos moldes das pesquisas realizadas por
Weill e Ross (2005) nos Estados Unidos, por exemplo. Isso porque, esse processo envolve um
caminho longo de análises, através do desenvolvimento de pesquisas, a fim de se refinar ao
máximo um modelo ideal para responder se a maturidade da governança de TI influencia
efetivamente o desempenho financeiro.
Desse modo, é fundamental verificar o nível de maturidade da governança de TI que as empresas
brasileiras estão utilizando e analisar se existe relação com o desempenho financeiro das mesmas.
Também há outras questões que necessitam de respostas, tais como:
1. Qual o perfil decisório em relação a TI das empresas com melhor desempenho financeiro?
2. Qual a maturidade de governança de TI das empresas com melhor desempenho
financeiro?
3. Os aspectos de maturidade da governança de TI em relação aos aspectos de avaliação e
gestão de riscos de tecnologia da informação influenciam os aspectos de maturidade da
promoção da governança de tecnologia da informação e vice e versa?
4. Qual o perfil decisório de TI das empresas em relação aos aspectos de maturidade da
promoção da governança de tecnologia da informação? Qual o perfil decisório de TI das
empresas em relação aos aspectos de avaliação e gestão de riscos de tecnologia da
informação?
20
A busca pela relação entre governança de TI, governança corporativa e o valor e desempenho das
empresas pode ser considerada uma área de pesquisa madura no exterior, tendo em vista o
crescimento exponencial do número de estudos sobre o tema nos últimos anos. No Brasil, no
entanto, esse assunto é pouco discutido, mais ainda em relação à área de contabilidade.
A prova do fato acima citado é que, nos Anais do Congresso de Controladoria e Contabilidade da
USP, do 4° ao 7° congresso, através do sistema de busca com as palavras tecnologia e
governança de TI, o item governança de TI não foi encontrado nos artigos selecionados naqueles
congressos. Assim, utilizou-se do termo governança, mas os artigos encontrados não se referiam
à governança de TI. Já os itens Tecnologia da Informação foram encontrados no 5° e 6°
congressos, porém, não se referiam à governança de TI. A pesquisa, também, foi realizada no
banco de dissertações e teses da USP, para o termo governança de TI e não se encontrou (até
02/05/2008) teses e dissertações que explorassem o tema de governança de TI.
Percebe-se que, no Brasil, ainda são incipientes as investigações sobre esse tema, principalmente
no que tange identificar os níveis de maturidade da governança de TI nas empresas e qual a sua
relação com o desempenho organizacional.
Com a sofisticação dos mercados de capitais no Brasil e o crescimento da tecnologia da
informação nas empresas, a governança de TI passa a ganhar mais destaque no mundo
corporativo e, por conta disso, não pode deixar de fazer parte da agenda de pesquisas nos centros
acadêmicos do Brasil. Carlsson (2001) chega a sugerir que, se o século XIX foi a era dos
empreendedores e o século XX foi a era do gerenciamento, o século XXI será a era da
governança corporativa, definida por ele como a forma pela qual o poder será exercido em todas
as corporações do mundo. Nessa linha de raciocínio, com a tecnologia da informação em
crescente movimento nas empresas para agregar valor competitivo, não se pode deixar de notar a
importância da governança de TI.
O movimento em torno da governança de TI se justifica pela hipótese de que o assunto é
importante para o desempenho e, consequentemente, o valor das empresas, justificando-se a
contribuição para o tema dentro do campo da condução dos negócios e pelo papel importante que
21
a contabilidade representa nesse intuito. O estudo da governança, no mundo onde a tecnologia da
informação interage como fator decisivo de competitividade e impacta significativamente a
economia, é imprescindível para estimular mudanças institucionais profundas em lugares onde
elas precisam ser feitas. O entendimento e a adoção de melhores práticas de governança de TI
pelas empresas brasileiras poderiam, caso confirmada a hipótese de suas importâncias, serem
úteis para ajudá-las a se tornarem mais eficientes e para desenvolverem o mercado de capitais
nacional.
Em síntese, a pesquisa a ser desenvolvida, ora apresentada, pode adicionalmente ser justificada,
entre as razões mencionadas, por adicionar novos elementos empíricos e teóricos à área de estudo
de Contabilidade de Gestão e Financeira.
1.6 DELIMITAÇÕES DA PESQUISA
A necessidade de delimitar o campo de investigação desta pesquisa é para que as descrições e
interpretações dos seus resultados se dêem dentro dos seus limites de abrangência, além de ser
importante para a confiabilidade dos dados. Dentro desse contexto, optou-se pela coleta de dados
apenas das companhias abertas com ações negociadas na Bolsa de Valores de São Paulo
(BOVESPA). Como a pesquisa é composta por dados primários e secundários, os dados
primários serão levantados através da aplicação de questionários e os dados secundários foram
obtidos por meio dos demonstrativos financeiros disponibilizados no banco de dados do
Economática em 2008.
A amostra de dados analisada é composta por empresas brasileiras de capital aberto das
organizações atuantes na data base de 30 de setembro de 2008. Assim, a análise da maturidade da
governança de TI e desempenho financeiro foram restringidos às empresas com publicação de
demonstrações financeiras nessa data-base. Dessa forma, do total das empresas que compõem a
população-alvo da pesquisa, formam excluídas empresas falidas, empresas em liquidação
extrajudicial, empresas paralisadas e empresas em concordata, chegando-se, então, ao número de
empresas que compuseram a população da pesquisa.
22
A amostra obtida na presente pesquisa é, portanto, caracterizada como não-probabilística, já que
a seleção dos elementos da população para compor a amostra dependeu, ao menos em parte, do
julgamento do pesquisador. Nesse caso, os resultados encontrados não foram projetados para a
população total, como, certamente, poderia ocorrer se a amostra fosse probabilística e tivesse
havido a resposta significativa dos questionários. Uma razão para o uso de amostragem não-
probabilística deve-se ao fato de a população não ser disponível ou ser impossível a sua coleta,
para ser sorteada. Outra razão é que, apesar da amostragem probabilística ser tecnicamente
superior na teoria, problemas podem ocorrer em sua aplicação na prática, o que enfraquece essa
superioridade. Um bom exemplo disso é a presente pesquisa que depende da aplicação de
questionários para coleta de informações sobre os modelos de governança de TI nas empresas e,
consequentemente, da respostas das empresas para formação da amostra.
1.7 ESTRUTURA DA PESQUISA
A dissertação está estruturada em cinco capítulos. O primeiro capítulo (Introdução) expõe o tema,
apresentando uma breve introdução a ele, caracteriza o problema de pesquisa investigado, os
objetivos do trabalho, as hipóteses desenvolvidas, a justificativa da pesquisa e suas delimitações.
No capítulo 2 (Fundamentação Teórica), apresenta-se o sustentáculo da exigência de uma
governança de TI, o levantamento dos ingredientes teóricos que formam a governança de TI
(governança corporativa e a tecnologia da informação), suas definições, seus mecanismos de
mensuração do grau de maturidade, a importância do gerenciamento de riscos de TI e da
promoção da governança de TI, bem como os indicadores utilizados para se avaliar o
desempenho financeiro, a fim de relacioná-los com o grau de maturidade da governança de TI.
No capítulo 3 (Metodologia), descrevem-se os passos metodológicos seguidos na realização deste
estudo, destacando-se o tipo de pesquisa e as técnicas e métodos utilizados.
23
No capítulo 4 (Resultados) são apresentados os resultados obtidos e suas respectivas análises,
destacando-se o perfil das empresas analisadas, o processo de refinamento e validação do
instrumento para avaliar as diferentes áreas-foco da maturidade da governança de TI e a
verificação das hipóteses propostas.
No capítulo 5 (Conclusão e Recomendações), finalmente, são apresentadas as conclusões, suas
principais limitações e recomendações para pesquisas futuras.
24
2 FUNDAMENTAÇÃO TEÓRICA
2.1 TEORIA DA AGÊNCIA E A GOVERNANÇA DE TI
Até a publicação do artigo de Ronald Coase (1937), A Natureza da Firma (Nature of the Firm), a
teoria econômica tratava apenas dos custos de produção, apesar do reconhecimento dos custos de
transação, ainda que de forma irrelevante. A empresa era vista como função da produção, a saber:
Insumo x1, x2...., Produção Y1 (produto), Y2.
Coase (1937) estabelece, portanto, o questionamento a cerca do que leva diferentes etapas do
processo produtivo a serem integradas verticalmente dentro de uma empresa, buscando uma
definição de empresa que corresponda a aquilo que ela é no mundo real. Ou seja, por que existem
empresas? Por que existem organizações dirigindo o processo produtivo em que relações
hierárquicas, definidas pela subordinação dos empregados à direção da empresa, determinam
como se deve organizar a produção?
O grande insight de Coase (1937) foi proclamar que a razão das empresas existirem é que, às
vezes, o custo de gerenciar transações econômicas por meio de mercados é maior que gerenciar
as transações econômicas dentro dos limites de uma organização. O custo de usar o sistema de
preços envolve atividades tais como: descoberta de quais são os preços, a negociação e
renegociação de contratos, a fiscalização e a resolução de conflitos. A mais duradoura
contribuição do artigo foi colocar os custos de transação no centro da questão da existência das
firmas e sugerir que mercados e organizações são alternativas para gerenciar transações.
Surge, assim, nos estudos das organizações, um novo conceito econômico denominado de Nova
Economia Institucional (NEI). Ao contrário da economia neoclássica, que considera a firma
como uma função de produção, privilegiando as relações entre insumos, tecnologia e bens
produzidos, esse novo conceito, sem abandonar o anterior, considera os custos de produção e os
custos de transação (custos de funcionamento de mercado).
25
Os custos de transação são os custos que os agentes enfrentam toda vez que recorrem ao
mercado. De uma maneira formal, custos de transação (QUADRO 2.1) são os custos de negociar,
redigir e garantir o cumprimento de um contrato. Mas por que os contratos envolvem custos? Na
hipótese de simetria de informação, os custos para elaborar e implementar contratos são
desprezíveis. A teoria dos custos de transação, por sua vez, suspende a hipótese de simetria de
informação e elabora um conjunto de fatores determinantes que tornam os custos de transação
significativos, tais como: racionalidade limitada, complexidade e incerteza, oportunismo e
especificidade de ativos (QUADRO 2.1).
Dentre os fatores mencionados, destaca-se no presente momento o oportunismo nas relações
corporativas. Dessa forma, a racionalidade limitada, ambiente complexo e incerteza criam as
condições adequadas para os agentes adotarem iniciativas oportunistas. Por oportunismo entende-
se a transmissão de informação seletiva, distorcida e promessas “auto-desacreditadas” sobre o
comportamento futuro do próprio agente, isto é, o agente em questão estabelece compromissos
que ele mesmo sabe, a priori, que não irá cumprir. Como não se pode distinguir a sinceridade do
agente antecipadamente (ex-ante), há problemas na execução e renovação do contrato. O
oportunismo (QUADRO 2.1) na teoria dos custos de transação (TCT) está essencialmente
associado à manipulação de assimetrias de informação (QUADRO 2.1), visando à apropriação de
fluxo de lucros.
A literatura econômica reconhece duas formas de oportunismo: oportunismo ex-ante, isto é, antes
da transação ocorrer, e oportunismo ex-post, ou seja, depois de realizada a transação. Um
exemplo de oportunismo ex-ante se caracteriza quando uma empresa fornece um produto cujas
especificações ela já sabe, de antemão, que não possui a capacidade de cumprir (Seleção
Adversa). Já um exemplo do oportunismo ex-post, que se relaciona ao problema na execução de
uma transação contratada, é quando uma empresa fornecedora de insumo a um preço fixo reduz a
qualidade para reduzir seus custos (risco moral - QUADRO 2.1).
Nesse contexto, parte-se para a idéia de empresa como um nexo de contratos (QUADRO 2.1)
cujas inovações que permitiram esse movimento foram: a redefinição conceitual da empresa em
termos contratuais, o relaxamento da hipótese de perfeita informação e a admissão do fato de que
26
os agentes estão propensos ao oportunismo pós-contratual. Dessa forma, essa abordagem da
organização tem como marco inicial a publicação de Alchian e Demsetz (1972). Os autores dessa
abordagem definem a empresa como uma ficção legal que serve como “nexo” para um conjunto
de relações contratuais entre os indivíduos. Em outras palavras, a empresa é nada mais do que
uma rede de contratos entre proprietários dos recursos produtivos.
Ao entender toda essa acepção, pode-se perceber o seguinte aspecto: se a informação não é um
bem livre, os contratos jamais poderão incluir termos para solucionar conflitos entre as partes e
empreender ajustes na distribuição de custo e benefício para todas as eventualidades previstas.
Além disso, caso uma das partes suspeite do não-cumprimento de algum compromisso pela outra
parte do contrato, a comprovação de que isso está efetivamente ocorrendo e o uso de
salvaguardas legais para corrigir o problema exigem o comprometimento de recursos adicionais
para esse fim. Surge aí a possibilidade do risco moral (moral harzard), como se pode ver num
trecho mais acima, uma conduta oportunista pela qual uma das partes de um contrato muda sua
conduta após o mesmo ter sido pactuado, aproveitando-se do fato de que só ele tem acesso a
algumas informações para obter ganhos em detrimento de um ou mais agentes com os quais a
relação contratual foi estabelecida.
Dessa forma, considerando uma abordagem da vertente da empresa como nexo de contratos, a
eficiência dos contratos é analisada a partir dos conceitos de relação de agência e custo de
agência. Uma relação de agência (QUADRO 2.1) ocorre sempre que exista um contrato, formal
ou informal, pelo qual o indivíduo ou grupo de indivíduos – o principal – contrata um ou mais
indivíduos – o(s) agente(s) (s) – para desempenhar alguma atividade de seu interesse, delegando
aos contratados algum poder de decidir de que maneira a atividade será executada. O problema
básico de qualquer relação de agência é que, se o comportamento dos indivíduos envolvidos é
pautado pela busca de interesse próprio, o principal poderá encontrar dificuldades em induzir o
agente a se comportar de maneira a maximizar o ganho do principal – o agente pode preferir
executar as atividades para as quais foi contratado de uma forma que incremente o seu ganho em
detrimento do ganho do principal. Parte-se da idéia, segundo Dias Filho e Machado (2004), de
que os indivíduos agem basicamente em função de interesses pessoais, procurando maximizar o
seu bem-estar.
27
FRAMEWORK: ASSIMETRIA DE INFORMAÇÃO
- Racionalidade limitada, complexidade e incerteza; e
- oportunismo e especificidade de ativos.
- Custos de Transação
- A Empresa como um Nexo de Contratos
-
Risco moral – maximização de bem estar de cada um
dos membro da organização
-
Teoria do Agenciamento
Assim, o nexo de contratos que define uma empresa pode ser analisado como um conjunto de
relações de agência, cuja eficiência, por sua vez, pode ser analisada a partir do conceito do custo
de agência. Tais custos envolvem perdas sofridas pelo principal devido, uma conduta oportunista
dos agentes e o dispêndio de recursos em evitar que isso ocorra, o que envolve:
1. O custo residual para o principal gerado pela relação de agência, ou seja, o valor
das perdas impostas ao principal devido aos agentes tomarem atitudes divergentes
daquelas que maximizam ganho de capital;
2. Os custos de monitoramento incorridos para verificar se os agentes estão atuando
de maneira desejada pelo principal;
3. Os dispêndios realizados pelos agentes para assegurar seu comprometimento com
interesses do principal (bonding costs).
Quadro 2.1: Framework de assimetria de informação
Fonte: Elaboração própria, com base em COASE, 1937 e ALCHIAN; DEMESETZ, 1972
Nesse contexto, pode-se construir um caminho teórico da teoria do agenciamento (QUADRO
2.1) e o desenho da governança corporativa e de TI.
28
Os conflitos de agência, seus custos inerentes e a assimetria informacional aparecem como
principais motivadores para a existência de governança corporativa em várias partes do mundo.
Assim, segundo Lustosa (2004), as boas regras de governança corporativa visam justamente
diminuir o risco de abuso de poder por parte de executivos ou dos controladores. Para tanto, é
necessário um conjunto de medidas que tentem aproximar os interesses dos insiders e outsiders,
reforçando mecanismos que garantam equidade, transparência e accountability.
A agency theory (ou teoria do agenciamento) constituiu-se num referencial e instrumento de
grande valor para o desenvolvimento do conhecimento nestas três últimas décadas, sendo
amplamente investigado e analisado, surgindo várias pesquisas empíricas no sentido de validar
suas hipóteses implícitas. (MARTINEZ, 1998).
Na opinião de Wolk e Tearney (1997), a teoria da agência (agency theory) estuda a relação
existente entre o principal e uma outra parte (agente), que está autorizado a agir, em nome desse
principal. Para a teoria da agência, a empresa é uma interseção para muitas relações contratuais
entre administradores, governo, credores e funcionários. Como resultado, a teoria de agência lida
com diversos custos de monitoramento entre os vários grupos. Nesse contexto, conforme sugere
Jensen e Meckling (1976), o problema relacionado a essa delegação de função é que o agente
pode possuir objetivo divergente e conflitante ao do principal.
O conflito de interesses entre proprietários/gestores, credores/gestores, gestores/empregados,
gerentes/fornecedores, gerentes/auditores etc., implica em uma série de problemas nas empresas,
que podem ser amenizados ou explicados pela teoria do agenciamento. A teoria do agenciamento
busca explicar as relações contratuais entre os membros de uma organização, considerando que
esses são motivados exclusivamente pelos seus interesses. Dos conflitos existentes entre o
principal e o agente surgem os problemas de agenciamento que geram os custos de agenciamento.
Nesse sentido, Garcia (2005) afirma que os conflitos de agência nas empresas se estabelecem a
partir da delegação das competências para tomadas de decisão aos agentes, quando os
administradores, por terem objetivos pessoais divergentes da maximização da riqueza do
principal, o acionista, passam a decidir em prol de seus interesses particulares em detrimento do
29
melhor benefício daqueles. A necessidade de melhores práticas de governança corporativa nasce
como uma forma de resposta a esse conflito e visa evitar a expropriação da riqueza do acionista
pelos gestores.
O conflito de agência surge quando os agentes ligados à empresa possuem interesses conflitantes
e, nesse contexto, colocam seus interesses pessoais em primeiro plano, prejudicando o andamento
da organização. (LOPES, 2004). Dessa forma, percebe-se que surge o oportunismo nas partes da
relação. Segundo Zylbersztajn (1995), o oportunismo parte de um princípio de jogo não
cooperativo, em que a informação que um agente possa ter sobre a realidade não é acessível a
outro agente, permitindo que o primeiro desfrute de algum benefício do tipo monopolístico. No
contexto corporativo, pode-se perceber, conforme Lopes (2004), que os acionistas estão em
desvantagem informacional em relação aos altos executivos da empresa que, por sua vez, não
possuem o mesmo nível informacional dos subordinados. (LOPES, 2004).
O problema de agência (ou problema agente-principal) aparece quando o bem-estar de uma parte
(denominada principal) depende das decisões tomadas por outra (denominada agente). Embora o
agente deva tomar decisões em benefício do principal, muitas vezes ocorrem situações em que os
interesses dos dois são conflitantes, dando margem a um comportamento oportunista por parte do
agente (referido como moral hazard ou oportunismo). Assim, um sistema de governança
estabelece mecanismos, estruturas e incentivos que compõem o sistema de controle de gestão da
empresa e direciona o comportamento dos administradores para o cumprimento dos objetivos
estipulados pelos acionistas/proprietários. (MARTIN; SANTOS; DIAS, 2004).
Martinez (1998) aborda que a literatura organizacional consagra, como principal, o acionista ou o
proprietário dos recursos econômicos. Para o papel de agente, por sua vez, encontra-se o gerente
que administra o negócio para os proprietários da empresa (principal). Entretanto, a relação
principal agente não se estabelece apenas entre proprietários e gerentes. Esse modelo é flexível,
adequando-se a diferentes relações. Assim, o referido autor demonstra, no Quadro 2.2, situações
em que há uma relação do tipo principal e agente:
30
Relações Principal – Agente O que o Principal espera do Agente?
Acionistas- Gerentes Gerentes maximizem a riqueza do Acionista (ou o valor das
ações).
Debenturistas – Gerentes Gerentes maximizem o retorno do Debenturista.
Credores – Gerentes Gerentes assegurem o cumprimento dos contratos de
financiamento.
Clientes – Gerentes Gerentes assegurem a entrega de produtos de valor para o
Cliente. Qualidade (maior), Tempo (menor), Serviço (maior)
e Custo (menor).
Governo – Gerentes Gerentes assegurem o cumprimento das obrigações fiscais,
trabalhistas e previdenciárias da Empresa.
Comunidade – Gerentes Gerentes assegurem a preservação dos interesses
comunitários, cultura, valores, meio ambiente etc.
Acionistas - Auditores Externos Auditores Externos atestem a validade das demonstrações
financeiras (foco na rentabilidade e na eficiência)
Credores – Auditores Externos Auditores Externos atestem a validade das demonstrações
financeiras ( foco na liquidez e no endividamento)
Gerentes – Auditores Internos Auditores Internos avaliem as operações na ótica de sua
eficiência e eficácia, gerando recomendações que agreguem
valor.
Gerentes – Empregados Empregados trabalhem para os gerentes com o melhor de
seus esforços, atendendo as expectativas dos mesmos.
Gerentes – Fornecedores Fornecedores supram as necessidades de materiais dos
Gerentes no momento necessário, nas quantidades
requisitadas.
Quadro 2.2 - Situações onde há uma relação do tipo principal e agente.
Fonte: MARTINEZ, 1998
Ao se complementar esse quadro, pode-se incluir outros elementos, os quais estão descritos no
Quadro 2.3:
Relação Principal – Agente O que o Principal espera do Agente?
Acionistas ou Quotistas - Área de gerenciamento
de riscos de tecnologia da informação
A Área de gerenciamento de risco demonstre as
exposições a riscos referentes à tecnologia da informação
que pode impactar a continuidade da empresa.
Acionistas ou Quotistas – Gerentes/Diretoria/
Funcionários
Gerentes/Diretoria/ Funcionários maximizem a riqueza do
acionista (ou o valor das ações) com a utilização de
recursos de tecnologia da informação.
Gerentes/Diretoria/Funcionários assegurem o
desempenho financeiro da empresa com a utilização de
recursos de tecnologia da informação.
Quadro 2.3 - Relação principal e agente e a tecnologia da informação.
Fonte: Elaboração própria, 2009
Nesse contexto, um problema de agência pode surgir quando a administração sub ou super-
investe em TI, com aversões ou aceitações e riscos diferentes dos objetivos da organização.
Implícita no conflito de interesses, nesse tipo de investimento, está a presunção de que esses
31
investimentos estão positivamente relacionados à governança corporativa. (LOH;
VENKATRAMAN, 1993).
A crescente demanda de utilização de recursos de tecnologia da informação requer a inclusão do
conceito de governança de TI, que trata diretamente com o crescimento vertiginoso da utilização
desses recursos. Com base no que foi exposto até agora, pode-se observar que a governança de
TI, além de atuar na relação de agência, é utilizada como mecanismo para evitar conflito de
interesses. O Quadro 2.4 resume como a teoria positiva da contabilidade, teoria da agência, teoria
dos contratos se inter-relacionam para comporem o ambiente de governança corporativa e de TI
dentro das organizações:
Quadro 2.4 - Estrutura de formação do ambiente da governança corporativa e de TI
Fonte: Elaboração própria, 2009
Teoria da Agência
O AGENTE UTILIZARÁ OS DIREITOS DELEGADOS
EM SEU PRÓPRIO BENEFÍCIO E CONTRA OS
INTERESES DO PRINCIPAL (Oportunismo)
Conflito de intere
ses
Governança corporativa
e de TI
Desenho de mecanismos que permitam
maximizar o valor da empresa para os
acionistas (por exemplo: gerenciamento
de riscos de TI e auditoria de TI)
Contratos
incompletos
Teoria Positiva da
Contabilidade
“The New Institucional Economics”
Empresa: uma forma de ficção
legal que serve de nexo entre as
relações contratuais.
32
2.2 GOVERNANÇA DE TI
O crescimento da tecnologia da informação nos ambientes corporativos tem levado a uma
preocupação relativa a problemas de agência. Dessa forma, vem tornando-se emergente uma
governança que envolva o ativo referente à tecnologia da informação, o qual vem se tornando
significativo nas organizações. Dentre tantas as opções, o profissional depara-se com dúvidas de
qual sistema pode ser aplicado em determinada situação do seu cotidiano empresarial. No intuito
de fornecer conhecimento e evitar conflito de interesses nessas decisões, propõe-se a Governança
em TI, como medida para agregar valor aos negócios.
Segundo o Institute on Governance (2007), a Governança é um processo dinâmico, que envolve
"estruturas, funções (responsabilidades), processos (práticas) e tradições organizacionais”, a fim
de que o conselho de uma organização (ou sociedade) a utilize para alcançar a missão da
organização. Segundo esse mesmo instituto, a governança, no âmbito de tradições aceitas e
frameworks institucionais, significa a forma como o poder é exercido: quem tem influência, quem
decide e como as tomadas de decisões são responsabilizadas. ( IOG, 2007). Em termos simples, o
conceito está relacionado com o poder, as relações e a prestação de contas (responsabilização).
(IOG, 2007).
Com base no exposto, pode-se perceber a importância da governança quando um grupo de
pessoas toma decisões para alcançar um determinado objetivo. Assim, para compreender a
governança de TI é necessário entender a governança corporativa.
Governança corporativa é o estudo da distribuição de direitos e responsabilidades entre os
diferentes participantes da corporação, tais como: administradores, acionistas, o Conselho de
Administração e outros interessados (por exemplo, empregados, fornecedores e consumidores).
O estudo da governança corporativa, originalmente desenvolvido no contexto da teoria da
agência e baseado na premissa de maximização do acionista, tem sido enriquecido por sociólogos
econômicos e outros cientistas sociais que desenvolvem duas novas dimensões teóricas e
empíricas. Em primeiro lugar, esses estudiosos têm procurado esclarecer os diferentes
intervenientes na empresa (stakeholders) e seus relacionamentos. Em segundo lugar, estudos
33
históricos e comparativos têm questionado os principais fatores que conduzem a diferentes
sistemas nacionais de governança corporativa em todo o mundo.
A Governança Corporativa lida com os caminhos pelos quais os acionistas das corporações
asseguram que terão retorno de seus investimentos. (SHLEIFER; VISHNY, 1997). Até porque,
os principais fenômenos que motivam a existência da governança corporativa nas modernas
organizações são: conflito de agência e assimetria da informação. Governança corporativa, dessa
forma, pode ser descrita como os mecanismos ou princípios que governam o processo decisório
dentro de uma empresa. Governança corporativa é um conjunto de regras que visam minimizar os
problemas de agência. A literatura sobre governança corporativa (por exemplo, ASX
CORPORATE GOVERNANCE, 2003a; FRC, 2003) abrange três temas principais, a saber:
• O modo como funciona o conselho de administração (a sua composição, seu
tamanho, sua remuneração e suas relações com partes interessadas (stakeholders));
• O papel da liderança (condução de estratégias, de supervisão da gestão, tomada de
decisões-chave);
• O gerenciamento de risco (estabelecendo e supervisionando o sistema de controle
interno e de gestão do risco).
Na mesma linha, um dos principais documentos de governança corporativa do Reino Unido, a
Cadbury Report define governança corporativa como “o sistema pelo qual as empresas são
administradas e controladas". (CADBURY, 1992). Na maior parte dos países desenvolvidos, os
governos tornaram-se muito preocupados com o controle da governança corporativa, quase
sempre após o acontecimento de um grande colapso corporativo. A preocupação com a
governança corporativa tem habitualmente levado à introdução de novas legislações, tais como: a
Lei Sarbanes-Oxley. (SOX, 2002) nos Estados Unidos ou as regras aplicadas à Bolsa de Valores
e às empresas de auditoria, nos casos do Reino Unido e da Austrália.
34
O resultado deste nível de atenção legislativa e regulamentar é que as obrigações de governança
corporativa das companhias listadas são claramente definidas. No Reino Unido, o Código
Comum (Common Code – CRF, 2003) estabelece os requisitos para as companhias listadas,
juntamente com declarações de boas práticas e de orientação para os membros do conselho. Na
Austrália, o Australian Stock Exchange publicou as suas linhas de orientação para a governança
corporativa (ASX, 2003a), que define dez princípios de governança corporativa, obtidas a partir
do núcleo de princípios da boa governança corporativa da Organisation for Economic
Cooperation and Development's. (OCDE, 1999). Assim, uma série de recomendações e
orientações específicas de "melhores práticas" sobre a divulgação é fornecida para cada princípio.
As orientações australianas vão mais longe do que as exigências da Lei Sarbanes-Oxley (SOX,
2002) nos Estados Unidos. Já os requisitos no Reino Unido, fixados por Smith (2003) e Higgs
(2003), requerem que o CEO e o CFO de uma organização digam por escrito (essencialmente
para o ASX), que:
• As contas são "verdadeiras e justas" e de acordo com as principais normas de
contabilidade;
• A base da supracitada declaração é feita com base em um sólido sistema de
controle interno e de gestão de riscos;
• A organização dos sistemas de controle interno, de gestão de riscos e de
compliance está operando de forma efetiva e eficiente. (ASX, 2003a, seção 7.2).
Farber (2005), em sua pesquisa, investigou se, após a revelação de fraudes nas demonstrações
contábeis, as firmas aperfeiçoam os mecanismos de governança corporativa para restabelecerem
a confiança dos investidores. Os resultados indicam que as firmas que tomam medidas para
melhorar a governança têm desempenho superior no preço de suas ações. Isso sugere que os
investidores parecem valorizar melhorias na governança.
35
É oportuno trazer a luz desta pesquisa discussões sobre tecnologia da informação, tendo em
vista que esse elemento é elo entre a governança corporativa e de TI. Dessa forma, a tecnologia
da informação é basilar para o entendimento da importância sobre o estudo da maturidade da
governança de TI e o desempenho financeiro das empresas.
Tecnologia de informação (TI) é um termo que engloba todas as formas de tecnologia utilizadas
para criar, armazenar, trocar e usar informação em suas várias formas (dados, voz, imagens
estáticas e em movimento). A adoção de TI é reconhecida como um processo complexo que
passa pelo planejamento, avaliação do custo/benefício gerado pelo sistema e pela sua adequação
à realidade organizacional. É um processo de mudança que não só abrange o ambiente
tecnológico, mas também o ambiente técnico, os recursos humanos e toda a estrutura da empresa.
(TEIXEIRA, 2004). A TI permeia todos os pontos da cadeia de valor das empresas, suportando
as atividades das mesmas bem como os elos entre elas. (PORTER, 1999).
As implicações das novas tecnologias da informação (TI) para os negócios são muitas e surgem
em muitas formas. A TI integrada (internet, Groupware, Enterprise Resource Planning Systems;
como visto, por exemplo, em BANCROFT, 1998; DAVENPORT, 1998; LOZINSKY, 1998;
DESHMUKH, 2006) sustenta o fato de que o know-how de TI caminha cada vez mais de mãos
dadas com os conhecimentos empresariais. O aparecimento do comércio eletrônico (e-commerce)
requer amplos conhecimentos dos sistemas baseados em internet e de sua funcionalidade pelos
muitos grupos profissionais, incluindo, contadores, administradores e economistas.
O trabalho com profissionais de TI, dessa forma, é uma prática quotidiana dos profissionais de
produção, vendas e contabilidade, o que novamente reforça a necessidade de compreender, por
vezes, até mesmo as práticas e conceitos mais modernos de TI. Certas tecnologias que já são tidas
como certas, em especial a internet, irão mudar a organização e os processos de contabilidade.
Em suma, TI desempenha um papel crítico na empresa contemporânea e ainda mais na
contabilidade e no controle gerencial. Parece ser do conhecimento geral que, se os sistemas de
informação não são da empresa, tendo em vista o ambiente empresarial contemporâneo,
processos de controle de gestão não irão funcionar corretamente. Supostamente, isso terá efeitos
negativos sobre o desempenho organizacional a longo prazo. No entanto, sabe-se pouco sobre
36
esses processos, embora o número de estudos no campo seja aparentemente crescente
(QUATTRONE; HOPPER, 2001, 2005; GRANLUND; MALMI, 2002; CAGLIO, 2003;
HYVÖNEN, 2003; LODH; GAFFIKIN, 2003; SCAPENS; AZAYERI, 2003; DECHOW;
MOURITSEN, 2005; EFENDI et al., 2006; HYVÖNEN et al., 2006a, 2006b; ROM; ROHDE,
2006).
A Tecnologia da Informação (TI) tem se tornado generalizada na dinâmica atual e, muitas vezes,
turbulenta nos ambientes empresariais. Embora, no passado, executivos empresariais poderiam
delegar, ignorar ou evitar decisões de TI, esse fato, atualmente, é impossível na maioria dos
setores e indústrias (PETERSON, 2003; DUFFY, 2002; VAN DER ZEE; DE JONG, 1999). Para
enfatizar essa onipresença, Weill e Broadbent (1998) referem-se a três camadas da nova infra-
estrutura: TI local para processos de negócios, infra-estrutura de TI da empresa e infra-estruturas
públicas de TI (DESENHO 2.1).
Desenho 2.1: A Nova Infra-Estrutura
Fonte: WEILL; BROADBENT, 1998
A infra-estrutura pública (DESENHO 2.1) é a fundação da Nova Infra-Estrutura que, por sua vez,
está ligada ao ramo das infra-estruturas externas, como Internet, EDI redes, etc. Isso permite que
a empresa se comunique e faça negócios com os clientes, fornecedores, parceiros, etc. Juntamente
com a Infra-Estrutura de Tecnologia de Informação da Empresa, tais como correio eletrônico,
37
banco de dados dos clientes, etc., essas infra-estruturas compõem a Nova Infra-Estrutura. A Nova
Infra-Estrutura, acrescida da TI local necessária para executar processos de negócio, pode ser
definida como o Portfólio de Tecnologia da Informação da Empresa.
O Portfólio de Tecnologia da Informação não só tem o potencial para apoiar as estratégias
empresariais existentes, como também para delinear novas estratégias (HENDERSON;
VENKATRAMAN, 1993; OLDACH, 1993; HENDERSON; VENKATRAMAN, 1999;
GULDENTOPS, 2003a).Nessa perspectiva, a TI torna-se não só um fator chave de sucesso para
sobrevivência e prosperidade, como também uma oportunidade para diferenciar e para alcançar
uma vantagem competitiva. TI oferece também um meio para aumentar a produtividade. O
sucesso da alavancagem de TI para transformar a empresa e criar produtos e serviços com valor
agregado tornou-se uma competência de negócio universal. (GULDENTOPS, 2003b). Nesse
ponto de vista, o departamento de TI move-se da figura de mero prestador de serviços para a de
parceiro estratégico, como ilustrado por Venkatraman (1999) no Quadro 2.5:
Prestador de serviços Parceiro estratégico
TI é para eficiência TI para o crescimento empresarial
Orçamentos são movidos por referências
(benchmarks) externas
Orçamentos são impulsionados pela estratégia
comercial
TI é separável do negócio TI é inseparável do negócio
TI é vista como um gasto para controlar TI é vista como um investimento para gerenciar
Gestores de TI são especialistas técnicos Gestores de TI são solucionadores de problemas
empresariais
Quadro 2.5 - TI como provedora de serviços ou como parceira estratégica
Fonte: VENKATRAMAN, 1999
Percebe-se que, em muitas organizações, a Tecnologia da Informação (TI) tornou-se crucial para
o apoio, a sustentabilidade e o crescimento da empresa. Esse uso generalizado da tecnologia criou
uma crítica dependência da TI que exige um enfoque específico em relação à Governança de TI.
A dependência da TI torna-se ainda mais imperativa na economia baseada no conhecimento, em
que as organizações estão usando tecnologia para gerir, desenvolver e comunicar ativos
intangíveis, como a informação e o conhecimento. (PATEL, 2003). O sucesso corporativo, nesse
caso, só pode ser alcançado, obviamente, quando a informação e o conhecimento, muito
frequentemente prestados e sustentados por tecnologia, são seguros, precisos e confiáveis, desde
38
que fornecidos por pessoa certa, no momento certo e no lugar certo (ITGI, 2000; KAKABADSE;
KAKABADSE, 2001).
Essa grande dependência da TI também implica em uma enorme vulnerabilidade que, por sua
vez, é intrinsecamente presente em determinados ambientes complexos de TI (ITGI, 2001;
DUFFY, 2002). A inatividade de sistema e redes, nos dias de hoje, tem se tornado
demasiadamente dispendiosa para qualquer organização que faça negócios a nível mundial em
torno do relógio. Como exemplo, tem-se o impacto da paralisação no sector bancário ou em um
ambiente médico. O fator de risco é acompanhado por um amplo espectro de ameaças externas,
tais como os erros e omissões, abusos, fraudes e crimes cibernéticos.
A Tecnologia da Informação, frequentemente, implica grandes investimentos de capital em
organizações. Enquanto isso, companhias confrontam-se com vários acionistas que estão a exigir
a criação de valor empresarial através desses investimentos. A questão do "paradoxo de
produtividade", razão pela qual a tecnologias da informação, não tem fornecido um valor
mensurável para o mundo dos negócios, tem intrigado muitos profissionais e pesquisadores
(HENDERSON; VENKATRAMAN, 1993; DUFFY, 2002; STRASSMAN, 1990;
BRYNJOLFSSON, 1993; BRYNJOLFSSON; HITT, 1998).
Um conceito mais amplo de Tecnologia da Informação (TI) é apresentado por Luftman e outros
(1993), o qual inclui os sistemas de informação, o uso de hardware e software, telecomunicações,
automação, recursos multimídia, utilizados pelas organizações para fornecer dados, informações
e conhecimento.
Até o momento, discutiu-se, na revisão da literatura, definições a cerca da teoria da agência base
para constituição da governança corporativa e sobre a tecnologia da informação, ingredientes
teóricos que, em conjunto, formam o pano de fundo da governança de TI.
Tecnologia da Informação (TI) e sua utilização em ambientes empresariais têm sofrido
transformações profundas nas últimas décadas. Desde a introdução da TI nas organizações,
acadêmicos e profissionais realizam pesquisas, desenvolvem teorias e as melhores práticas nesse
39
domínio de conhecimentos emergentes. (PETERSON, 2003). Isso resultou em uma grande
variedade de definições da governança de TI.
Segundo Grembergen (2002), a governança de TI consiste nas estruturas organizacionais e de
liderança e processos para assegurar que a organização de TI sustenta e amplia a estratégia e os
objetivos da organização.
A Governança da TI é de responsabilidade do conselho de administração e gerência executiva,
sendo parte integrante da governança corporativa. Assim, tem sua constituição composta por
dirigentes, estruturas e processos organizacionais, a fim de garantir que a organização de TI possa
sustentar e ampliar a estratégia e os objetivos da organização (ITGI; 2001). Governança da TI é a
capacidade organizacional exercida pelo Conselho, gerência executiva e gerência de TI para
controlar a formulação e implementação da estratégia de TI e, dessa forma, assegurar a fusão
entre os negócios e a TI. (GREMBERGEN, 2002).
Percebe-se que as definições diferem em alguns aspectos, contudo, elas são essencialmente
centradas nas mesmas questões, tais como a relação entre negócios e TI. A definição do IT
Governance Institute (ITGI) explicita que a Governança de TI é parte integrante da governança
corporativa, uma premissa muito importante neste estudo. Implicitamente, pode-se verificar a
relação da empresa com a governança na definição de Grembergen (2002).
Clemons (1991) considera o investimento em TI como uma decisão estratégica discricionária
delegada pelos stakeholders à alta administração principal para agentes. A escolha do nível de
investimento, como qualquer outro investimento de capital, envolve, portanto, decisões
estratégicas e risco. Sambamurthy e Zmud (1999) passaram a incluir, então, na definição de
governança de TI, o comportamento organizacional padrão esperado às tomadas de decisões
relacionadas a TI.
Ao utilizar a TI, as organizações esperam alcançar seus objetivos através de uma melhor relação
custo-benefício. Esses objetivos incluem a realização dos processos organizacionais
40
efetivamente, a obtenção de vantagens competitivas, o melhor atendimento aos clientes e o
fortalecimento dos controles internos. (YAN; MAKAL, 1998).
A governança de TI é a capacidade organizacional exercida pela Diretoria, Gerência Executiva e
Gerência de TI para controlar a formulação e implementação da estratégia de TI e, nesse
caminho, assegurar a fusão do negócio e TI. (GREMBERGER et. al., 2004a). A governança de
TI é o modelo como as decisões são tomadas e responsabilidades direcionadas para encorajar um
comportamento desejável no uso de TI. (WEILL; ROSS, 2004).
Como se pode perceber, muitas definições vêm sendo desenvolvidas, tendo em vista a
complexidade e a continua mudança do ambiente que a governança de TI está inserida. Dessa
forma, pode-se assegurar que nunca se terá uma definição completa. Segundo Lunardi (2008), em
sua tese de doutorado, algumas justificativas podem ser apontadas para explicar a falta de clareza,
compreensão e emprego inadequado do conceito de governança de TI. Para exemplificar, o citado
autor fala da não conectividade entre diferentes comunidades interessadas na governança de TI, a
evolução da TI e seu uso no ambiente de negócios, que tem feito com que uma série de teorias e
práticas sobre a governança de TI venha sendo adaptada e desenvolvida constantemente por
acadêmicos e profissionais e, ainda, a própria natureza da disciplina de Sistemas de Informação,
reconhecida como uma área do conhecimento relativamente nova e que emergiu de uma
variedade de disciplinas, dentre as quais as Ciências Sociais e a Ciência da Computação
aparecem como as mais influentes.
Assim, Lunardi (2008, p. 34), apresenta o Quadro 2.6 com a evolução histórica do conceito de
Governança de TI, muito pertinente para este momento:
41
Definição
Referência
1. Governança de TI é utilizada para descrever como a TI media ou governa
os relacionamentos de negócios através de um sistema baseado em TI.
Venkatraman, apud Loh,
1993.
2. Governança de TI aborda a implementação de estruturas e arquiteturas (e
padrões de autoridade associadas) relacionadas à TI para atingir com
sucesso atividades em resposta ao ambiente e à estratégia organizacional.
Sambamurthy; Zmud,
1999
3. Governança de TI se concentra na estrutura de relacionamentos e
processos para desenvolver, dirigir e controlar os recursos de TI, de modo a
atingir os objetivos da organização, através de contribuições que agreguem
valor, balanceando risco versus retorno sobre os recursos e processos de TI.
Korac-Kakabadse
Kakabadse, 2001
4. Governança de TI é a capacidade organizacional exercida pelo Conselho
de Administração, pela alta administração e pela área de TI para controlar a
formulação e a implementação da estratégia de TI e, dessa forma, assegurar
a fusão entre a TI e os negócios.
Van Grembergen, 2002
5. Governança de TI é a estrutura de relacionamentos e processos para
dirigir e controlar a empresa de modo a atingir os objetivos corporativos,
adicionando valor através do balanceamento do risco versus retorno obtido
pela TI e seus processos.
Isaca, 2002
6. Governança de TI é de responsabilidade do Conselho de Administração e
da alta administração. É uma parte integral da governança corporativa e
consiste de estruturas e processos organizacionais e de liderança que
assegurem que a TI sustente e expanda os objetivos e as estratégias da
organização.
ITGI, 2003
7. Governança de TI é a capacidade organizacional de controlar a
formulação e a implementação da estratégia de TI, além de guiar a direção
adequada de modo a obter vantagem competitiva para a organização.
Turban, Mclean e
Wetherbe, 2004;
8. Governança de TI especifica a estrutura de responsabilidades e direitos de
decisão para encorajar comportamentos desejáveis no uso da TI.
Weill; Ross, 2004
9. Governança de TI é definida como a distribuição das responsabilidades e
direitos entre as pessoas da organização quanto às decisões de TI, e os
mecanismos e procedimentos para monitorar e tomar decisões estratégicas
relacionadas à TI.
Peterson, 2004
10. Governança de TI se refere a como a organização assegura que a sua
estratégia e as suas práticas de TI têm sido utilizadas para auxiliar a
estratégia da organização e implementar as práticas de informação.
Mcginnis et al., 2004
Quadro 2.6 – Definições de Governança de TI
Fonte: LUNARDI, 2008, p. 34
Embora as definições no quadro acima diferenciem em alguns aspectos, todas elas enfatizam as
mesmas questões, como, por exemplo, a relação entre negócios e TI. A definição do IT
Governance Institute (ITGI), no entanto, também afirma explicitamente que a governança de TI é
uma parte integrante da governança da empresa, que é uma opinião, em diversos momentos,
convergente teoricamente e uma premissa muito importante. Uma preocupação importante,
42
comum nas definições do Quadro 2.6 é, certamente, a ligação da TI com os objetivos de negócios
presentes e futuros.
O conceito de governança é igualmente aplicado à Tecnologia da Informação (TI), mas com
muito menos clareza e foco do que a definição de governança corporativa. Existe uma extensa
literatura de governança em TI, sua maioria de natureza teórica. Por outro lado, há pouco estudo
na literatura sobre os reais processos envolvidos com a governança de TI e, é claro, que existe
um fosso entre os quadros teóricos e as práticas contemporâneas. (RIBBERS et al., 2002). Em
geral, a governança de TI é definida como uma estrutura ou um processo.
Governança de TI como estrutura: a maior parte da literatura em governança de TI está
preocupada com o local do poder de decisão para TI dentro de uma organização (BROWN, 1997;
SAMBAMURTHY; ZMUD, 1999). Em vista dessa situação, a governança de TI está preocupada
com três questões. (WEILL; BROADBENT, 1998; SAMBAMURTHY; ZMUD, 1999):
• Gestão da infra-estrutura de TI, que se refere às decisões relativas aos tipos de
plataformas de hardware e software, arquiteturas de rede e dados utilizados no âmbito
da organização e as normas corporativas para a aquisição e implantação dos seus
ativos de TI;
• Gestão da utilização de TI, que se refere às decisões relativas ao planejamento e
prioridades de TI e à rotina de prestação de serviços de TI;
• Gestão de projetos de TI, que exige, juntamente, infra-estrutura e sistema de
competências a serem utilizadas para desenvolverem e implementarem novos
sistemas.
Governança de TI como processo: essa perspectiva vê a governança de TI como a governança
corporativa aplicada à Tecnologia da Informação. A governança de TI é compreendida como um
processo implementado no âmbito da governança corporativa de uma organização. Essa opinião é
emitida na literatura por uma série de órgãos de auditoria, mais notavelmente por duas
43
organizações dos Estados Unidos, o ISACA (Information Systems Audit & Control Association) e
o IT Governance Institute, que desenvolveram conjuntamente uma abordagem própria com vista
à implementação e avaliação dos controles no ambiente de TI. Essa abordagem é chamada de
Control Objectives for and Related Technology Information (COBIT) (ITGI, 2002) e baseia-se
no fato de que a responsabilização dos sistemas de TI é alcançada através da utilização de um
conjunto de controle de auditoria por processos. O framework do COBIT é construído sobre o
quadro de referência do Committee of Sponsoring Organizations (COSO).
Em relação à governança de TI, uma pergunta instigante deve ser feita: Será que as organizações,
seus representantes ou conselhos de administração, têm identificado e avaliado o rápido
crescimento da TI como um fator crítico de sucesso empresarial? Pode-se dizer que se vive uma
realidade em que diversas organizações estão prestando atenção crescente para os retornos
gerados pelos investimentos em TI. Assim, atualmente, tem-se trazido à tona a idéia de que uma
efetiva governança inclui a governança de TI, a fim de proteger o valor do acionista; deixar claro
que os riscos são quantificados e entendidos; gerir e controlar os investimentos, as oportunidades,
benefícios e riscos; alinhar TI com os negócios, aceitando-a como um insumo crítico e
componente do plano estratégico; manter operações em curso; preparar-se para o futuro e ser
parte integrante de uma estrutura de governança global. Weill e Ross (2005) afirmam que a
governança de TI é importante, principalmente, em economias emergentes, tendo em vista que as
melhores práticas em TI têm contribuído para que as empresas obtenham vantagens competitivas.
Um estudo de Weill e Ross (2006), no período de 2001 a 2003, buscou identificar a maneira
como as empresas gerenciam a TI, identificando o responsável pelas decisões de TI, a forma
como a mesma é implementada e o desempenho financeiro com a implementação da governança
de TI. Esse estudo investigou 256 empresas em diversos países da América, Europa e Pacífico
Asiático. Outro estudo explorou as relações entre a arquitetura de TI e a estratégia de negócios,
identificando os problemas de governança de TI e a mudança organizacional, para tanto, realizou-
se quarenta estudos de caso, no período de 1999 a 2003.
Um outro estudo dos referidos autores acima citados compreendeu a entrevista (2001) com trinta
Chief Information Officer (CIO’s) para explorar os modelos de governança de TI e o exame em
44
vinte e quatro empresas da Fortune 100, sobre os modelos e o desempenho de governança de TI.
As pesquisas realizadas no Brasil sobre governança de TI discutem sobre os modelos de
governança, a exemplo da pesquisa de Rossi (2004) que, em sua tese, propõe um modelo de
governança de TI para as empresas brasileiras.
Como a maioria das outras atividades de governança, a governança de TI envolve o conselho de
administração e a diretoria executiva. Entre as competências do conselho de administração estão
a de rever e orientar a estratégia corporativa, definição e acompanhamento da realização dos
objetivos de desempenho financeiro e garantir a integridade dos sistemas da organização. O foco
da administração, nesse caso, é geralmente na relação custo-eficiência, almejando o aumento de
receitas e a capacidade de desenvolvimento, os quais, por sua vez, são ativados por informação,
conhecimento e infra-estrutura de TI.
2.2.1 Maturidade da governança de TI
Até o presente momento é possível perceber alguns motivos para instituição da governança de TI,
pode-se citar como exemplo: a manutenção do alinhamento das estratégias de TI com as
estratégias de negócio; o aumento da capacidade e do desempenho dos modelos de negócios; o
gerenciamento dos riscos envolvidos nos negócios; a contribuição da TI para o plano de
continuidade dos negócios e a manutenção e melhoria da performance de TI.
Entender os fatores chave de sucesso e as barreiras pode ser muito útil quando uma organização
se esforça para um processo de alinhamento estratégico mais maduro. Assim, ao avaliar-se a
maturidade de alinhamento, as organizações podem utilizar um modelo de maturidade.
Segundo Rosa (2008), o framework Control Objectives for Information and Related Technolog
(COBIT) (ITGI, 2007b) é resultado de esforços do Information Technology Governance Institute
(ITGI) que, desde 1998, vem atuando com o apoio de pesquisadores e profissionais distribuídos
45
globalmente, para a consolidação de uma estrutura padrão aberta para governança de TI, a partir
de padrões globais relacionados à tecnologia da informação, como os seguintes:
• Committee of Sponsoring Organizations of the Treadway Commission (COSO): Internal
Control – Integrated Framework e Enterprise Risk Management – Integrated Framework;
• Office of Government Commerce: IT Infrastructure Library (ITIL);
• International Organisation for Standardisation: ISO/IEC 17799 – Práticas para gestão da
segurança da informação;
• Project Management Institute (PMI): Project Management Body of Knowledge
(PMBOK);
• Information Security Forum: The Standard of Good Practice for Information Security;
• Software Engineering Institute (SEI): Capability Maturity Model (CMM).
Assim, conforme Rosa (2008), baseado na interação apresentada no Desenho 2.2 e para
responder a requisitos de desempenho e monitoramento, a estrutura COBIT fornece definições
para benchmarking de capacitação em processos, expressos por modelos de maturidade derivados
do Capability Maturity Model do SEI; métricas e objetivos para processos de TI para medida de
resultados e desempenho, orientados pelos princípios do Balance Scorecard (BSC) e planos de
atividades para controle desses processos, com base em objetivos de controles detalhados. O
desenho a seguir ilustra os princípios básicos do COBIT:
46
Desenho 2.2 – Princípios Básicos do COBIT
Fonte: ITGI, 2007b, p. 10
Bons exemplos de modelos de maturidade para alinhamento estratégico foram desenvolvidos por
Luftman (2000), Duffy (2002) e do IT Governance Institute (ITGI, 2000). Cada um desses
modelos utiliza critérios compostos por uma variedade de atributos para criar diferentes níveis de
maturidade. Nesta pesquisa, especificamente, utiliza-se do modelo do COBIT com adaptações
necessárias para se alcançar o objetivo deste trabalho.
O Desenho 2.3 demonstra o resumo do modelo do COBIT relacionado à governança, ao controle,
à auditoria e à tecnologia da informação. Esse método de pontuação permite avaliar desde o nível
inexistente (0) ao nível otimizado (5), oferecendo uma ferramenta fácil de compreender a
maneira de determinar o "como está" e "como poderia ser", de acordo com a estratégia da
empresa, sua posição, permitindo que a organização identifique as melhores práticas e
orientações gerais. Dessa forma, as diferenças podem ser identificadas e ações específicas podem
ser definidas para avançar para o nível desejado de maturidade de alinhamento estratégico (ITGI,
2000, 2001; GULDENTOPS, 2003a).
47
Desenho 2.3 – Resumo do modelo do COBIT de maturidade
Fonte: ITGI, 2003, tradução nossa
O Quadro 2.7 apresenta as assertivas do modelo COBIT desenvolvido pelo ITGI.
0 - Não existe
Há uma completa falta de qualquer reconhecımento do processo de Governança de TI.
Não existe uma comunicação sobre o processo de Governança de TI.
Governança, como ela é, é predominantemente centralizada na organização de TI, e os orçamentos de TI e as
decisões são tomadas centralizadamente.
As colocações na unidade de negócio são realizadas informalmente e feitas com base em um projeto. Em alguns
casos, um comitê de direção pode existir no local para ajudar a realizar as decisões.
1 - Inicial / Ad Hoc
A organização tem reconhecido que existem assuntos relacionados a Governança de TI e devem ser abordados.
Não existem, no entanto, revisão de processos normatizada, mas em vez disto a administração considera questões de
gestão de TI individualmente, caso a caso.
Abordagem de gestão não é estruturada e há inconsistência na comunicação sobre as questões e abordagens para
resolver os problemas que possam surgir.
Embora seja reconhecido que o desempenho da função de TI deveria ser medido, não há métricas próprias, no seu
lugar – revisões se baseiam em opiniões individuais dos gestores.
O monitoramento de TI é implementado apenas reativamente a um incidente que tenha causado algum prejuízo ou
constrangimento para a organização.
Há uma dificuldade para por em prática e iniciar a governança, a organização central de TI e as unidades
empresariais podem até mesmo ter um relacionamento contraditório (competitividade).
A organização está tentando aumentar a confiança entre a TI e o negócio e existem normalmente reuniões periódicas
conjuntas para rever questões operacionais e novos projetos.
A Alta administração só está envolvida apenas quando há grandes problemas ou em casos de êxitos.
2- Repetitivo mas intuitivo
Há consciência dos objetivos de Governança de TI e práticas são desenvolvidas e aplicadas pelos diferentes gestores.
As atividades de Governança de TI estão tornando-se estabelecidas no processo de gerenciamento de mudança da
organização, com participação e supervisão ativa da direção.
48
Há a seleção de TI para processos que tenham sido identificados para melhoria que possa impactar os
processoschaves dos negócios. A gestão de TI está começando a definir normas para os processos e arquiteturas
técnicas.
A administração identifica as medidas, métodos e técnicas básicas de Governança de TI, mas o processo não tem
sido aprovado em toda a organização.
Não existe treinamento formal e a comunicação sobre as normas e responsabilidades de governança são deixadas por
conta de cada membro da organização.
Um comitê diretor começou a formalizar e estabelecer suas responsabilidades e competências.
Existe um projeto de contrato de governança (por exemplo, os participantes, papéis, responsabilidades, poderes
delegados, recursos compartilhados e política).
Projetos de governança pilotos e iniciais são lançados para ver o que funciona e o que não funciona.
Orientações gerais para emergentes normas e arquitetura que fazem sentido para a empresa começam as ser
comunicadas para disseminar as razões de sua necessidade na empresa.
3 - Processo Definido
A necessidade de agir com relação à Governança de TI é entendida e aceita.
Um estudo conjunto de indicadores de Governança é desenvolvido, onde as ligações entre as medidas de resultado e
condutores de desempenho são definidas, documentadas e integradas ao planejamento estratégico e operacional e no
monitoramento dos processos.
Os procedimentos têm sido padronizados, documentados e implementados.
A administração tem comunicado normas de procedimentos e estabelecido treinamentos informais.
Indicadores gerais de desempenho das atividades de Governança de TI estão sendo registrados e monitorados,
conduzindo ao negócio a uma escala de melhorias.
Embora mensuráveis, os procedimentos não são sofisticados, mas são a formalização das práticas existentes.
As ferramentas são padronizadas, utilizando técnicas disponíveis atualmente. Idéias de balance scorecard de TI nos
negócios estão sendo adotadas pela organização.
No entanto, é deixada para cada indivíduo a obtenção de formação (treinamento), a fim de seguir as normas e aplicá-
las.
A análise das causas é apenas ocasionalmente aplicada.
A maioria dos processos é monitorada comparando-se com algumas uma base de métricas, mas qualquer desvio é
pouco provável que seja detectado pela gerência, pois este processo na maior parte é posto prática por iniciativa
individual.
No entanto, a responsabilidade global dos principais processos de gestão do desempenho é clara e a administração é
recompensada com base em medidas-chave de desempenho.
O comitê diretivo de TI é operacional e formalizado, com participação e responsabilidades definidas e acordadas por
todas as partes interessadas (stakeholders).
O contrato e a política de governança também são formalizados e documentados.
Além do comitê diretivo de TI, a governança da organização é estabelecida e distribuída por todo staff.
4 Gerenciado e Mensurável
Existência de plena compreensão dos assuntos de Governança de TI em todos os níveis, apoiados por treinamento
formal.
Existe uma clara compreensão de quem é o cliente e as responsabilidades são definidas e monitoradas através de
acordos em nível de serviço. Responsabilidades são claras e suas respectivas propriedades são estabelecidas.
Processos de TI estão alinhados com a empresa e com a estratégia de TI.
Melhoria nos processos de TI é baseada principalmente num entendimento quantitativo, e é possível monitorar e
medir a conformidade com os procedimentos e as métricas do processo.
Todas as pessoas envolvidas nos processos estão conscientes dos riscos, da importância da TI e das oportunidades
que ele pode oferecer.
A administração tem tolerâncias definidas no âmbito das quais processos devem operar.
49
Ações são tomadas, em muitos, mas não em todos os casos em que os processos parecem não funcionar eficazmente
ou eficientemente.
Os processos são ocasionalmente melhorados e melhores práticas internas são aplicadas.
A análise das causas está sendo colocadas em normas.
A melhoria contínua está começando a ser direcionada. Verifica-se limitado e essencialmente tático, uso de
tecnologia, baseada em técnicas maduras e aplicadas ferramentas padrão.
Existe envolvimento de todos os especialistas do domínio interno.
A Governança de TI evolui a uma escala de processo do negócio.
As atividades de Governança de TI estão tornando-se integradas com o processo de governança empresarial.
Existe uma estrutura totalmente operacional de governança que aborda uma arquitetura coerente para re-engenharia e
de interdependência de operação dos processos empresariais em toda a empresa, assegurando a competitividade aos
recursos do negócio e investimentos incrementais em curso na infra-estrutura de TI.
Não é apenas uma responsabilidade organizacional de TI, mas é partilhada com as unidades de negócio.
5 - Otimizado
A compreensão dos problemas e soluções Governança de TI é avançada e com visão de futuro.
Treinamento e comunicação são apoiados pelos principais conceitos e técnicas de ponta. Os processos têm sido
refinados a um nível externo de melhores práticas, baseadas em resultados de melhoria contínua e modelos de
maturidade em outras organizações.
A implementação destas políticas tem levado a uma organização, pessoas e processos que se adaptam rapidamente e
apóiam plenamente os requisitos de Governança de TI.
As causas de todos os problemas e desvios são analisadas e ações eficientes são rapidamente identificadas e
iniciadas.
A TI é usada de forma ampla, integrada e otimizada, de modo a automatizar o fluxo de trabalho e fornecer
ferramentas para melhorar a qualidade e a eficácia. Os riscos e retornos de processos de TI são definidos, apurados
(balanced) e comunicados em toda a empresa.
Peritos externos são convocados e pontos de referência são utilizados para obter orientação.
O acompanhamento, a auto-avaliação e a comunicação sobre as expectativas de governança são difundidos no
âmbito da organização e existe uma melhor utilização da tecnologia para apoiar a medição, análise, comunicação e
formação (treinamento).
A Governança Corporativa e de TI são estrategicamente alinhadas, alavancando tecnologia e recursos humanos e
financeiros para aumentar a vantagem competitiva da empresa.
A estrutura e os conceitos de governança formam o núcleo do corpo do governo de TI da empresa, incluindo as
previsões para melhorar a estrutura por mudanças na estratégia empresarial, organização ou novas tecnologias.
Quadro 2.7 – Modelo de maturidade de governança de TI do ITGI
Fonte: ITGI, 2003
Com base na pesquisa de Rosa (2008), o modelo proposto (COBIT) para avaliar a maturidade da
governança de TI busca suportá-la por meio do alinhamento aos requisitos de negócio, suporte ao
negócio e maximização de benefícios, uso adequado dos recursos de TI e gerenciamento
apropriado de riscos de TI. Esse modelo propõe uma amostra de referência para profissionais de
tecnologia da informação e de negócio, com processos que normalmente são encontrados nas
funções de TI na organização. As principais características do COBIT são o foco nos negócios, a
orientação por processos, sua base em controles e o estímulo por medidas. O modelo é composto
por 34 processos de tecnologia da informação, distribuídos em 4 áreas de domínio, quais sejam:
50
(1) Planejamento e Organização; (2) Aquisição e Implementação; (3) Entrega e Suporte e (4)
Monitoramento e Avaliação. Essas áreas de domínio têm seu foco, respectivamente, na provisão
de diretrizes de governança de TI, na previsão de soluções de serviços de TI, no oferecimento dos
serviços aos usuários e no monitoramento dos processos para garantir o cumprimento dos
objetivos necessários. O Quadro 2.8 apresenta todos os processos do modelo:
Domínio Nome dos Processos
Planejamento e Organização PO1 – Definição de plano estratégico de TI
PO2 – Definição da arquitetura de informação
PO3 – Determinação da direção tecnológica
PO4 – Definição dos processos de TI, organização e relacionamentos
PO5 – Gestão do investimento em TI
PO6 – Comunicação dos objetivos de gestão e direcionamentos
PO7 – Gestão de recursos humanos de TI
PO8 – Gestão da qualidade
PO9 – Avaliação e gestão de riscos de TI
PO10 – Gestão de projetos
Aquisição e Implementação AI1 – Identificação de soluções automatizadas
AI2 – Aquisição e manutenção de softwares
AI3 – Aquisição e manutenção de tecnologias de infra-estrutura
AI4 – Habilitar operação e uso
AI5 – Selecionar recursos de TI
AI6 – Gestão de mudanças
AI7 – Instalação e certificação de soluções e mudanças
Entrega e Suporte DS1 – Definição e gestão de níveis de serviço
DS2 – Gestão de serviços terceirizados
DS3 – Gestão de desempenho e capacitação
DS4 – Asseguração da continuidade de serviço
DS5 – Asseguração da segurança de sistemas
DS6 – Identificação e alocação de custos
DS7 – Educação e treinamento de usuários
DS8 – Gestão de serviços de apoio ao usuário e de incidentes
DS9 – Gestão da configuração
DS10 – Gestão de problemas
DS11 – Gestão de dados
DS12 – Gestão do ambiente físico
DS13 – Gestão das operações
Monitoramento e Avaliação ME1 – Monitoramento e avaliação do desempenho de TI
ME2 – Monitoramento e avaliação de controles internos
ME3 – Asseguração da conformidade com requisitos externos
ME4 – Promoção de governança de TI
Quadro 2.8 – Domínio dos processos do modelo COBIT
Fonte: ITGI, 2007b, p. 26
Na estrutura de processos do modelo COBIT, mostrada no Quadro 2.8, há ênfase nos aspectos de
controle interno e promoção da governança de TI no domínio de monitoramento e avaliação.
Nesse modelo, controle é definido como “políticas, procedimentos, práticas e estruturas
51
organizacionais projetadas para prover a segurança de que os objetivos de negócio serão
alcançados e eventos indesejados serão prevenidos ou detectados e corrigidos”. ITGI (2007b, p.
13).
Para explorar a relação entre processos de governança de TI e mitigação de riscos operacionais,
Rosa (2008) elaborou o modelo descrito no Quadro 2.9, em que são incluídos os processos
selecionados no modelo COBIT e os respectivos referenciais teórico-empíricos que embasaram a
seleção de sua pesquisa, bem como o contexto de relevância relacionado às referências:
Processo COBIT selecionado Referências Relevância
ITGI (2007) Gestão de Risco de TI Avaliação e Gestão de Riscos de
TI
(PO9)
ITGI (2007) Gestão corporativa de riscos
ITGI (2007) Garantir a gerência de
projetos
Gestão de Projetos (PO10)
Guldentops et al. (2002); Gerke e Ridley
(2006) – Modelo COBIT
Processo avaliado como
importante
Gestão de RH de TI (PO7) BIS (2004), BACEN (2006) – Risco
Operacional
Pessoal
ITGI (2007) Garantia de continuidade de
serviço
Asseguração da Continuidade de
Serviço (DS4)
Guldentops et al. (2002); Gerke e Ridley
(2006) – Modelo COBIT
Processo avaliado como o 2º
mais importante do modelo
ITGI (2007) Garantir a segurança de
sistemas
Asseguração da Segurança de
sistemas (DS5)
Guldentops et al. (2002); Gerke e Ridley
(2006) – Modelo COBIT
Processo avaliado como o
mais importante do modelo
ITGI (2007) Garantir a integridade e
validade de dados
Gestão de Dados (DS11)
Guldentops et al. (2002); Gerke e Ridley
(2006)
Processo avaliado como o 4º
mais importante do modelo
ITGI (2007) Auditoria interna de TI
Donaldson (1990 apud TURNBULL, 1997)
– Governança
Monitoramento
Hawley e Williams (1996 apud
TURNBULL, 1997) Governança
Corporativa
Controle
NIST (2002) – Gestão de riscos Controle
Avaliação e Monitoramento de
Controles Internos (ME2)
COSO (1994), BIS (1998) Controle interno
OCDE (2004), BIS (2006) – Governança
Corporativa
Estrutura, incentivos, objetivos
estratégicos
Promoção de Governança de TI
(ME4)
Meirelles et al. (2005), Albertin e Albertin
(2005), Pinochet et al. (2005), Weill e Ross
(2006) – Governança Corporativa e
Responsabilização, decisão
52
Governança de Tecnologia da Informação
Quadro 2.9 – Processos selecionados no modelo COBIT e referenciais teórico-empíricos
Fonte: ROSA, 2008
O modelo proposto por Rosa (2008) contém a relação dos oito processos de governança de TI,
sendo os seis primeiros processos propriamente de tecnologia da informação e, os dois últimos,
processos de controle. Assim, baseado em Rosa (2008), faz-se necessário demonstrar a descrição
desse modelo, a saber:
• (I) O processo de Avaliação e Gestão de Riscos de TI é relevante na maioria dos
princípios de gestão do risco operacional e para a gestão corporativa de riscos, assim
como o processo de promoção da governança de TI;
• (II) O processo Gestão de Projetos possui uma base importante para análise de cenários de
TI, descrevendo a necessidade de assegurar a gerência de projetos de TI para reduzir as
probabilidades de falhas em projetos de sistemas, e conseqüentemente, de riscos
operacionais;
• (III) O processo de Gestão de RH de TI é baseado na definição de risco operacional,
conforme BIS (2004) e BACEN (2006), sendo o componente humano um fator que
agrega risco às operações de um processo de negócio, seja diretamente ou no suporte às
operações, como é o caso dos profissionais da área de TI;
• (IV) O processo de Asseguração da Continuidade de Serviço é salientado em relação aos
planos de contingência e continuidade de negócio (Basiléia II), sendo, também,
evidenciado pelo ITGI (2007) na análise de cenário referente ao rompimento de serviços
de TI;
• (V) O processo Gestão de Dados tem como intuito a garantia da integridade e da validade
de dados em sistemas, sendo fundamental para a eficiência da automatização, não
permitindo resultados indesejados em função de falhas nas transações realizadas.
53
Transações envolvendo recursos financeiros devem ser íntegras, não podendo ocorrer
parcialmente, e devem ter seus dados armazenados em meios adequados e disponíveis.
• (VI) O processo de Avaliação e Monitoramento de Controles Internos vem da importância
da implementação de controles para a mitigação de riscos. A redução da probabilidade de
uma ameaça valer-se de uma vulnerabilidade em um sistema e é realizada por meio de
medidas de controle, conforme ITGI (2007). Em Coso (1994) e BIS (1998) encontra-se
que o processo de controle interno tem a eficácia e eficiência operacional como um de
seus objetivos. Turnbull (1997) consolida conceitos de governança corporativa, os quais
apontam para a necessidade de monitoramento e controle para o alcance dos objetivos
organizacionais. Portanto, esses atributos são, da mesma forma, relacionados à eficácia da
governança de TI;
• (VII) O processo de Promoção de Governança de TI está apoiado em OCDE (2004) e BIS
(2006), que denotam a necessidade de desenvolvimento de uma estrutura para o
estabelecimento de objetivos estratégicos, de recursos e incentivos adequados para a
governança corporativa. Nessa direção, a governança de TI deve procurar o alinhamento
estratégico para contribuir no alcance de objetivos da empresa, especificando os direitos
decisórios e atribuindo responsabilidades, segundo Meirelles e outros (2005), Albertin e
Albertin (2005), Pinochet e outros (2005) e Weill e Ross (2006).
O modelo desenvolvido por Rosa (2008), com base no COBIT, apresenta um conjunto de
assertivas para cada processo. O processo de Avaliação e Gestão de Riscos de TI apresenta
assertivas que vão da escala de 0 a 5. (ROSA, 2008), conforme Quadro 2.10:
0 - Não existe
O processo de avaliação e gestão de riscos de TI (GR) não é identificado como relevante.
1 - Inicial / Ad Hoc
Os riscos são gerenciados de maneira ad hoc. As avaliações de riscos de projeto são de forma individual, projeto a
projeto. Os riscos identificados raramente são designados para gerentes específicos. Os riscos cotidianos de TI
raramente são discutidos em reuniões. Quando o risco é considerado, sua mitigação é inconsistente. A consciência de
risco é emergente.
54
2- Repetitivo mas intuitivo
Uma abordagem de GR está em desenvolvimento e é implementada de acordo com cada gerente. A GR é usualmente
de alto nível e para projetos mais importantes ou em resposta a problemas. Processos de mitigação de risco estão
sendo implantados quando há a identificação de risco.
3 - Processo Definido
Há uma política organizacional definindo quando e como conduzir a GR. O processo é documentado. Ocorrem
treinamentos de GR. As decisões sobre seguir os procedimentos e receber treinamento são individuais. A
metodologia para GR é convincente e assegura que riscos-chave para o negócio são identificados. Processos de
mitigação de risco são usualmente instituídos uma vez que os riscos são identificados. A descrição de cargos
considera as responsabilidades de GR.
4 Gerenciado e Mensurável
Há procedimentos padrões para GR. Exceções são reportadas à gerência de TI. A responsabilidade pela GR é de
nível sênior (diretoria). Riscos são avaliados e mitigados no plano individual de projetos e também alinhados à
operação geral de TI. Mudanças no ambiente de negócios e de TI que possam afetar os cenários de riscos de TI são
alertados para a gerência. A gerência é habilitada para monitorar a posição de risco e tomar decisões em função da
exposição desejada. Todos os riscos identificados possuem um funcionário responsável e as gerências sênior
(diretoria) e de TI determinam o nível de risco tolerado. A gerência de TI desenvolve medidas padrão para a GR, ou
seja, definição de um trade-off (troca) entre risco/retorno. O orçamento para projeto de gestão de risco operacional é
reavaliado periodicamente. Há um banco de dados para gestão de riscos e parte do processo é automatizada. A
gerência de TI considera estratégias de mitigação de risco.
5 – Otimizado
O processo de GR é estruturado, reforçado em toda a organização e bem gerenciado. Boas práticas são aplicadas em
toda a organização. A captura, análise e informação de dados para GR é altamente automatizada. Há orientação de
líderes nesse campo e a organização realiza trocas de experiências. A GR é integrada em todas as linhas de negócio.
Os gerentes detectam e atuam quando decisões de investimento em TI são feitas sem considerar o plano de
gerenciamento de riscos. A gerência continuamente avalia estratégias de mitigação de riscos.
Quadro 2.10 – Assertivas do processo de Avaliação e Gestão de Riscos de TI
Fonte: ROSA, 2008
O processo de Gestão de Projetos apresenta assertivas que vão da escala de 0 a 5. (ROSA 2008),
conforme Quadro 2.11:
0 - Não existe.
Técnicas de gestão de projetos (GP) não são utilizadas.
1 - Inicial / Ad Hoc.
O uso de técnicas e metodologias de GP de TI é individual. Decisões críticas de GP são feitas sem a consulta ao
usuário do projeto. Os usuários pouco se envolvem na definição de projetos de TI. Não há estrutura clara para a GP
55
de TI. Papéis e responsabilidades para a GP não são definidos. Projetos, cronogramas e metas são deficientemente
definidos. Não há comparação entre despesas de projetos e orçamentos.
2 - Repetitivo, mas intuitivo.
A gerência sênior busca conscientizar a necessidade de GP de TI. Algumas técnicas e métodos são utilizados, caso a
caso. Os projetos de TI definem informalmente objetivos de negócio e técnicas. Há envolvimento limitado de
stakeholders na GP de TI. Algumas orientações iniciais são desenvolvidas para aspectos de GP. A aplicação das
orientações é a cargo de cada gerente de projeto.
3 - Processo Definido.
O processo e a metodologia de GP de TI são estabelecidos e comunicados. Os projetos de TI são definidos com
objetivos de negócio e técnicos. Gerentes seniores de TI e de negócio estão iniciando comprometimento na GP de TI.
Existe um escritório de gestão de projetos de TI, com papéis e responsabilidades iniciais definidos. Os projetos de TI
são monitorados e com medidas atualizadas de cronograma, orçamento e desempenho. Treinamento para GP é
realizado, mas resultado de iniciativas individuais. Há início de GP por portfólio.
4 - Gerenciado e Mensurável.
Métricas de projeto e lições aprendidas são consideradas. A GP é medida e avaliada em toda a organização, não
somente na área de TI. Melhorias são realizadas no processo de GP, formalizadas, comunicadas e treinadas nas
equipes. São estabelecidos critérios para a avaliação de sucesso em cada meta de projeto. Valor e risco são medidos
antes e após a conclusão do projeto. Os projetos cada vez mais observam objetivos do negócio e não só de TI. Há
apoio ativo de gerentes seniores e stakeholders à disciplina de gestão de projetos. O escritório de projetos possui
planejamento relevante para treinamento da assessoria e área de TI.
5 – Otimizado.
Uma metodologia atestada, de ciclo completo de vida é implementada, reforçada e integrada na cultura
organizacional. São implementadas iniciativas de identificar e institucionalizar melhores práticas de GP. São
definidas e implementadas estratégias para documentação de desenvolvimentos e operação de projetos. Há um
escritório integrado de gestão de projetos responsável por projetos e programas, do início e até após a
implementação. Planejamento de programas e projetos asseguram a melhor utilização de recursos de TI.
Quadro 2.11 – Assertivas do processo de gestão de projetos
Fonte: ROSA, 2008
O processo de Gestão de Recursos Humanos de TI apresenta assertivas que vão da escala de 0
a 5. (ROSA, 2008), conforme Quadro 2.12:
0 - Não existe.
Não há consciência sobre alinhamento de gestão de recursos humanos de TI (GRH) ao planejamento organizacional.
1 - Inicial / Ad Hoc.
A gerência reconhece a necessidade de GRH. O processo de GRH é informal e reativo. O processo de GRH é
operacionalmente focado, na contratação e gerência de pessoal. A consciência está em desenvolvimento,
56
considerando o impacto que as rápidas mudanças tecnológicas e a crescente complexidade de soluções têm nas
habilidades necessárias para TI.
2- Repetitivo, mas intuitivo.
Há uma abordagem de nível tático para a contratação e gestão de pessoas, dirigida por necessidades específicas de
projetos. Treinamentos informais são realizados para novos contratados.
3 - Processo Definido.
A GRH é definida e documentada. Existe um plano para GRH. Há uma abordagem estratégica para a contratação e
gestão de pessoas. Existe um plano formal de treinamento para a capacitação necessária. É estabelecido um
programa de rotatividade para expandir as habilidades técnicas e de negócio.
4 Gerenciado e Mensurável.
A responsabilidade pelo plano de GRH é designada para um grupo específico, com experiência necessária para
desenvolver e manter o plano. O processo de desenvolvimento do plano de GRH é responsivo a mudanças. Medidas
padronizadas existem para identificar desvios relacionados ao plano de GRH, com ênfase no crescimento e turnover
do grupo de profissionais de TI. Revisões de desempenho e compensação de RH estão sendo desenvolvidas e
comparadas com outras organizações e boas práticas. A GRH é proativa, considerando o desenvolvimento na
carreira.
5 – Otimizado.
O plano de GRH é continuamente atualizado para atender às mudanças de requisitos de negócio. A GRH é integrada
com o plano de tecnologia, assegurando ótimo uso de habilidades disponíveis de TI. A GRH é integrada e responsiva
às diretrizes estratégicas da organização. Componentes da GRH são consistentes com as boas práticas, como
compensação, avaliação de desempenho, transferência de conhecimento e treinamento. Programas de treinamento
são desenvolvidos para todas os novos padrões tecnológicos e produtos, para a sua implantação na organização.
Quadro 2.12 – Assertivas do processo de Gestão de Recursos Humanos de TI
Fonte: ROSA, 2008
O processo de Continuidade de Serviço apresenta assertivas que vão da escala de 0 a 5. (ROSA,
2008), conforme Quadro 2.13:
0 - Não existe.
A continuidade de serviço (CS) não é considerada relevante.
1 - Inicial / Ad Hoc.
As responsabilidades pela CS são informais. A conscientização está iniciando. O foco da gestão é nos recursos de
infra-estrutura e não nos serviços de TI. Usuários implementam soluções temporárias em resposta a falta de serviços
de TI. As respostas são reativas e não preparadas. Planos de interrupção são agendados, mas levam em consideração
necessidades de TI somente, e não de negócio.
2 – Repetitivo, mas intuitivo.
57
São designadas responsabilidades pela CS. As abordagens para garantir CS são fragmentadas. Informações sobre
disponibilidade de sistemas é esporádica, pode ser incompleta e não consideram impactos no negócio. Não há plano
CS de TI documentado, embora os principais serviços sejam conhecidos. Existe um inventário dos sistemas e
componentes críticos, mas pode não ser confiável. Práticas de CS estão emergindo, mas o sucesso depende de
indivíduos.
3 - Processo Definido.
Há prestação de contas sobre CS. Responsabilidades pelo planejamento e testes de CS são claramente identificadas.
O plano de continuidade de TI é documentado e baseado nos aspectos críticos do sistema e nos impactos no negócio.
Há informações periódicas sobre testes de CS. Há iniciativas individuais para seguir padrões e receber treinamentos
para incidentes e desastres. A gerência comunica consistentemente a necessidade para planejamento de CS.
Componentes de alta disponibilidade e redundância de sistemas estão sendo aplicados. Um inventário de
componentes e sistemas críticos é manutenido.
4 - Gerenciado e Mensurável.
São reforçadas as responsabilidades por CS. A responsabilidade por manter o plano de CS é designada. Atividades
de manutenção são baseadas nos resultados de testes de CS, boas práticas internas e mudanças de ambientes de TI e
de negócio. Dados estruturados sobre CS são coletados, analisados e informados. Treinamento formal e obrigatório é
providenciado para processos de CS. Práticas de disponibilidade e plano de CS se complementam. Incidentes de
descontinuidade são classificados e reconhecidos. Objetivos e métricas para CS têm sido desenvolvidos, mas ainda
medidos de forma inconsistente.
5 – Otimizado.
Os processos integrados de CS consideram benchmarking e melhores práticas externas. O plano de continuidade de
TI é integrado com o plano de continuidade de negócio e manutenido rotineiramente. O requisito por CS é
assegurado pelos principais fornecedores. Ocorrem testes globais de planos de CS de TI e os resultados
retroalimentam o plano. Coleta e análise de dados são continuamente usadas para a melhoria do processo. Práticas de
disponibilidade e plano de CS são totalmente alinhadas. A gerência assegura que um desastre ou incidente maior não
ocorrerá em função de uma falha pontual. Objetivos e métricas de CS são usadas de forma sistemática. A gerência
ajusta o plano de CS em resposta às medidas.
Quadro 2.13 – Assertivas do processo de Continuidade de Serviço
Fonte: ROSA, 2008
O processo de Segurança de Sistemas de TI apresenta assertivas que vão da escala de 0 a 5.
(ROSA, 2008), conforme Quadro 2.14:
0 - Não existe.
A organização não reconhece o processo de segurança de sistemas de TI (SS).
1 - Inicial / Ad Ho.c
A consciência da necessidade de segurança é individual. A segurança de TI é tratada de forma reativa e não é
mensurada. As responsabilidades por SS não são claras. Respostas para rupturas de SS são imprevisíveis.
58
2 – Repetitivo, mas intuitivo.
Responsabilidades são designadas para um coordenador de SS, embora sua autoridade seja limitada. A consciência
da necessidade de segurança é fragmentada e limitada. Informações relevantes sobre SS são produzidas, mas não
analisadas. Serviços terceirizados podem não atender às necessidades específicas de segurança da organização.
Políticas de segurança têm sido desenvolvidas, mas as competências e ferramentas são inadequadas. O relatório de
SS é incompleto. Iniciativas individuais de treinamento são encontradas. A área de negócio não vê a SS como
importante para seu domínio.
3 - Processo Definido.
A conscientização sobre SS é promovida pela gerência. Políticas e procedimentos de SS são definidos e alinhados.
Responsabilidades são designadas, mas não consistentemente reforçadas. Existe um plano de SS orientado por
análise de risco. Informações sobre segurança não contêm foco claro no negócio. Testes de segurança ad hoc são
executados. Treinamentos de segurança para TI e para o negócio existem, mas agendados e gerenciados
informalmente.
4 - Gerenciado e Mensurável
Responsabilidades por SS são claramente designadas, gerenciadas e reforçadas. Análises de risco e de impacto são
consistentemente realizadas. É obrigatória a exposição a métodos para promoção de SS. Identificação, autenticação e
autorização de usuários são padronizadas. Certificação em segurança é recomendada para assessores responsáveis
pela auditoria e gestão de SS. Testes de segurança utilizam processos padronizados e formalizados. Processos de SS
são coordenados conjuntamente com outras funções de segurança na organização. Informações sobre SS são ligadas
a objetivos de negócio. Treinamentos de SS são conduzidos nos ambientes de TI e de negócio. Treinamento de SS é
planejado e gerenciado de forma que responda a necessidades do negócio e perfis de risco definidos. Métricas e
objetivos foram definidos mas ainda não são utilizados.
5 – Otimizado.
SS é uma responsabilidade conjunta das gerências de TI e de negócio, e integrada com os objetivos corporativos de
segurança de negócio. Os requisitos de SS são claramente definidos, otimizados e incluídos no plano de segurança.
Usuários são comprometidos com a definição de requisitos de SS, e funções de segurança são integradas com
aplicações na fase de projeto. Incidentes de segurança são prontamente detectados por procedimentos suportados em
ferramentas de automação. Avaliações periódicas de SS são conduzidas para avaliar a eficácia do plano de
segurança. Informações sobre ameaças são sistematicamente coletadas e analisadas. Controles adequados para
mitigar riscos são prontamente comunicados e implementados. Testes de segurança, análise de causas de incidentes e
identificação pró-ativa de riscos são usados para melhoria de processos. Dados para gestão da SS são coletados,
medidos e comunicados. A gerência usa as medidas para ajustar o plano de segurança.
Quadro 2.14 – Assertivas do processo de Segurança de Sistemas de TI
Fonte: ROSA, 2008
59
O processo de Gestão de Dados apresenta assertivas que vão da escala de 0 a 5. (ROSA, 2008),
conforme Quadro 2.15:
0 - Não existe.
Dados não são reconhecidos como ativos ou recursos da organização. Não há designação de responsabilidade pela
gestão de dados (GD).
1 - Inicial / Ad Hoc.
A organização reconhece a necessidade de efetiva GD. Há uma abordagem ad hoc para especificação de requisitos
para GD, mas procedimentos formais não ocorrem. Não há treinamentos específicos sobre GD. Responsabilidade
pela GD não é clara. Há procedimentos de backup e restauração de dados.
2- Repetitivo, mas intuitivo.
Existe a conscientização sobre a importância da GD em toda a organização. A identificação de proprietários de dados
está iniciando. Requisitos de segurança para GD são documentados por iniciativas individuais. Há algum
monitoramento sobre desempenho de atividades de GD. As responsabilidades são informais e designadas para
indivíduos-chave.
3 - Processo Definido.
A necessidade de GD é entendida e aceita na área de TI e em toda a organização. Responsabilidades pela GD são
definidas. Propriedade de dados é designada para as partes responsáveis, que controlam sua integridade e segurança.
Procedimentos de GD são formalizados e algumas ferramentas são adotadas. Medidas básicas de desempenho são
definidas. Treinamentos para GD são realizados com freqüência.
4 - Gerenciado e Mensurável.
As responsabilidades pela GD são claramente definidas, designadas e comunicadas na organização. Procedimentos
são formalizados e amplamente conhecidos, e o conhecimento é compartilhado. O uso de ferramentas para GD é
emergente. Objetivos e indicadores de desempenho são acertados com os usuários e monitorados por meio de um
processo bem definido. Treinamento formal para toda a equipe de GD é realizado.
5 – Otimizado.
Os requisitos para eficiência e eficácia de GD são explorados de maneira proativa. As responsabilidades pela GD e
propriedade de dados são claramente estabelecidas, difundidas e atualizadas periodicamente. Procedimentos de GD
são formalizados e amplamente conhecidos. Ferramentas sofisticadas são usadas com alto grau de automatização de
GD. Objetivos e indicadores de desempenho de GD são relacionados aos objetivos de negócio e consistentemente
monitorados. Oportunidades para melhoria na GD são constantemente exploradas. O treinamento para a área de GD
está institucionalizado.
Quadro 2.15 – Assertivas do processo de Gestão de Dados
Fonte: ROSA, 2008
O processo de Avaliação e Monitoramento de Controles Internos apresenta assertivas que vão
60
da escala de 0 a 5. (ROSA, 2008), conforme Quadro 2.16:
0 - Não existe.
A organização não possui procedimentos para monitorar a eficácia de controles internos de TI (CI).
1 - Inicial / Ad Hoc.
A gerência reconhece a necessidade para gerência e controle de TI. A experiência individual para avaliação de CI é
aplicada de maneira ad hoc. A gerência de TI não designou formalmente a responsabilidade para monitorar a eficácia
de CI. Avaliações de CI são conduzidas como parte tradicional de auditorias financeiras, com metodologias e
competências que não refletem a necessidade da função de serviços de informação.
2 - Repetitivo, mas intuitivo.
A organização usa controle informal para iniciar ações de correção. Avaliação de CI é dependente de habilidades
individuais. A consciência sobre CI tem aumentado. A gestão de serviços de informação realiza monitoramento
sobre a eficácia do que ela acredita ser CI críticos. Metodologias e ferramentas para monitorar CI estão no início de
utilização, mas não como parte de um plano. Riscos específicos para o ambiente de TI são identificados com base
nas habilidades individuais.
3 - Processo Definido.
A gerência suporta o monitoramento de CI. Políticas e procedimentos são desenvolvidos para avaliar e informar
sobre atividades de CI. Há um programa definido de educação e treinamento para monitoramento de CI. O processo
é definido para auto-avaliação e para revisões de garantia de CI. Ferramentas são utilizadas mas não necessariamente
integradas em todos os processos. Políticas de avaliação de riscos de processos de TI estão sendo usadas na estrutura
de controle desenvolvida especificamente para a organização de TI. Riscos específicos de processo e políticas de
mitigação são definidos.
4 - Gerenciado e Mensurável.
A gerência implementa uma estrutura para monitoramento de CI. A organização estabelece níveis de tolerância para
o processo de monitoramento. São implementadas ferramentas para padronizar avaliações e detectar exceções
automaticamente. A função de CI é formalmente estabelecida, com profissionais certificados utilizando uma
estrutura de controle formal aprovada pela gerência sênior. Assessores de TI capacitados participam das avaliações
de CI. Uma base histórica de conhecimentos de CI é estabelecida. Revisões pontuais para monitoramento de CI são
estabelecidas.
5 – Otimizado.
A gerência estabelece um programa organizacional para melhoria contínua que considera lições aprendidas e boas
práticas para monitoramento de CI. A organização usa ferramentas atualizadas e integradas, que permite avaliação
eficaz de CI e rápida detecção de incidentes de monitoramento de CI. Compartilhamento de conhecimento específico
para a função de serviços de informação é formalmente implementado. Benchmarking com padrões da indústria e
boas práticas é formalizado.
Quadro 2.16 – Assertivas do processo de Avaliação e Monitoramento de Controles Internos
Fonte: ROSA, 2008
61
O processo de Promoção de Governança de TI apresenta assertivas que vão da escala de 0 a 5.
(ROSA, 2008), conforme Quadro 2.17:
0 - Não existe.
Não há consciência sobre a importância da governança de TI (GTI).
1 - Inicial / Ad Hoc.
Existem abordagens ad hoc aplicadas individualmente. A abordagem gerencial é reativa e existe comunicação
esporádica e inconsistente sobre questões e metodologias para GTI. A gerência tem somente uma indicação
aproximada sobre como a TI contribui para o desempenho do negócio. A gerência responde reativamente a
incidentes que causaram perda ou embaraço para a organização.
2 – Repetitivo, mas intuitivo.
Há consciência sobre questões de GTI. Estão em desenvolvimento atividades de GTI e indicadores de desempenho,
que incluem planejamento de TI e processos de entrega e monitoramento. Processos selecionados são identificados
para melhoria baseada em decisões individuais. A gerência identifica medidas básicas, técnicas e métodos de
avaliação de GTI, entretanto o processo não ocorre em toda a organização. Comunicação e responsabilidade sobre
padrões de GTI são individuais. A GTI é limitada devido à falta de especialização em suas funcionalidades.
3 - Processo Definido.
A conscientização é compreendida e a gerência comunica a toda a organização. Uma linha de base com indicadores
de GTI é desenvolvida e documentada, na qual são definidas relações entre medidas de resultado e indicadores de
desempenho. Procedimentos são padronizados e documentados. A gerência comunica os padrões e há treinamento.
Ferramentas são identificadas para auxiliar a GTI. Painéis são definidos como parte de balanced scorecards de TI.
Entretanto, o treinamento e uso é deixado a cargo individual. Processos podem ser monitorados, mas desvios são
improváveis de serem detectados pela gerência.
4 - Gerenciado e Mensurável.
Há um profundo entendimento sobre questões de GTI. Há uma clara compreensão de quem é o cliente e
responsabilidades são definidas e monitoradas. Responsabilidades e proprietários de processos são claramente
identificados. Processos de TI e GTI são alinhados à estratégia de TI e de negócio. Melhorias em processos de TI são
baseadas em compreensão quantitativa, e é possível monitorar e medir conformidade a procedimentos e métrica de
processos. Todos os stakeholders são conscientes do risco, da importância de TI e das oportunidades que ela pode
oferecer. A gerência define níveis de tolerância para operação dos processos. Há uso tático limitado da tecnologia,
com base em técnicas maduras e ferramentas padrão. GTI foi integrada ao plano estratégico e operacional, e aos
processos de monitoramento. Indicadores de desempenho de GTI são registrados e acompanhados, levando a
melhorias na organização. Prestação de contas de processos-chave é concebida, e a gestão é suportada por medidas-
chave de desempenho.
5 – Otimizado.
62
Há um avançado entendimento de questões e soluções de GTI. Treinamento e comunicação são suportados por
técnicas e conceitos maduros. Processos são refinados a níveis de boas práticas da indústria, baseados em resultados
de melhorias contínuas e modelagem de maturidade em outras organizações. A implementação de políticas leva a
uma rápida adaptação de pessoas e processos organizacionais a requisitos de GTI. Em todos os problemas e desvios
são analisadas as causas básicas, e ações eficientes são identificadas e iniciadas. A TI é usada de maneira extensiva,
integrada e otimizada para automatizar o fluxo de trabalho, em direção à melhoria de qualidade e eficácia. Os riscos
e retornos de processos de TI são identificados, balanceados e comunicados na organização. Monitoramento, auto-
avaliação e comunicação sobre expectativas de GTI são pervasivas em toda a organização. Governança corporativa e
GTI são estrategicamente ligadas, alavancando tecnologia, recursos humanos e financeiros para aumentar a
vantagem competitiva da organização. Atividades de GTI são integradas ao processo de governança corporativa.
Quadro 2.17 – Assertivas do processo de Promoção da Governança de TI
Fonte: ROSA, 2008
Nesse contexto, esta pesquisa passa a tratar de alguns temas importantes para reflexão sobre a
maturidade da governança de TI e o desempenho financeiro de uma organização. Dessa forma,
passa a lidar com o processo de avaliação e gestão de riscos de tecnologia da informação e a
disseminação da governança de tecnologia da informação, os quais são utilizados como
abordagem para detectar a maturidade da governança de TI no presente trabalho.
A pesquisa empírica de Rosa (2008) utilizou a estratégia de estudo de caso, tendo como unidade
de análise o processo de redesconto bancário conduzido na Diretoria de Política Monetária do
Banco Central do Brasil. Os instrumentos de pesquisa – protocolos de entrevistas e questionário
eletrônico – foram aplicados em três áreas da organização, a saber: na área de negócio, na área de
tecnologia da informação e na área de auditoria interna. A análise de dados teve abordagem
mista. Para a análise qualitativa, utilizou-se a análise de conteúdo e o mapa de associação de
idéias. Na análise quantitativa, aplicou-se a análise de freqüências e a estatística descritiva, com
apoio do teste não-paramétrico U de Mann-Whitney. Oito processos do modelo COBIT para
governança de TI (seis processos de TI e dois processos de controle) foram selecionados para a
pesquisa empírica.
Os resultados de Rosa (2008) evidenciam a participação desses processos na mitigação de riscos
operacionais e a importância de sua gestão por níveis de maturidade para a capacitação contínua e
a institucionalização desses processos de governança de tecnologia da informação. De forma
complementar, constatou-se que as características de alta confiabilidade também contribuem para
63
a mitigação de riscos operacionais, como observado nos centros de monitoramento do processo
de negócio analisado. Assim, as boas práticas de governança de TI estão para a área de tecnologia
da informação, assim como os elementos de alta confiabilidade estão para a área de negócio. Elas
são complementares entre si para a gestão de riscos operacionais.
2.2.2 Gerenciamento de riscos e a TI
Vaughan (1997) faz uma interessante observação de que toda a história da espécie humana é uma
cronologia da exposição ao risco e a adversidade e, também, de esforços para lidar com eles. Ele
admite que talvez seja um exagero afirmar que a mais recente profissão é a de gestão de risco,
mas ele lembra que, desde o alvorecer de sua existência, os seres humanos têm enfrentado o
problema da sobrevivência, a lidar com a questão da segurança e prevenção de risco que
ameaçam a extinção em face de adversidades decorrentes de predadores e da mãe natureza (entre
outras coisas). McLorrain (2000) também chama a atenção que a experiência de gestão de risco
original é da Mãe Natureza, porque os sistemas naturais (como as espécies e ecossistemas) foram
capazes de sobreviver e prosperar ao lidar com os desafios que vão desde predadores hostis às
alterações climáticas.
Depois da correlação do risco com eventos da natureza e o desenvolvimento da raça humana, é
importante ressaltar que nesta dissertação a gestão de riscos é tratada como uma atividade
empresarial. Assim, antes de descrever o processo de gestão dos riscos, é útil comentar de forma
geral as técnicas de lidar com o risco, que incluem as seguintes:
• Evitar riscos: a exposição ao risco será inteiramente evitada, uma vez que o retorno da
atividade não é vantajoso o suficiente para reduzir os controles existentes. Pode ocorrer
eliminação do risco através da dissolução de um negócio, setor ou unidade;
• Aceitação do risco: A exposição ao risco será mantida, sem que se promovam ações para
minimizar sua ocorrência, já que o retorno da atividade/decisão é considerado mais
vantajoso e a redução da exposição ao risco seria mínima;
64
• Transferência do risco: A exposição ao risco será transferida para terceiros, através da
adoção de seguros ou terceirização das atividades;
• Partilha de risco: Este é um caso especial de transferência de risco e também uma forma
(parcial) de aceitação. Quando o risco é compartilhado, a possibilidade de perda é
(parcialmente) transferida da parte individual para o grupo (o melhor exemplo é a
participação em empresas);
• Redução (mitigação) do risco: A exposição ao risco será reduzida através da adoção de
novos controles ou controles mais eficientes. Os planos de investimentos e as
necessidades orçamentárias, no entanto, devem ser identificadas e aprovadas.
Nesse contexto, a definição de gerenciamento de risco assume muitas formas. Vaughan (1997)
define a gestão de riscos como uma abordagem científica para lidar com riscos por antecipação
de possíveis perdas acidentais. Nesse caso, é importante projetar e implementar procedimentos
que minimizem a ocorrência de perda ou o impacto financeiro das perdas que ocorrem.
A comunidade cientifica e os consultores de risco, normalmente, associam a gestão de riscos ao
processo de mensuração ou de avaliação do risco, portanto, relacionam-na ao desenvolvimento de
estratégias para gerir o risco. Em geral, as estratégias utilizadas incluem a transferência de risco
para outra parte, evitar o risco, mitigar o efeito negativo do risco e aceitar todas ou algumas das
conseqüências de um risco particular. Com a finalidade de gerenciar o risco, é necessário
distinguir entre controle de risco e risco financeiro. Risco de controle engloba técnicas destinadas
a minimizar os riscos em que a empresa está exposta (pelo menos os custos possíveis), incluindo
evitar os riscos e as várias abordagens para a redução de riscos através da prevenção de perda e
esforços de controle. Risco financeiro, por outro lado, centra-se em garantir a disponibilidade de
recursos para fazer face às perdas que ocorrem, fundamentalmente sob a forma de aceitação ou
transferência. Assim, a transferência de riscos através de seguro não envolve a transferência do
risco para a companhia de seguros, mas sim, o risco financeiro através da companhia de seguros,
como uma alternativa para financiá-lo através de reservas e capitais.
65
Pezier (2003a) argumenta que, em um mundo incerto, boas decisões já não equivalem a bons
resultados e boa gestão torna-se sinônimo de boa gestão de risco, descrevendo como uma
"tragédia" a possibilidade de visualização de gestão de riscos como uma disciplina divorciada do
gerenciamento geral, quando deveria ser uma parte integrante do mesmo.
Com base no exposto até o momento, pode-se conceituar a gestão de riscos do negócio, no
contexto corporativo, como um processo contínuo onde a alta gerência, suportada pelos
responsáveis pelos processos de negócio, minimiza o impacto potencial dos riscos da organização
sobre os objetivos e estratégias, criando e aumentando valor para os acionistas.
Weill e Ross (2006) afirmam que riscos são inerentes a qualquer decisão de investimento de
negócios e executivos seniores estão habituados à análise de risco. Investimentos em TI podem
expor uma firma a riscos de quatro tipos: mercadológicos, financeiros, organizacionais e técnicos.
Frequentemente, as empresas dispõem de modelos bem desenvolvidos para as propostas de
investimentos em TI, que requerem a articulação de cada tipo de risco. Adicionalmente, o
portfolio de investimentos em TI implica riscos – não diferentes dos riscos de um portfolio de
ações. Se bem escolhido, esse portfolio de investimento em TI reduz o risco geral do proprietário.
Partindo-se para uma abordagem relacionada ao risco operacional, segundo afirma Hussain
(2000), esses riscos contêm e influenciam exatamente as variáveis corporativas necessárias para
gerenciar a exposição de riscos financeiros de uma organização. Assim, um sistema integrado de
gestão de riscos terá de centrar-se no risco operacional.
Nesse contexto, é importante chamar a atenção para o fato de que é uma atitude não profissional
e mesmo perigosa supor que, uma vez instalados modelos e sistemas de mensuração do risco
numa organização, pode-se simplesmente parar de se preocupar com o risco.
Erben (2000) assevera que riscos operacionais são problemas mal estruturados em que causas e
efeitos, objetivos e potenciais soluções são complexas e não totalmente conhecidas. O desafio é
ter uma abordagem para a questão do que é apropriado para essa complexidade e a natureza dos
componentes do risco operacional: processos, pessoas, sistemas e eventos externos.
66
Essa abordagem pode ser complementada com a idéia de que gestão de risco tem sido uma
preocupação crescente, ainda mais num contexto de crise financeira deflagrada no último
trimestre de 2007. Além de outros fatos acontecidos nas últimas décadas, pode-se citar a queda da
Enron e a fraude do Société Générale, que provocou a perda de 7 bilhões de dólares desta
instituição. Assim, pode-se dizer que houve uma mudança de paradigma relacionada à atividade
de gerenciamento de risco, como demonstrado no Quadro 2.18.
Paradigma Tradicional Paradigma Atual
Avaliação de riscos é efetuada somente quando os
executivos acreditam haver a necessidade.
Avaliação de riscos é uma atividade contínua.
Somente Controladoria e Auditoria Interna se
preocupam com riscos.
Todos, incluindo gestores de negócios são
responsáveis pelo gerenciamento de riscos.
Controles direcionados para risco financeiro e
resultados.
Estruturar controles para minimizar riscos de
negócio
Ausência de política abrangente para gestão de
riscos.
Política e Responsabilidades formalizadas para
Gestão de Riscos.
Inspecionar, detectar e reagir aos riscos de negócio. Antecipar, prevenir e monitorar riscos em bases
contínuas por localidade que possuem poder de
decisão/ gestão de riscos.
Quadro 2.18 - Evolução do Gerenciamento de Risco
Fonte: Elaboração própria, 2009
Dentro do gerenciamento do risco operacional se destaca a importância da prévia instituição no
ambiente organizacional do gerenciamento de processos, pois através dele abre-se a possibilidade
de se fazer um gerenciamento de risco eficaz. Segundo Schmelzer e Sesselmann (2001), o
gerenciamento de processos de negócio é entendido como um conceito integrado de orientação,
organização e controle de processos empresariais, a fim de permitir a sua perfeita adaptação aos
objetivos corporativos. O gerenciamento de processos é tanto a alma e a concepção metódica que
impulsiona esse empreendimento, bem como a competência central que serve como método
facilitador para toda a organização. Como tal, não se limita a modelos de processo ou processos
orientados por um conjunto de ferramentas, embora seja geralmente entendido como o processo
coincidente com o já existente na empresa, para efeitos de gestão do risco operacional. Esse
aspecto é relaxado, tendo em vista que o mesmo serve como primeiro passo na implementação
das estruturas de processos organizacionais no contexto do gerenciamento de risco e nesse
sentido deve ser desenvolvido.
67
Qual pode ser o potencial benefício decorrente de uma instituição financeira passar a gerir
efetivamente o risco operacional de uma forma estruturada? Para Doerig (2000), responsável
Chief Risk Officer (CRO) pelo gerenciamento de risco do Crédit Suisse Group's, a resposta é
óbvia: Bom gerenciamento de risco operacional previne crises. A única alternativa para a boa
gestão de risco operacional é a gestão de crises. Com boa gestão de riscos operacionais uma
organização gere todos os seus riscos.
Nessa perspectiva, pode-se dizer que para as organizações que querem manter o controle é
imperioso direcionar de forma pró-ativa suas questões abertas de risco, particularmente as de
riscos operacionais, uma vez que eles assumem o potencial - muito mais do que a os riscos de
mercado, de crédito ou de liquidez - para conduzir ao fracasso institucional.
Alcançar a transparência é uma expectativa central do gerenciamento de risco operacional que
necessita ser cumprida. Se uma instituição é dirigida, por exemplo, de acordo com os princípios
do risco-retorno ajustado sobre o capital próprio ou retorno sobre o capital de risco ajustado,
qualquer decisão quanto à alocação de capital ou de gestão da carteira corporativa pode ser
imperfeita se o risco operacional não é levado em conta. Assim, por exemplo, uma instituição
financeira pode ser tentada a trocar áreas de negócio em um ambiente transparente em relação a
riscos de mercado ou de crédito por negócios com riscos operacionais escusos. Somente se os
dados forem integrados, em uma instituição financeira, podem esses serem fundamentalmente
bons, razoáveis e amplamente utilizados, sendo completos e dando uma imagem mais próxima ao
risco-retorno real possível. Para esse efeito, em um negócio com abordagem ampla será essencial
que não só possua as informações de risco operacional originados de todos os pontos relevantes
da instituição, como também faça a integração do risco operacional aos sistemas registrando as
situações de riscos financeiros de forma constante.
Para Hussain (2000), as instituições precisam ser pro ativas e desenvolverem metodologias
compreensivas e globais para o risco operacional que abranjam todas as possíveis falhas que
possam ter impacto negativo em uma empresa.
A gestão de risco operacional ativa possui três objetivos igualmente importantes: melhoria da
eficácia / eficiência de mãos dadas com a redução da exposição ao risco; fornecer uma visão
68
completa dos riscos numa instituição financeira para permitir decisões fundamentadas e permitir
gerir o negócio, de acordo com uma perspectiva de risco-retorno.
Esses objetivos têm a função de reduzir perdas, diminuir custos e proporcionar uma utilização
mais eficiente dos recursos. Segundo Wilson (2000), devido a esses e a outros inúmeros
objetivos, uma instituição financeira persegue a Gestão de Risco Operacional, podendo os
mesmos ser generalizados e classificados em três grandes grupos: metas estáticas de evitar perdas
e reduzir volatilidade de desempenho; metas dinâmicas de melhoria de processos empresariais e
gestão de metas para aumento da transparência e da melhoria da gestão.
Esses objetivos não se afiguraram ser mutuamente exclusivos, e o julgamento intuitivo reforça
que eles devem ser empreendidos mutuamente e, como tal, constituem uma agenda coerente para
o gerenciamento de risco operacional.
Nessa linha de raciocínio, Shah (2001) afirma que, na busca desses objetivos, o empenho da
gestão do risco operacional tem de respeitar duas diferenças centrais que as instituições
financeiras aprenderam a dominar em relação aos riscos financeiros desde Basiléia I. Em
primeiro lugar, dados específicos de cada instituição são necessários, já que o risco operacional é
endógeno, ou seja, variáveis significativamente baseadas nas operações internas das instituições.
E em segundo lugar, compreensão ampla dos fatores causais é fundamental, porque o risco
operacional é gerido, muito mais, por mudanças em processos, tecnologia, pessoas, organização e
cultura, do que pelos mercados de capitais.
Assim, segundo Mottershead, Marsh e Taylor (2001), numa perspectiva de tempo, a prática de
gerenciamento de risco operacional deve permitir que as empresas explorem oportunidades de
crescimento futuro, ao mesmo tempo em que protege o valor já criado. Darlington, Grout e
Whitworth (2001) corroboram com essa idéia ao afirmar que a identificação do risco no processo
de gerenciamento de risco operacional irá consequentemente focar tanto nos processos, serviços e
produtos atuais como sobre projetos futuros e oportunidades de negócios. Além disso, colocam
que, no seu próprio interesse, a gestão do risco operacional deve ter o cuidado de identificar a
provável redução de custos a partir dos riscos que tenham sido geridos com êxito. Assim, essa
69
função de controle integrada será de grande importância para firmar o gerenciamento de risco
operacional dentro da instituição financeira, tornando visíveis os ganhos de eficiência e os
recursos poupados para o negócio em questão de forma continuada.
Gerenciamento do Risco e TI: Muito se tem estudado acerca de dois importantes elementos da
Governança de TI: a geração de valor (que é o objetivo final) e o alinhamento estratégico (que é o
meio). O IT Governance Institute, nesse contexto, introduz dois elementos relacionados com a
Governança de TI - gestão de riscos e gestão de desempenho, atrelando-os conjuntamente.
Fundamentalmente, a Governança de TI está preocupada com duas coisas: se ela agrega valor ao
negócio e se os riscos de TI são atenuados. O primeiro é dirigido por um alinhamento estratégico
da TI com o negócio. O segundo é dirigido por incorporação de responsabilidade na empresa.
Ambos necessitam de mensuração, por exemplo, através do Balanced Scorecard. Isso leva a
quatro campos de foco principal para a Governança de TI, todos impulsionados pelo valor das
partes interessadas. Dois deles são os resultados: geração de valor e mitigação de risco. Outros
dois são condutores: alinhamento estratégico e medidas de desempenho, conforme demonstrado
no Desenho 2.4. (ITGI, 2001).
Desenho 2.4 - Alinhamento, criação de valor, gerenciamento de risco, gestão de desempenho
Fonte: ITGI, 2001
Essa relação introduz dois elementos associados (gestão de riscos e avaliação de desempenho)
que desempenham um papel importante na governança de TI. A relevância de um sistema de
70
medição de desempenho é identificada como um mecanismo para alcançar o alinhamento
estratégico.
A gestão dos riscos se preocupa com a salvaguarda dos ativos e preparação para falhas. Dessa
forma, a gestão de riscos estabelece a segurança de TI para proteger os ativos e permitir a
recuperação de negócio em momento de falhas. Nesse sentido, garante a privacidade dos usuários
e cria proteção aos sistemas. Assim, a gestão de risco tem que estabelecer a confiança nos
serviços da empresa e entre os seus parceiros, gerenciando ameaças internas e externas - de mau
uso interno e externo e os erros de ataques deliberados, a volatilidade do mercado e do ritmo da
mudança. (GULDENTOPS et al. , 2002). A gestão de risco eficaz começa com uma compreensão
clara do apetite da organização e para a exposição ao risco. Dependendo do tipo de risco e sua
importância para o negócio, a gestão pode escolher caminhos diferentes para gerenciar esse risco.
O risco pode ser atenuado através, por exemplo, da aquisição e implantação de tecnologia de
segurança para proteger a infra-estrutura de TI. Outra possibilidade é a transferência de risco, ou
seja, a partilha do risco com parceiros ou através de seguro para cobri-lo, entre outros (ITGI,
2000, 2001).
A necessidade universal, conforme o ITGI (2003), para demonstrar a boa governança da empresa
para os acionistas e clientes é o condutor para o aumento das atividades de gerenciamento de
risco nas organizações de grande porte. Riscos corporativos vêm em muitas variedades, não
apenas através do risco financeiro. Reguladores estão especialmente preocupados com o risco
operacional e sistêmico, dentro dos quais os riscos de tecnologia e segurança da informação são
proeminentes. O Bank for International Settlements (BIS), por exemplo, apóia essa visão, porque
todas as principais questões de riscos estudadas historicamente no setor financeiro foram
causadas por falhas no controle interno, na fiscalização e na TI. Iniciativas de proteção da infra-
estrutura nos Estados Unidos e no Reino Unido apontam, para a dependência de todos os
negócios corporativos, a infra-estrutura de TI e a vulnerabilidade aos riscos de novas tecnologias.
A primeira recomendação, nesse caso, é fazer que estas iniciativas provoquem a avaliação dos
riscos pela alta administração das empresas.
Segundo ITGI (2003), a gestão de Risco de TI se direciona a salvaguarda de ativos referentes à
tecnologia da informação e a estratégias de continuidade após contingências. Dessa forma, a
71
necessidade universal para demonstrar uma boa governança da empresa para os acionistas e
clientes é o condutor para o aumento das atividades de gerenciamento de risco em organizações
de grande porte. Os riscos da empresa são de muitas variedades, não apenas o risco financeiro.
Portanto, o conselho deve gerir os riscos da empresa para:
• Verificar que há transparência em relação aos riscos significativos para a empresa
e clarificar as políticas de prevenção de risco da empresa ou aceitação do risco (ou seja,
determinar o apetite da empresa ao risco);
• Estar ciente de que a responsabilidade final pela gestão do risco é do conselho de
administração. Assim, ao delegar a gestão executiva, certifica-se que as limitações foram
comunicadas e claramente compreendidas;
• Conscientizar-se de que o sistema de controle interno instituído para gerir os
riscos, muitas vezes tem a capacidade de gerar eficácia de custo;
• Considerar que uma abordagem pró-ativa e transparente de gestão de risco pode
criar vantagem competitiva a ser explorada;
• Insistir que a gestão do risco seja embutida na operação da empresa, responder
rapidamente à evolução dos riscos e comunicar imediatamente aos níveis adequados de
gestão (saber o que reportar, quando, onde e como).
Conforme o ITGI (2003), a gestão de risco eficaz começa com uma compreensão clara do apetite
da empresa ao risco e uma geração coletiva de idéias, através da contribuição e participação de
diversos indivíduos envolvidos sobre as exposições de riscos de alto nível da empresa. Além
disso, em um contexto de TI, é imprescindível a observação dos impactos futuros de
investimentos em tecnologia, proporcionalmente aos ativos de TI a serem protegidos e aos níveis
de segurança exigidos. Tendo definido o apetite de risco e a exposição aos riscos identificados, as
estratégias de gestão de risco podem ser definidas e as responsabilidades clarificadas.
72
Dependendo do tipo de risco e sua importância para o negócio, a gerência e o conselho de
administração podem optar por:
• Atenuar - implementar controles, por exemplo, adquirir e implantar a tecnologia de
segurança para proteger a infra-estrutura de TI;
• Transferir - compartilhar com os parceiros ou a transferência para uma cobertura
de seguro;
• Aceitar - reconhecer formalmente que o risco existe e monitorá-lo.
No mínimo, o risco deve ser pelo menos analisado porque, mesmo se nenhuma ação for tomada,
a consciência do risco irá influenciar as decisões estratégicas para o melhor. Muitas vezes, os
riscos de TI mais prejudiciais são aqueles que não são bem compreendidos.
Segundo o ITGI (2007b), o processo de governança de TI referente ao processo de avaliação e
gestão de riscos visa à criação e manutenção de uma estrutura para gerenciamento de riscos; a
documentação de níveis toleráveis de riscos de TI; a criação de estratégias de mitigação e riscos
residuais aceitáveis; a identificação, análise e avaliação de impactos nos objetivos da organização
por eventos não planejados; a divulgação e entendimento da avaliação de riscos pelos
stakeholders, para permitir-lhes o alinhamento de riscos toleráveis, inclusive em termos
financeiros. (ITGI, 2007b).
Na pesquisa de Rosa (2008), a contribuição do processo de avaliação e gestão de riscos de TI
para a mitigação de riscos operacionais foi investigada por meio de questionário eletrônico, com
escala intervalar do tipo Likert de 5 pontos. Para cada um dos riscos operacionais identificados,
os respondentes informaram a importância desse processo de TI para a sua mitigação. Dessa
forma, constata que existe uma forte consideração do processo de avaliação de gestão de riscos
como tendo importância suprema na mitigação dos 39 riscos operacionais identificados,
chegando a 41% da amostra. Em seguida, em outras 25,6% das respostas obtidas, foi considerada
alta a sua contribuição, totalizando 66,6% nesses níveis mais altos da escala. A média das
respostas foi de 4,4, com desvio padrão de 0,77, o que sugere a grande importância desse
processo de tecnologia da informação para a mitigação de riscos operacionais.
73
2.2.3 Promoção de governança de TI
Segundo o ITGI (2007b), o processo de controle e promoção de governança de TI é concebido de
forma a verificar: o estabelecimento de uma estrutura eficaz de governança de TI; a existência de
papéis, lideranças, estruturas organizacionais, processos e designação de responsabilidades para
garantir que os investimentos em TI estejam alinhados e haja entrega de serviços de acordo com
os objetivos e estratégias organizacionais. Assim, faz-se necessária a discussão sobre mecanismos
de governança de TI. Dessa forma, segundo Weill e Ross (2005), a governaça de TI pode ser
caótica, pois ela fomenta debates, negociações, discórdias construtivas, educação mútua e, muitas
vezes, frustração. Os autores, ainda, ressaltam que o processo é caótico, mas bons arranjos de
governança habilitam indivíduos que representam metas conflitantes a reconciliar suas visões em
benefício de sua empresa.
Os autores supracitados indicam que as empresas implementam seus arranjos de governança por
meio de um conjunto de mecanismos de governança – estruturas, processos e comunicações.
Destacam, ainda, que mecanismos bem concebidos, bem compreendidos e transparentes
promovem comportamentos desejáveis em termos de TI. E, por outro lado, se os mecanismos
forem mal implementados, os arranjos de governança não trarão resultados desejados. Nesse
sentido, os autores relatam que governança eficaz adota três tipos diferentes de mecanismos:
• Estruturas de tomadas de decisão: Unidades e papéis organizacionais
responsáveis por tomar decisões de TI, como comitês, equipes executivas e
gerentes de relacionamento entre negócios e TI;
• Processos de alinhamento: Processos formais para assegurar que os
comportamentos cotidianos sejam consistentes com as políticas de TI e
contribuam com as decisões. Incluem processos de avaliação e proposta de
investimentos em TI, processos de exceções de arquitetura, acordos de nível de
serviço, cobrança reversa e métricas;
74
• Abordagens de comunicação: Comunicados, porta-vozes, canais e esforços
de educação que disseminam os princípios e as políticas de governança de TI e os
resultados dos processos decisórios em TI.
A abordagem de Well e Ross (2005) estabelece que os mecanismos mais visíveis da governança
de TI são as estruturas organizacionais que alocam responsabilidades decisórias de acordo com os
arquétipos pretendidos. Assim, os autores, para avaliar as alternativas de modelos de governança,
identificam os mecanismos decisórios mais empregados nos arquétipos de monarquia de negócio,
federalismo, monarquia de TI e duopólio. Logo adiante, esses arquétipos serão discutidos
teoricamente.
Alinhamento Estratégico e Atingimento do Valor do Negócio: as definições de governaça de
TI, como demonstrado acima, implícita ou explicitamente salientam que um aspecto importante
da Governança de TI é o alinhamento da Tecnologia da Informação com o negócio,
frequentemente colocado como alinhamento estratégico. Alinhamento estratégico é uma
importante força motriz para gerar valor ao negócio por meio de investimentos em TI (ITGI,
2001; GULDENTOPS, 2003). Dessa forma, Pode-se notar a importância do alinhamento para
maximização do desempenho organizacional da empresa, ou seja, o alinhamento estratégico entre
o Planejamento Estratégico da Tecnologia da Informação (PETI) e o Planejamento Estratégico do
Negócio (PEN), possibilitando o equilíbrio necessário entre as funções consideradas de vital
importância para alcançar o sucesso organizacional.
Conforme Handerson e Venkatraman (1993), o alinhamento estratégico entre PEN e PETI
corresponde à adequação e à integração funcional entre os ambientes externos (mercados) e
internos (base tecnológica, administrativa, financeira e recursos humanos), a fim de alavancar as
competências da empresa e maximizar o desempenho organizacional. E, para Rezende (2002), o
alinhamento estratégico foi definido originalmente como ajuste dinâmico entre os ambientes
externos e internos (produto, mercado, estratégia, estruturas organizacionais, processos) e a TI,
em que o desempenho econômico empresarial pode crescer se forem ajustados o posicionamento
externo e os arranjos internos. Ainda, segundo Rezende (2002, p. 114):
75
Alinhamento entre as estratégias de TI com o negócio empresarial se constitui a
partir das relações verticais, horizontais, transversais, dinâmicas e sinérgicas das
funções empresariais, como uma ferramenta de gestão empresarial com o
suporte da TI promovendo o ajuste ou a adequação estratégica das tecnologias
disponíveis de toda a organização, assim como contemplam as variáveis:
sinergia das funções empresariais, adequação das tecnologias disponíveis, gestão
do Planejamento Estratégico Empresarial (PEE), Planejamento Estratégico da
Tecnologia da Informação (PETI) e Inteligência Competitiva e Inteligência
Empresarial
.
A literatura identifica três modos de governança de TI (SAMBAMURTHY; ZMUD, 1999;
BROWN; MCGILL, 1994; DAVENPORT et al, 1992), conforme demonstrado abaixo:
• Centralizada, onde a gestão corporativa tem o poder da tomada de decisão em TI
de forma transversal na organização;
• Descentralizada, onde a gestão em cada divisão tem o poder da tomada de decisão
em TI para os seus sistemas;
• Híbrido ou Federal, onde a gestão corporativa tem o poder da tomada de decisão
em infra-estrutura de TI para toda a organização, e a gestão em cada divisão tem o
poder da tomada de decisão para as suas aplicações e desenvolvimento de sistema.
A literatura sugere que o modo híbrido é dominante (HODGKINSON, 1996; SAMBAMURTHY;
ZMUD, 1999; WEILL; BROADBENT, 2003).
Essa visão de governança de TI é muito semelhante aos debates iniciais sobre a estrutura
organizacional da função da TI (é só observar, por exemplo, OLSEN; CHERVANY, 1980;
KING, 1983; TAVAKOLIAN, 1989; BROWN; MCGILL, 1994). Parte desse debate diz respeito
se a função TI deve ser centralizada, controlada pela escala serviços de TI na organização a partir
de uma única unidade; ou descentralizada, com cada unidade de negócios tendo a sua própria
função de TI. (DEARDEN, 1987).
Com o intuito de observar melhor a questão do alinhamento da TI aos negócios e analisar a
importância da disseminação da governança de TI, cabe trazer aqui a verificação feita em 2009
76
com 170 profissionais de TI de diversas organizações, através de uma rede de relacionamento na
internet, em que se pretendeu verificar qual o grau de conexão da TI com o desenvolvimento dos
negócios da empresa. Assim, verificou-se que, 10% dos entrevistados revelam que as áreas de TI
não estão conscientes de sua importância para estratégia do negócio, 35%, também, revelam que
as áreas não estão conscientes, mas a TI já melhorou bastante e tem muito a aprender. Já 35% dos
entrevistados dizem que a TI está cada dia mais próxima dos negócios, mas não faz parte de uma
estratégia definida. Enfim, 20% dos entrevistados afirmam que a TI é fundamental para estratégia
do negócio, exercendo um papel de suma importância.
Pode-se verificar que a TI, dentro de uma proposta de governança de TI adequada, precisa de
esforço para o desenvolvimento empírico e teórico dessa área, afim de que haja uma constante
melhoria de sua integração com a estratégia e objetivos de negócio ou da atividade de uma
organização. Assim, a pesquisa de Rosa (2008), em relação ao processo de promoção da
Governança de TI, verificou no Banco Central do Brasil (BCB) que, após realizar pesquisas,
observação de mercado e participação em eventos, o Departamento de Auditoria Interna adotou o
framework COBIT como referência em suas recomendações para tratar de assuntos da área de
tecnologia da informação e auxiliar nas atividades de auditoria com foco em risco. A referida
instituição revelou que sua metodologia não estava adequada com relação às boas práticas de
governança de TI, tendo o COBIT como espinha dorsal. Daí ela partiu para outros modelos,
específicos para cada tipo de processo, para chegar a um detalhamento maior. O nível de
detalhamento do COBIT é um pouco elevado.
.
A adoção de um modelo de referência trouxe para o BCB algumas vantagens para a organização:
ao adotar um modelo, a coisa fica impessoal, ou seja, não vai depender tanto da experiência do
auditor. O auditor chega com uma visão mais ampla e se referencia em boas práticas. Então,
alguns riscos que não são observados pelo gestor, o auditor tem a visão, antes. Outros órgãos do
governo também adotaram o mesmo modelo de referência em seus trabalhos de auditoria com
foco em risco de TI: “Todo o sistema de controle da União, tanto a Controladoria Geral da União
(CGU) quanto o Tribunal de Contas da União (TCU) estão baseados no COBIT para fazer
auditoria”. Assim, os processos de governança de TI tendem a ser institucionalizados. (ROSA,
2008).
77
Rosa (2008) também revelou que as áreas de auditoria interna e externa estão liderando a
promoção da governança de TI, uma vez que a conscientização e a comunicação são aspectos
iniciais no modelo de maturidade de processos, conforme aponta o ITGI (2007b). Dessa forma,
buscam contribuir também para o alcance da governança. Assim, o BCB encontra-se na fase de
conscientização sendo, ainda, essenciais outros atributos: o estabelecimento de estruturas
organizacionais, papéis e lideranças para o alcance dos objetivos de TI em linha com os objetivos
estratégicos, necessários ao processo de promoção e governança de TI, conforme recomendado
pela OCDE (2004) e BIS (2006), que colocam, ainda, a importância do monitoramento e dos
incentivos adequados para o alcance dos interesses da empresa e de seus acionistas. Meirelles e
outros (2005) incluem a transparência e a responsabilização, esta última também citada por
Pinochet e outros (2005).
No entanto, a principal barreira identificada para implementação da governança de TI está na
esfera de poder, na especificação dos direitos decisórios, elemento de governança descrito por
Weill e Ross (2006): “Existe uma série de fatores pessoais, funcionais, culturais que impacta a
implementação (...) Tem perda de poder envolvido nesse modelo de governança, onde o chefe de
TI vai perder poder sim, apesar de ter uma série de vantagens”.
2.2.4 Arranjos de governança de TI
Segundo Weill e Ross (2006), toda empresa precisa tomar cinco decisões inter-relacionadas sobre
a Tecnologia da Informação: os princípios de TI, a arquitetura de TI, a infra-estrutura de TI, as
necessidades de aplicação de negócio, os investimentos e a priorização da TI. Nesse sentido,
apresenta o Quadro 2.19 desenvolvido pelo Center for Information Sytems Research (CISR) da
MIT Sloan School que organiza essas decisões enfatizando suas interconexões críticas. A decisão
referente aos princípios de TI fica na parte superior do diagrama, uma vez que ela, por explicitar
os objetivos empresariais da TI, estabelece diretrizes para todas as outras decisões. Se os
princípios não estiverem claros, é improvável que as outras decisões sejam aderidas de maneira
78
significativa. As decisões sobre a arquitetura de TI convertem os princípios de TI em requisitos
de integração e padronização e, então, delineiam um guia técnico para prover as capacidades
necessárias. As decisões relativas aos investimentos e à priorização da TI mobilizam recursos
para converter princípios em sistemas. Veja-se o Quadro 2.19:
Decisões sobre os princípios de TI
Declarações do alto nível sobre como a TI é utilizada no negócio.
Decisões sobre a infra-estrutura
de TI
Serviços de Ti coordenados de
maneira centralizada e
compartilhadora, que provêm a
base para a capacidade de TI.
Decisões sobre a arquitetura de
TI
Organização lógica de dados,
aplicações e infra-estruturas,
definidas a partir de um conjunto de
políticas, relacionamentos e opções
técnicas adotadas para obter a
padronização e a integração
técnicas e de negócios desejadas.
Necessidades de aplicações de
negócio
Especificação da necessidade de
negócio de aplicações de TI
adquiridas no mercado ou
desenvolvidas internamente.
Decisões sobre
investimentos e a
priorização da TI
Decisões sobre quanto e
onde investir em TI,
incluindo a aprovação de
projetos e as técnicas de
justificação.
Quadro 2.19 – Principais Decisões sobre a Governança de TI
Fonte: WEILL; ROSS, 2006
Na linha de raciocínio sobre decisões da empresa referente à TI, conforme Weill e Ross (2006),
decisões sobre infra-estrutura e aplicações podem fluir de cima para baixo (abordagem top-down)
– dos princípios, da arquitetura e dos critérios de investimento. Os autores ressaltam, ainda, que,
nesse caso, a infra-estrutura gera as capacidades necessárias de TI e as aplicações fazem uso
dessas capacidades. Com a mesma freqüência, necessidades e oportunidades de negócios
identificam a necessidade de aplicações de TI, que “borbulham” da base (abordagem bottom-up)
para gerar novos requisitos de infra-estrutura. Por fim, as decisões de investimento selecionam e
financiam as iniciativas de infra-estrutura e aplicações que implementam uma arquitetura
projetada para incorporar os princípios de TI – e em última instância os princípios de negócio.
Uma das abordagens desta pesquisa trabalha com a forma pela qual a empresa toma decisões em
relação à Tecnologia da Informação. Considerando esse fato, faz-se necessário discutir os
arquétipos da governança para alocação de direitos decisórios. Assim, utiliza-se nesta pesquisa
seis arquétipos políticos desenvolvidos pelo Center for Information Sytems Research (CISR) da
79
MIT Sloan School para descrever as combinações de pessoas que têm direitos decisórios ou
contribuem para tomada de decisões de TI. Nesse intuito, conforme Weill e Ross (2006), um
desses arquétipos poderia descrever como uma empresa toma uma ou mais das cinco decisões-
chave de TI ou contribui com os tomadores de decisão.
Weill e Ross (2006) apresentam o Quadro 2.20 que apresenta o estilo de cada arquétipo e quem
tem direitos decisórios ou de contribuição:
Arquétipos da Governança de TI
Estilo Quem tem direitos decisórios ou de contribuição?
Monarquia de negócio
Um grupo de executivos de negócios ou executivos individuais. Inclui comitês de
executivos seniores de negócios (podendo incluir o CIO). Exclui executivos de TI
que atuem independentemente.
Monarquia de TI Indivíduos ou grupos de executivos de TI.
Feudalismo Líderes das unidades de negócio, detentores de processos-chave ou seus delegados.
Federalismo
Executivos do nível de diretoria e grupos de negócio (exemplo: processos ou
unidades de negócio); incluindo executivos de TI como participantes adicionais.
Duopólio de TI
Executivos de TI e algum outro grupo (por exemplo: os CxOs ou líderes de
unidades de negócio ou os líderes de processos).
Anarquia Cada usuário individual.
Quadro 2.20 – Arquétipos da Governança de TI
Fonte: WEILL; ROSS, 2006
Esta pesquisa irá tratar, a partir deste momento, das principais decisões sobre a Governança de TI
e dos arquétipos da Governança de TI, culminando na Matriz de Arranjos de Governança, a qual
terá o intuito de indicar quais arquétipos de governança são usados por diferentes tipos de
decisão. Essa matriz será utilizada nesta pesquisa para relacionar o desempenho financeiro da
empresa e os arquétipos utilizados em decisões relacionadas com a TI.
Na discussão sobre as principais decisões sobre a governança de TI, Weill e Ross (2006) afirmam
que os princípios de TI são um conjunto relacionado de declarações de alto nível sobre como a
TI é utilizada no negócio. Uma vez articulados, os princípios de TI tornam-se parte do léxico
administrativo da empresa e podem ser discutidos, debatidos, apoiados, recusados e aprimorados.
Assim, o principal indicador de um conjunto efetivo de princípios de TI é uma trilha clara de
evidências que conduza dos princípios de negócios aos princípios de administração da TI. Além
disso, os princípios de TI podem, também, ser utilizados como ferramentas para educar os
80
executivos sobre a estratégia tecnológica e as decisões de investimento em tecnologia. Os
princípios estabelecem uma postura empresarial que “pode ser traduzida em políticas, normas e
diretrizes específicas”, como demonstram os itens a seguir:
• Habilitar o negócio;
• Assegurar a integridade das informações;
• Criar uma visão comum dos clientes;
• Promover uma arquitetura consistente;
• Utilizar as normas da indústria;
• Reutilizar antes de comprar; comprar antes de desenvolver;
• Administrar a TI como um investimento.
Ainda, conforme os autores referidos anteriormente, os princípios de TI devem definir o
comportamento desejável tanto para profissionais como para usuários da Tecnologia da
Informação. Nessa acepção, sugerem que os princípios de TI devam esclarecer pelo menos três
expectativas para Tecnologia da Informação na empresa:
• Qual é o modelo operacional desejado pela empresa?
• Como a TI dará suporte ao modelo operacional desejado?
• Como a TI será financiada?
Dessa forma, os autores esclarecem que as duas primeiras perguntas especificam o modo como a
empresa desenvolve e distribui produtos e serviços e esclarece os parâmetros para futuras
81
decisões de infra-estrutura e aplicações. As respostas a tais perguntas vêm refletirem o
aprendizado organizacional e novas estratégias comerciais. A terceira pergunta determina os
critérios gerais para investimentos em TI. Especificamente, os investimentos em TI podem ser
feitos centralmente ou dentro das unidades de negócio, ou pode-se empregar uma combinação
das duas abordagens. O modelo de financiamento especifica se as prioridades da empresa como
um todo ou as prioridades das unidades de negócio têm precedência nas decisões de
investimento. Segundo a experiência de Weill e Ross (2006), poucas empresas oferecem clareza
em seus princípios de TI, argumentam, então, que como esses princípios direcionam todas as
decisões de TI, quaisquer equívocos em relação aos princípios limitam a eficácia de outras quatro
decisões.
Arquitetura de TI: Segundo Weill e Ross (2006), a arquitetura de TI é a organização lógica de
dados, aplicações e infra-estruturas, definidas a partir de um conjunto de políticas,
relacionamentos e opções técnicas e de negócio desejadas. Eles revelam que as decisões
arquitetônicas são cruciais para uma gestão e utilização eficazes da Tecnologia da Informação.
Nesse sentido, as empresas precisam de uma organização lógica para os dados, as aplicações e a
infra-estrutura, porque a integração e a padronização moldam as capacidades de TI.
Os referidos autores afirmam que a integração dos processos permite que múltiplas unidades de
negócio apresentem uma face única aos clientes ou mudem ininterruptamente de uma função para
outra. A chave para integração de processos, na perspectiva tecnológica, é a padronização dos
dados – provendo-se uma definição unívoca e um conjunto único de características a serem
capturados com um elemento de dados. Assim, quando se disponibilizam dados padronizados, os
detentores do negócio podem integrar efetivamente seus processos. Os autores explicam que a
padronização de processos é muito diferente de integração de processos. O segredo para
padronização de processos é a disciplina, ou seja, a observância de uma maneira única e
consistente de fazer coisas, proporcionando-se previsibilidade e eficiência. Dessa forma, ela deve
ser planejada e explicitamente implementada, explicando-se e demonstrando-se seu valor por
vezes e vezes seguidas.
Nesse contexto, segundo os autores supracitados, a padronização de processos e a de dados são
características que definem a arquitetura da empresa, oferecendo, em determinadas situações,
82
objetivos comuns como o processamento mais barato, acordos negociados com fornecedores e
segurança empresarial. As arquiteturas empresariais capturam a organização lógica em políticas e
escolhas técnicas. Uma política crítica articulada por uma arquitetura de alto nível é o ponto em
que termina a infra-estrutura compartilhada e começam as aplicações. Assim, a arquitetura de
uma empresa define dados e infra-estrutura como uma plataforma estável, que dá suporte a
aplicações mais sujeitas a mudanças. É nesse ponto que os autores trazem a questão da
flexibilidade, ao afirmarem que necessidades do negócio mudam constantemente, por isso as
empresas precisam dar flexibilidade a suas arquiteturas. Mas ressaltam que as aplicações
precisam de uma base a qual serão construídas. Nesse caso, os dados e a infra-estrutura
compartilhados proporcionam essa base. Assim, desde que a empresa não mude sua missão
básica, a infra-estrutura definida por sua arquitetura de TI deve dar suporte a suas aplicações de
negócios. A distinção entre infra-estrutura e aplicações, dessa forma, permite que as empresas
estimulem as economias de escala preservando flexibilidade para reagir a mudanças.
Atualmente, conforme Weill e Ross (2006), a maioria das arquiteturas empresariais especifica a
infra-estrutura, os dados e as aplicações. Assim, cada vez mais arquiteturas empresariais
especificarão os componentes que convertem aplicações e infra-estrutura em serviços específicos,
confiáveis e modulares. A arquitetura de componentes proporciona uma outra camada de
padronização, ajudando as empresas a atingirem seus objetivos de negócio em matéria de
eficiência, economia de escala e reaproveitamento. Os primeiros componentes tendem a ser
serviços de infra-estrutura presentes na empresa como um todo, como a entrada única de um
sistema, por exemplo. Com o tempo, as empresas identificarão as necessidades comuns e
recorrentes de aplicações para seus processos e criarão componentes disponíveis para todas as
unidades de negócio. Nesse caminho, a habilidade de conceber e construir uma arquitetura
baseada em componentes decorrerá da experiência da empresa com a especificação e a posterior
implementação de padrões técnicos, de processos e de dados. Segundo os autores, algumas
empresas vêm se movendo rapidamente em direção a arquiteturas baseadas em componentes e
outras, no entanto, mal começaram a jornada.
Infra-estrutura de TI: Este item revela-se bem apropriado em relação ao caráter oportunista de
administradores que pode afetar o desempenho financeiro da empresa, caracterizando
83
essencialmente um conflito de agência. Weill e Ross (2006) afirmam que a infra-estrutura é a
base da capacidade planejada de TI técnica e humana disponível em todo o negócio, na forma de
serviços compartilhados e confiáveis e utilizada por aplicações múltiplas. A presciência de
estabelecer a infra-estrutura certa no momento certo habilita a rápida implementação de futuras
iniciativas de negócio com base eletrônica, bem como a consolidação e a redução de custos dos
processos de negócios atuais. Assim, o investimento excessivo em infra-estrutura – ou pior, a
implementação da infra-estrutura errada – resulta em desperdício de recursos, em atrasos e
incompatibilidade de sistema com parceiros comerciais. Entretanto, os autores também revelam
que investir muito pouco em infra-estrutura resulta em implementações apressadas para cumprir
prazos comerciais; em ilhas de automação que atendam a necessidades locais, sem integração
com o restante da empresa; e no compartilhamento restrito de recursos, informações e expertise.
Os autores supracitados também revelam que, na empresa típica, a infra-estrutura responde por
cerca de 55% do total de investimentos em Tecnologia da Informação. Os elementos de infra-
estrutura de TI incluem componentes tecnológicos, como computadores, impressoras, pacotes de
software para bancos de dados, sistemas operacionais e scanners. Tais dispositivos são
commodities e são encontrados facilmente disponíveis no mercado. Os componentes tecnológicos
são convertidos em serviços comuns úteis através de uma infra-estrutura humana de TI composta
de conhecimento, habilidades, padrões e experiência.
Os serviços de infra-estrutura, segundo Weill e Ross (2006), incluem, frequentemente, serviços
de rede de telecomunicação, a provisão e o gerenciamento da base de dados compartilhada de
clientes e a expertise em pesquisa e desenvolvimento, com o fim de identificar a utilidade de
tecnologias emergentes para o negócio e uma intranet para toda a empresa. Esses serviços podem
ser prestados internamente ou por companhias terceirizadas. Eles ressaltam que o conceito de
serviços de infra-estrutura de TI é muito poderoso, uma vez que os administradores podem
valorizar mais prontamente um serviço do que um componente técnico, como um servidor ou um
pacote de software. Nesse caso, um conflito de agência pode suscitar a aplicação em um
empreendimento oportunista.
84
Weill e Ross (2006) apresentam um framework onde demonstram a infra-estrutura de TI como
um conjunto centralmente coordenado de serviços compartilhados e confiáveis. Nessa estrutura
eles estabelecem como base da infra-estrutura de TI os componentes de TI, os quais são logo em
seguida submetidos à infra-estrutura humana de TI. Mais adiante, nessa estrutura piramidal
ascendente, estão os serviços compartilhados de TI que representam serviços estáveis ao longo do
tempo, como os gerenciamentos de base de dados compartilhada de clientes e os acessos a
computadores pessoais e redes locais. No topo da infra-estrutura de TI, apresentam-se as
aplicações de TI compartilhadas e padronizadas que mudam menos regularmente, como a
contabilidade, orçamento e administração de recursos humanos, incluindo sistemas empresariais
como ERPs, sistemas de gerenciamento de cadeia de suprimentos (SCMs) e sistemas de
gerenciamento do relacionamento com o cliente (CRMs). A partir daí, tem-se as aplicações locais
que transcendem a infra-estrutura de TI e representam aplicações de negócio locais em rápida
transformação, como o processamento de requisitos de seguro, aplicações de empréstimos
bancários pela WEB, sistemas de suporte a reclamações dos clientes e sistemas a ordens de
pedido por telefone.
Enfim, os autores afirmam que muitas empresas vêm transferindo capacidades de infra-estrutura
das unidades de negócio para a empresa como um todo, na busca de objetivos de negócio como
economias de escala ou um ponto único de contato com o cliente. Determinar onde os serviços
locais de infra-estrutura devem ser posicionados, de que modo devem ser apreçados, quando
devem ser atualizados e se cabe ou não terceiriza-los são decisões essenciais de infra-estrutura.
Possuir a infra-estrutura correta significa prover serviços com boa relação custo/benefício que
capacitem a empresa a adotar rapidamente novas aplicações de negócio.
Necessidades de Aplicações de Negócio de TI: Weill e Ross (2006) colocam que são as
decisões referentes às necessidades de negócio específicas que geram valor diretamente, o que é,
na verdade, um desafio organizacional. A identificação da necessidade de negócios de aplicações
de TI costuma ter dois objetivos conflitantes – a criatividade e a disciplina. A criatividade
consiste em identificar maneiras novas e mais eficazes de gerar valor para os clientes por meio da
TI e envolve a identificação de aplicações de negócio que dê suporte a objetivos de negócio
estratégicos e facilite experimentos de negócios. Já a disciplina consiste na integridade
85
arquitetônica – assegurando que as aplicações aproveitem e amplifiquem a arquitetura da
empresa, ao invés de solapar seus princípios. A disciplina também envolve foco, comprometendo
os recursos necessários para concretizar metas de projetos e negócios.
Com base nas idéias de Weill e Ross (2006), ao se promover soluções criativas, as novas
aplicações de TI exigem que elas não atendam somente ao ROI mínimo, como contribuam com o
valor estratégico para empresa. Na maioria das empresas, as aplicações estratégicas concentram-
se nos processos centrais. Esses podem, em empresas grandes, envolver múltiplas funções e
unidades de negócio. Assim, decisões sobre as necessidades de aplicações de negócio envolvem a
identificação de processos centrais e a determinação de mudanças nos sistemas e processos
capazes de trazer benefícios significativos para a empresa. Implementações bem-sucedidas de
sistemas estratégicos exigem líderes de negócio com visão para definir e aplicar essas mudanças.
Eles indicam, também, que esse tipo de decisão é importante para responder a mudanças de
mercado. Assim, as empresas precisam de um fluxo constante de experimento para gerar energia
criativa e alerta contínua aos administradores quanto às mudanças de condições de mercado,
permitindo-se identificar o próximo grande negócio.
Em relação à execução disciplinada, os referidos autores afirmam que, para sustentar a
integridade arquitetônica, exige-se a coordenação das demandas arquitetônicas do portfolio de
projetos da empresa. Dessa forma, especificar a funcionalidade e os requisitos da arquitetura de
um projeto de TI é apenas o primeiro passo na geração de valor para a TI. O valor de negócio
resulta de mudanças organizacionais habilitadas pela TI. Com isso, as decisões sobre aplicações
de negócio envolvem, também, a designação de responsabilidades pela mudança organizacional
associada a um dado projeto de TI. Nesse contexto, mudanças organizacionais associadas a
muitos sistemas são avassaladoras. Elas não somente exigem que os indivíduos mudem de
hábitos, como costuma requerer um novo entendimento dos processos organizacionais. Portanto,
pode haver a necessidade de treinamento e suporte estrutural. Nesse processo, gerenciar
mudanças é um desafio difícil em ambientes onde a mudança é constante.
Como se pode perceber pela acepção dos autores estudados neste tópico, decisões sobre
necessidades de aplicações de negócio requerem conciliação entre mudanças complexas e forças
86
organizacionais que a elas se opõem. Os administradores responsáveis por definir requisitos
devem distinguir entre os requisitos de processos centrais e as superfluidades, além de saber
quando viver dentro de restrições arquitetônicas. Eles devem conceber experimentos sabendo que
os benefícios reais podem ser diferentes dos previstos – ou que, se não houver benefícios, eles
devem puxar o plugue. O mais importante é que devem saber como conceber mudanças
organizacionais e pô-las em prática.
Investimentos e Priorização de TI: Com base em suas pesquisas, Weill e Ross (2006) afirmam
que as empresas que obtêm valor superior da TI concentram seus investimentos em suas
prioridades estratégicas, cientes da distinção entre capacidades de TI que “precisamos ter” e “que
seria bom se tivéssemos”. As decisões sobre investimentos em TI enfrentam três dilemas: (a)
quanto gastar, (b) em que gastar e (c) como reconciliar as necessidades de diferentes grupos de
interesse. No processo de investimento em TI, devido à incerteza dos retornos com gastos com
TI, os administradores, frequentemente, recorrem a benchmarks do ramo de atividade como meio
de determinar os níveis apropriados de gastos, sendo que, para as empresas de sucesso, isso é
apenas um ponto de partida. Assim, os altos administradores concentram-se no papel estratégico
que a TI desempenha na organização e estabelecem um nível de custeio para toda a empresa que
habilitará a tecnologia a atingir o seu objetivo.
Weill e Ross (2006) afirmam que administrar o portfolio de TI, como no caso do portfolio de
investimentos, requer que fornecedores e clientes concordem quanto aos indicadores de sucesso.
Diferentes contextos estratégicos fazem com que as empresas tenham diferentes níveis de
investimentos em TI, diferentes portfolios de TI e diferentes indicadores de sucesso. Os autores
descobrem que as empresas com melhores retornos em TI dão atenção especial a esses
indicadores. A administração de portfolio permite que tomadores de decisões alinhem seus
portfolios com a estratégia da empresa e balanceiem riscos e retorno. Assim, é necessário agrupar
os investimentos de acordo com o objetivo do negócio, a fim de permitir a administração
selecione projetos que conformem o portfolio à estratégia empresarial. Além disso, o conceito de
potfolio de TI ajuda os administradores a balancear e realinhar seus investimentos quando a
estratégia da empresa ou o clima econômico mudam.
87
Os autores também informam que o atributo mais importante de um processo bem sucedido de
investimento em TI é a garantia que os gastos da empresa nessa área refletem suas prioridades
estratégicas. Os processos de investimento devem reconciliar as demandas das unidades de
negócio com aquelas relativas a necessidades corporativas. Nesse sentido, ressaltam que as
empresas que tentam persuadir unidades de negócio independentes a financiar uma infra-estrutura
comum provavelmente enfrentarão resistência. Em vez disso, os líderes de negócio devem
articular os objetivos gerais da empresa em matéria de infra-estrutura compartilhada e oferecer
incentivos adequados para que os líderes das unidades de negócio sacrifiquem as necessidades de
suas unidades em favor das necessidades corporativas, da empresa como um todo.
Dessa forma, aos autores asseveram que, se a alta gerência não esclareceu ou não comunicou a
estratégia da empresa ou, se a estratégia muda tão frequentemente que não vale a pena investir na
estratégia de hoje, o processo de investimento em TI virá abaixo. Nenhum framework ou análise
podem substituir uma direção estratégica clara. Quando o comitê de investimento compreende
seus objetivos de negócio, ele pode investir seu dinheiro em TI e gerar retornos significativos.
Nesse ponto, a discussão irá tratar dos arquétipos da governança de TI, instrumentos
importantes para caracterizar o processo decisório de TI.. Assim, segundo Weill e Woodham
(2002), baseando-se em trabalhos existentes sobre governança corporativa, governança do Estado
e de políticas de informação, identificam-se cinco arquétipos de governança de TI: monarquia de
negócios, monarquia de TI, feudalismo, federalismo, e anarquia. Mais recentemente, Weill e
Ross (2006) acrescentam o Duopólio de TI.
A liderança sênior (por exemplo, o CEO, CFO, COO) da empresa tem direitos de decisão na
monarquia de negócios. Esses direitos são, muitas vezes, exercidos dentro de um comitê
executivo ou um mecanismo similar. O CIO pode ser parte do grupo e está envolvido na tomada
de decisões, mas não vai agir de forma independente em relação à liderança sênior. Dentro do
contexto da monarquia de negócios, não se tem uma estratégia de TI, tem-se, na verdade, uma
estratégia de negócios, o CIO é parte da equipe sênior de liderança que define a estratégia.
Segundo Weill e Woodham (2002), na empresa típica, descobre-se que a monarquia de negócio
domina as decisões sobre investimentos em TI e as estratégias de infra-estrutura de TI.
88
Weill e Woodham (2002) afirmam também que O CIO individualmente ou grupos de executivos
de TI têm direitos de decisão na Monarquia de TI. Esses direitos são frequentemente exercidos
dentro dos vários comitês de direção de TI e da organização de TI. Em uma monarquia de TI, o
poder real nos relacionamentos é baseado na arquitetura e normas padrões. Assim, na empresa
típica, a monarquia de TI tem os direitos de decisão para princípios de TI e arquitetura de TI. .
O líder da unidade de negócio ou seus delegados exercem o direito de governança no arquétipo
feudal. Assim, conforme Weill e Woodham (2002), os mecanismos para o exercício desses
direitos de governança são localizados e incluem a autoridade do chefe da unidade de negócios e
do processo orçamentário. As abordagens do feudalismo são, muitas vezes, adotadas nas
organizações com unidades de negócios relativamente autônomas que operam em mercados não-
complementares e resultam de “príncipes e princesas” de cada feudo que procuram aperfeiçoar
suas necessidades locais. Na empresa típica, a estrutura feudal não controla os direitos de decisão
para qualquer um dos domínios. No entanto, em empresas com alto desempenho, as estruturas
feudais são utilizadas para as decisões de infra-estrutura, maximizando, assim, a capacidade de
resposta local.
Weill e Ross (2006) afirmam que o duopólio de TI é um arranjo entre duas partes em que
decisões representam o consenso bilateral entre executivos de TI e algum outro grupo. Os
executivos de TI podem ser um grupo central de TI ou uma equipe composta por organizações de
TI centrais e das unidades de negócio. O outro grupo pode ser constituído de CxOs, líderes das
unidades de negócio ou detentores de processos de negócios ou, ainda, grupos dos principais
usuários de sistemas. O duopólio difere do modelo federalista no sentido que o arranjo federalista
tem sempre representação tanto corporativa como local, ao passo que o duopólio tem uma outra,
mas nunca ambas, e inclui invariavelmente profissionais de TI.
Na estrutura federal, os direitos de governança são partilhados por uma combinação de altos
executivos, líderes da unidade de negócios, proprietários de processos de negócios, executivos de
TI e usuários finais. Mecanismos destinados a exercer direitos de governança federal incluem
equipes de processo de negócios amplas, acordos de nível de serviço, processos de aprovação de
89
investimentos de TI e comitês de operacionalização de TI. Desta forma, Weill e Woodham
(2002) descobrem que a abordagem de governança federal é usada frequentemente para direitos
de entrada, mas com menos frequência para direitos de decisão.
Segundo Weill e Woodham (2002), os detentores dos processos individuais ou usuários finais
têm os direitos de decisão no arquétipo de anarquia. Não existe nenhum mecanismo formal para
exercer direitos na anarquia com decisões feitas localmente em bases ad-hoc (caso a caso). Todas
as firmas têm elementos de anarquia. Firmas com alto desempenho, medidas com base no
crescimento de capitalização de mercado, tipicamente usam a governança anárquica para
princípios de TI, resultando em otimização muito localizada com pouca contribuição para
compartilhamento e padronização.
Compilando os arquétipos de governança de TI e para efeito de aplicação na metodologia desta
pesquisa, tem-se o Quadro 2.21 que resume a definição dos arquétipos de governança de TI do
livro de Weill e Ross (2006):
Monarquia de Negócios – Os Executivos de diretoria
Monarquia de TI - Os especialistas em TI
Feudalismo - Cada unidade de negócio toma decisões independentes.
Federalismo - Combinação entre o centro corporativo e as unidades de negócio, com ou sem o
envolvimento do pessoal de TI.
Duopólio de TI - O grupo de TI e algum outro grupo (por exemplo, a alta gerência ou líderes das unidades
de negócios).
Anarquia - Tomada de decisões individual ou por pequenos grupos
Quadro 2.21 – Arquétipos da Governança de TI
Fonte: GAMA, 2006
Segundo Weill e Ross (2006), a governança de TI explica os direitos e as alçadas de decisão,
definindo a matriz de responsabilidades para incentivar o comportamento desejado e necessário
no uso de TI por toda organização. Esses autores demonstram na matriz de decisão, uma
disposição capaz de captar os responsáveis e os tipos de decisão, conforme apresentado no
Quadro 2.22.
90
Quadro 2.22 – Matriz de Arranjos de Governança – Quais Arquétipos de Governança são usados por diferentes tipos
de decisão?
Fonte: WEILL; ROSS, 2006
O Quadro 2.23 resume os principais aspectos dos tipos de decisão de TI:
Decisões de TI:
Princípios de TI Esclarecendo o papel de negócio da TI.
Arquitetura de TI Definindo os requisitos de integração e padronização.
Estratégias de Infra-estrutura de TI Determinando serviços compartilhados e de suporte.
Necessidades de aplicações de negócio
Especificando a necessidade comercial de aplicações de
TI compradas ou desenvolvidas internamente.
Investimentos e priorização de TI Escolhendo quais iniciativas financiar e quanto gastar.
Quadro 2.23 – Resumo dos Tipos de Decisão de TI
Fonte:
GAMA
, 2006
91
3 METODOLOGIA DA PESQUISA
Este capítulo consiste na caracterização metodológica desenvolvida nesta pesquisa, tratando de
temas relacionados à escolha dos métodos, das unidades de análise e, ainda, dos respondentes.
Logo após, apresenta-se a seqüência lógica dos procedimentos metodológicos seguidos,
explicitando as diferentes etapas do estudo, bem como as técnicas e os métodos utilizados para
responder às questões de pesquisa e objetivos propostos.
3.1 CARACTERIZAÇÃO DA PESQUISA
O objetivo desta pesquisa empírica é associar as variáveis de desempenho organizacional e a
maturidade da governança da tecnologia da informação observada em empresas brasileiras, a fim
de que seja possível verificar se existe relação entre o grau de maturidade da governança de TI e
o desempenho financeiro das empresas com fins lucrativos. Desse modo, esta pesquisa empírica
analisa as organizações em função das características relevantes identificadas, para, na seqüência,
identificar os níveis de maturidade da governança de TI. Em função do grau de maturidade da
governança de TI, a pesquisa analisou sua relação com o desempenho financeiro, além de ter
verificada a forma como as decisões relacionadas a TI são tomadas. Os resultados observados na
pesquisa empírica foram, nesse sentido, contrapostos aos esperados na revisão bibliográfica.
Esta dissertação de mestrado apresenta características de um estudo descritivo, pois busca
também descobrir que situações, comportamentos ou opiniões estão ocorrendo na população
pesquisada. Nessa estratégia, o pesquisador não se preocupa em saber por que a distribuição
observada existe, mas sim como ela é, tendo por objetivo descobrir fatos e não testar teorias.
(HOPPEN; LAPOINTE; MOREAU, 1996).
Como forma de atingir os objetivos a que se propôs na pesquisa, optou-se por métodos
quantitativos: o primeiro baseado na percepção dos executivos, focalizando o grau de maturidade
da governança de TI percebido, e o segundo baseado em análises tradicionais, utilizando dados
financeiros reais. O primeiro método é uma pesquisa survey (levantamento), baseada na
92
percepção de executivos de TI, que foi utilizada para identificar qual a percepção dos executivos
quanto ao grau de maturidade da governança de TI em relação aos processos de avaliação e
gestão de riscos de tecnologia da informação e promoção da governança de tecnologia da
informação, além de procurar identificar como as respectivas empresas tomam decisões em
relação à TI. O segundo método buscou identificar, através de diferentes indicadores contábeis,
se há relação entre a maturidade da governança de TI e o desempenho financeiro das empresas
que responderam ao questionário da pesquisa.
O método de pesquisa utilizado no presente estudo é o levantamento que, segundo Gil (1999), é
um tipo de fonte de coleta de dados mais adequada para estudos descritivos que para estudos
explicativos e caracteriza-se pela interrogação direta das pessoas cujo comportamento se deseja
conhecer. Mediante análises quantitativas, o pesquisador consegue obter conclusões
correspondentes aos dados coletados.
Em grande parte das pesquisas que fazem uso de levantamentos, não são pesquisados todos os
integrantes da população estudada devido à dificuldade envolvida em tal processo. Por isso, os
pesquisadores costumam estudar amostras de populações e, quando da utilização de amostras
significativas do universo, as conclusões obtidas, a partir da amostra, são projetadas para a
totalidade desse universo, levando-se em consideração a margem de erro. (GIL, 1999).
Assim, de acordo com o que foi exposto, pode-se classificar o presente trabalho como uma
pesquisa quantitativa, descritiva e que utilizará o levantamento, tendo como técnica de coleta de
dados o questionário.
3.2 POPULAÇÃO E AMOSTRA
A população escolhida para investigação foi o conjunto de empresas brasileiras de capital aberto
cadastrado no sítio da Comissão de Valores Mobiliários (CVM), em 30 de setembro de 2008.
Assim, a análise do desempenho financeiro e do grau de maturidade da governança de TI é
93
realizada para as empresas com publicação de demonstrações financeiras nessa data-base, sendo
que as respostas dos questionários foram coletadas até outubro de 2009.
O objetivo do presente trabalho foi pesquisar todas as empresas que compõem a população-alvo,
que é constituída por companhias de capital aberto selecionadas do total de empresas listadas no
site da Comissão de Valores Mobiliários (CVM) com situação não cancelada. Desse total, foram
excluídas empresas falidas, em liquidação extrajudicial, paralisadas e em concordata, chegando-
se então ao número de empresas que compõem a população da pesquisa e levando-se em conta a
disponibilidade de informações relativas à área de relação com investidores. Dessa forma,
definiram-se, como universo amostral, as empresas nacionais de capital aberto, listadas na Bolsa
de Valores de São Paulo (BOVESPA) – totalizando cerca de 590 empresas. A escolha por tais
empresas levou em consideração os seguintes critérios:
a) As empresas de capital aberto são obrigadas por lei a divulgarem publicamente e
periodicamente seus balanços fiscais, além de informações financeiras e de mercado;
b) Essas empresas possuem um setor específico de comunicação com os seus acionistas e o
público em geral (conhecido como setor de “Relações com Investidores” – RI), o que facilita o
contato e o acesso a elas.
Dessa forma, um questionário (APÊNDICE A) foi enviado para todas as empresas que foram
selecionadas e, por isso, a pesquisa contemplou toda a população-alvo definida. A unidade de
análise sobre a qual são feitas as declarações é a organização. Já os respondentes – tanto do
questionário aplicado na pesquisa survey quanto os que forneceram informações solicitadas sobre
a maturidade da governança de TI necessárias à realização deste estudo – foram pessoas
relacionadas à área de TI.
Da população de empresas, a pesquisa trabalhou com os questionários respondidos, sendo que os
mesmos foram submetidos à análise para verificar os que poderiam ser utilizados na pesquisa, a
fim de que pudessem ser eliminados os questionários que retornaram incompletos ou preenchidos
de maneira incorreta. A taxa de retorno obtida na pesquisa em relação aos questionários
94
devolvidos, evidentemente, foi considerada para análise de aplicabilidade da pesquisa e escolha
do melhor método estatístico.
A amostra obtida na presente pesquisa pode ser caracterizada como não-probabilística, já que a
seleção dos elementos da população para compor a amostra dependeu, ao menos em parte, do
julgamento do pesquisador. (MATTAR, 1996). Nesse caso, os resultados encontrados não
puderam ser projetados para a população total, como poderia ocorrer caso a amostra fosse
probabilística e houvesse a resposta significativa dos questionários. Apesar da superioridade da
amostragem probabilística ser incontestável, existem casos em que o uso da amostragem não-
probabilística deve ser considerado, pois é capaz de trazer resultados razoáveis.
Uma razão para o uso de amostragem não-probabilística pode ser a de não haver alternativa
viável porque a população não está disponível para ser sorteada. Outra razão é que, apesar da
amostragem probabilística ser tecnicamente superior na teoria, ocorrem problemas em sua
aplicação na prática, o que enfraquece essa superioridade. O resultado de um processo de
amostragem probabilístico a priori pode resultar em um estudo não probabilístico devido a erros
que os entrevistadores podem cometer quando não seguem corretamente as instruções. Outro
motivo pode ser o de que a obtenção de uma amostra de dados que reflitam precisamente a
população não seja o propósito principal da pesquisa. Se não houver intenção de generalizar os
dados obtidos na amostra para a população, então, não haverá preocupações quanto à amostra ser
mais ou menos representativa da população. A última razão para usar amostragem não-
probabilística se refere às limitações de tempo, recursos financeiros, materiais e pessoas
necessários para a realização de uma pesquisa com amostragem probabilística. (MATTAR,
1996).
De acordo com Schiffman e Kanuk (2000), as amostras não-probabilísticas podem ser
classificadas como amostras por conveniência ou acidentais, amostras intencionais ou por
julgamento e amostras por quotas ou proporcionais. Os questionários a serem respondidos,
compondo a amostra da pesquisa, caracterizam uma amostra por conveniência, já que, segundo
Malhotra (2001), é considerada uma técnica de amostragem não-probabilística que procura obter
95
uma amostra de elementos convenientes, em que a seleção das unidades amostrais é deixada a
cargo do entrevistador.
3.3 INSTRUMENTOS DE COLETA E TRATAMETO DE DADOS
Para investigar o grau de maturidade da governança de TI e como as empresas tomam decisões
em relação a TI foi preparado um questionário eletrônico, enviado por e-mail aos setores
responsáveis por essas informações em cada uma das empresas. O questionário estava dividido
em quatro blocos. No primeiro bloco, a identificação do respondente e da empresa, no segundo
bloco, vinte e nove questões sobre o processo de avaliação e gestão de riscos de TI, em que o
respondente selecionaria um número numa escala de 1 a 7 (o número 1, caso o respondente
discorde totalmente, e o número 7, caso concorde totalmente). No terceiro bloco, seguindo a
mesma escala do bloco anterior, dezenove questões sobre a maturidade da promoção da
governança de TI foram indagadas e, por fim, no último bloco, cinco questões sobre como a
empresa toma decisões em relação à alguns aspectos de TI, em que o respondente poderia
escolher uma entre as seis opções disponíveis.
A elaboração desse questionário levou em consideração dois processos do COBIT, que tiveram
assertivas confeccionadas por Rosa (2008) e utilizadas nesta pesquisa, para preparação das
questões a serem avaliadas pelos respondentes em relação ao grau de maturidade da governança
de TI medido por proxy do processo de avaliação e gestão de riscos de TI e de promoção da
governança de TI. Além disso, a confecção das questões referentes ao processo decisório de TI
levou em consideração a matriz de arranjos de governança cuja fonte teórica foi o livro de Weill e
Ross (2006).
A coleta de dados pode ser considerada uma das tarefas características da pesquisa descritiva. Ao
coletar dados, o pesquisador pode optar por recorrer a dados primários e secundários. Segundo
Malhotra (2001), os dados secundários são aqueles que já foram coletados para objetivos
diferentes do problema de pesquisa, enquanto que os dados primários são obtidos ou produzidos
96
pelo pesquisador com a finalidade específica de resolver o problema de pesquisa. Para o
desenvolvimento da presente pesquisa, foram utilizados dados primários e secundários. Os dados
primários foram coletados por meio do levantamento, com a aplicação dos questionários. Os
dados secundários foram obtidos por meio dos Demonstrativos Financeiros disponibilizados no
banco de dados do Economática.
Segundo Richardson (1999), o questionário talvez seja o mais comum dos diversos instrumentos
de coleta de dados que podem ser utilizados para a obtenção das informações necessárias ao
desenvolvimento da pesquisa. Para Marconi e Lakatos (2003), o questionário é um instrumento
de coleta de dados constituído por uma série ordenada de perguntas que devem ser respondidas
por escrito. Malhotra (2001) afirma que os questionários têm três objetivos específicos: devem
traduzir a informação desejada em um conjunto de questões específicas que os entrevistados
tenham condições de responder; devem motivar e incentivar o entrevistado, envolvendo-o com o
assunto cooperando e completando a entrevista; devem minimizar o erro na resposta, que surge
quando os entrevistados dão respostas imprecisas ou quando as respostas são registradas ou
analisadas incorretamente.
No processo de elaboração do questionário utilizado na pesquisa, optou-se pela predominância de
perguntas fechadas que apresentam ao respondente um conjunto de alternativas de resposta para
que seja escolhida a que melhor representa sua situação ou ponto de vista. (GIL, 1999). Assim,
para se investigar o grau de maturidade da governança de TI em relação aos processos de
avaliação e gestão de riscos de tecnologia da informação e promoção da governança de
tecnologia da informação, optou-se por questionário eletrônico com escala intervalar do tipo
Likert de sete pontos (APÊNDICE A, itens 7 e 8). Para cada uma das situações identificadas, os
respondentes informaram se concordavam ou não, dentro dos parâmetros da escala.
Em relação aos arquétipos para decisões inter-relacionadas sobre a tecnologia da informação
referente aos princípios de TI, a arquitetura de TI, a infra-estrutura de TI, as necessidades de
aplicação de negócio, os investimentos e a priorização da TI, optou-se por questionário eletrônico
de múltipla escolha (APÊNDICE A, itens 9 a 13). Para cada uma das situações identificadas, os
97
respondentes informaram entre as opções correspondentes aos arquétipos relacionados no Quadro
3.24
Monarquia de Negócios – Os Executivos de diretoria
Monarquia de TI - Os especialistas em TI
Feudalismo - Cada unidade de negócio toma decisões independentes.
Federalismo - Combinação entre o centro corporativo e as unidades de negócio, com ou sem o
envolvimento do pessoal de TI.
Duopólio de TI - O grupo de TI e algum outro grupo (por exemplo, a alta gerência ou líderes das
unidades de negócios).
Anarquia - Tomada de decisões individual ou por pequenos grupos
Quadro 3.24 – Resumo dos arquétipos de governança de TI
Fonte: GAMA, 2006
As informações sobre a empresa e o respondente foram solicitadas nos itens de 1 a 6
(APÊNDICE A), sendo o nome, cargo e email do respondente, nome da empresa e setor de
atividade. Os itens 14 e 15 não foram utilizados na pesquisa, devido a incongruências nas
respostas recebidas dos questionários.
Inicialmente, foram realizadas ligações para os executivos das empresas na tentativa de explicar o
intuito dos questionários por telefone. Os questionários, então, foram enviados por e-mail. O
envio de questionários por e-mail pode ser considerado uma forma indireta de aplicação que se
assemelha ao envio pelo correio. De acordo com Richardson (1999), a aplicação por correio
permite incluir grande quantidade de pessoas e pontos geográficos diferentes. Porém, o mesmo
autor ressalta que uma das desvantagens dessa forma de aplicação é a possibilidade de se obter
baixa taxa de devolução e viés nas respostas, já que os questionários respondidos são devolvidos
pelas pessoas mais interessadas em colaborar, o que faz com que a amostra não seja aleatória.
Apesar das desvantagens citadas, a aplicação dos questionários por e-mail ainda representou a
melhor opção de acordo com os objetivos que a presente pesquisa procurou alcançar. A utilização
de questionários como ferramenta de coleta de dados apresenta vantagens e desvantagens. A
98
economia de tempo, a capacidade de atingir maior número de pessoas simultaneamente, a
abrangência de uma área geográfica mais ampla e maior rapidez e a facilidade na tabulação dos
dados podem ser consideradas as principais vantagens dessa forma de levantamento. Algumas
desvantagens que podem ser encontradas são a pequena porcentagem de questionários que
voltam respondidos, questões sem respostas e devolução tardia. Todavia, a coleta de dados
primários e a facilidade na tabulação dos mesmos podem ainda ser consideradas um diferencial
que agregou valor a este trabalho.
As variáveis pesquisadas para o desempenho das empresas foram LO/AT: liquidez geral e
corrente; giro do ativo e do patrimônio líquido; margem bruta, operacional e líquida;
rentabilidade do ativo; giro dos depósitos à vista; depósitos à vista sem receita operacional
financeira; alavancagem financeira e operacional. Sendo que o giro dos depósitos à vista e os
depósitos à vista sem receita operacional só competem às instituições financeiras, enquanto que a
margem operacional e os dois tipos de alavancagem existem apenas para as empresas dos outros
setores de atividade. Todas elas explicadas no referencial teórico desta pesquisa.
Em razão da quantidade de retorno dos questionários, optou-se em aplicar o teste de
aleatorização, sendo possível investigar se determinado padrão presente nos dados é ou não
efeito do acaso. (MANLY, 2006; VIOLA, 2007). Com esse teste, valores de uma estatística
observada nos dados podem ser comparados a valores dessa mesma estatística após a
aleatorização das observações.
Testes aleatorizados possuem algumas características peculiares em comparação a testes
estatísticos clássicos. Como vantagem pode-se citar a sua utilização para pequenas amostras,
aleatórias ou não, por se tratar de um teste não-paramétrico e, dessa forma, não necessitarem de
informações prévias a respeito da população da qual a amostra foi retirada e são fáceis de serem
calculados devido avanço computacional. A principal desvantagem desse teste é a
impossibilidade de generalização das conclusões obtidas para a população de interesse.
(MANLY, 2006).
99
Esse teste baseia-se na pressuposição de que se a hipótese nula é verdadeira, todas as possíveis
ordens dos dados são equiprováveis, ou seja, possuem a mesma probabilidade de ocorrência. A
hipótese nula (
0
H ) diz que não existe padrão nos dados ou, se existe esse padrão, isso é efeito do
acaso, quando as observações estão aleatorizadas, enquanto a hipótese alternativa (
1
H ) afirma
que os dados apresentam determinado padrão, isto é, as variáveis estão correlacionadas.
(MANLY, 2006).
Segundo Viola (2007), a realização desse teste é feita da seguinte forma: para um conjunto de
observações calcula-se o valor
o
e de uma estatística
E
e, a seguir, faz-se um número grande de
aleatorizações que, no contexto de correlação de duas variáveis, são dadas por reordenações
aleatórias dos dados, obtendo-se valores
i
a
e desta estatística, em que
i
é a
ésimai
−
aleatorização. Assim, como em testes estatísticos clássicos, a decisão é guiada por um
pvalor
−
que, no caso de testes aleatorizados, é dado pela proporção dos valores
i
a
e
que são maiores do
que ou iguais a
o
e
. Por exemplo, se
05,0
<
p
, conclui-se que existe uma forte evidência de que a
hipótese nula não seja verdadeira ao nível de significância de
%5
.
A estatística
E
deve ser escolhida adequadamente pelo pesquisador. Neste estudo foi utilizado o
coeficiente de correlação posto-ordem de Spearman, pois, nas hipóteses da pesquisa, as
correlações são entre variáveis qualitativas ordinais e quantitativas.
O
coeficiente de correlação por postos de Spearman
, em relação às estatísticas baseadas em
postos, foi a que primeiro surgiu e é bastante conhecida. Entende-se por posto um número
atribuído a um item amostral individual de acordo com a sua posição na lista ordenada, logo, a
magnitude dos valores observados não tem relevância quando esse coeficiente está sendo
utilizado.
É uma medida de associação que exige que as duas variáveis estejam pelo menos numa escala de
mensuração ordinal, de modo que os valores assumidos por essas variáveis possam dispor em
ordem crescente ou decrescente. Na presença de empates, o posto é a média dos postos que
100
teriam sido atribuídos se os valores tivessem sido levemente diferentes. (SIEGEL;
CASTELLAN, 2006).
O coeficiente de Spearman é calculado utilizando a expressão:
,
6
1
3
1
2
N
N
d
r
N
i
i
s
−
−=
∑
=
(1)
em que
iii
yxd −=
é a diferença nos postos sobre as duas variáveis e
N
é o número de
observações na amostra. Se existirem muitas observações empatadas é necessário aplicar um
fator de correção. O fator de correção é dado por:
( )
∑
=
−=
g
i
ix
ttT
1
3
, em que
g
é o número de
grupos de diferentes postos empatados e
i
t é o número de postos empatados no
ésimoi
−
grupo.
Dessa forma, a equação do coeficiente de Spearman (SIEGEL; CASTELLAN, 2006) é:
( )
(
)
( )
( )
( )
.
2
6
3
2
3
1
23
yxyx
yx
N
i
i
s
TTNNTTNN
TT
dNN
r
+−−−−
−
−−−
=
∑
=
(2)
A aplicação dos questionários ocorreu por meio eletrônico, sendo enviados juntamente com uma
carta de apresentação para os e-mails das alçadas pertinentes das empresas relacionadas com
objeto da pesquisa. O envio de e-mail foi efetuado para os respectivos departamentos de
“Relações com Investidores” (RI) de cerca de 590 empresas listadas na BOVESPA (cujo
endereço eletrônico havia sido obtido no próprio site da CVM – http://www.cvm.gov.br/).
O e-mail (APÊNDICE A) encaminhado fazia uma breve apresentação do grupo de pesquisa
(Grupo de Pesquisa: Laboratório de Pesquisa em Contabilidade de Gestão da Faculdade de
Ciências Contábeis da Universidade Federal da Bahia (FCC/UFBA)) e dos objetivos propostos
101
pela dissertação, solicitando que cada empresa demonstrasse o grau de maturidade da governança
de TI, bem como quais os arquétipos de decisão em relação a TI.
Uma situação interessante se notou em relação a esta pesquisa, o fato de aproximadamente 195
emails (aproximadamente 33% dos e-mails enviados) retornarem sem ao menos terem chegado
na caixa do destinatário – mostrando uma falha no principal meio de comunicação entre as
empresas de capital aberto e seus acionistas.
Ao final da aplicação dos questionários – iniciada no mês de outubro de 2008 – dois contatos por
e-mail foram realizados com os cerca de 590 departamentos de RI. No total, 20 e-mails
retornaram, sendo que apenas dez deles, referentes às empresas, puderam ser aproveitados, tendo
em vista a integridade das respostas para aplicação desta pesquisa. Nesse processo, é importante
ressaltar que ligações telefônicas foram realizadas para um total de aproximadamente 200
empresas, sendo que, em muitos casos, as respostas para não atender a solicitação da pesquisa
foram a falta de tempo ou o fato de a empresa não participar de pesquisas. Algumas até
argumentavam que, se fossem responder as pesquisas das diversas universidades no Brasil,
teriam que criar um setor específico para isso.
Apesar das dificuldades e desvantagens encontradas na aplicação de questionários, para o
problema da presente pesquisa, o levantamento de dados primários por meio da utilização de
questionário enriquece o trabalho, sendo um diferencial em relação às publicações que utilizam
somente dados secundários. Considera-se, portanto, a aplicação de questionários para a coleta de
dados primários, uma das contribuições deste trabalho para o tema.
3.4 DESEMPENHO FINANCEIRO
O objetivo da presente pesquisa é verificar se existe relação entre o grau de maturidade da
governança de TI e o desempenho financeiro das empresas brasileiras com fins lucrativos, para
que se possa apresentar um diagnóstico da governança de TI utilizada pelas empresas brasileiras.
102
Nesse sentido, é necessário definir os indicadores contábeis de desempenho financeiro a serem
associados aos graus de maturidade da governança de TI das empresas de capital aberto, sendo
selecionados os seguintes: LO/AT, Liquidez Geral, Liquidez Corrente, Giro do Ativo, Giro do
Patrimônio Líquido, Margem Bruta, Margem Operacional, Margem Líquida, Rentabilidade do
Ativo, Giro dos Depósitos à Vista, Depósitos à Vista s/ Receita Operacional Financeira,
Alavancagem Financeira, Alavancagem Operacional.
As definições teóricas e operacionais das variáveis utilizadas no estudo são:
a) LO/AT
O LO/AT, também conhecido como o ROA (Retorno do lucro operacional sobre o ativo total.),
Estabelece a eficiência dada pela administração ao ativo total utilizado nas operações da empresa,
sendo a fonte de dados contábeis o banco de dados Economática:
Conforme Souza (2005), o desempenho de companhia pode ser medido pelo resultado financeiro
obtido com base em informações contábeis da empresa, para tanto, o retorno do lucro operacional
sobre o ativo total é uma opção.
b) Liquidez Geral
Segundo Souza (2007), os quocientes de liquidez evidenciam o grau de solvência da empresa em
decorrência da existência ou não de solidez financeira que garanta o pagamento dos
compromissos assumidos com terceiros num longo, curto ou em prazo imediato.
O índice de liquidez geral de uma empresa é obtido pelo quociente:
103
Esse quociente evidencia se os recursos financeiros aplicados no Ativo Circulante e o Ativo
Realizável a Longo Prazo são suficientes para cobrir as obrigações totais, isto é, quanto a
empresa tem de Ativo Circulante mais Realizável a Longo Prazo para cada real de obrigação
total. Nesta pesquisa, a fonte de dados desse quociente foi o banco de dados do Economática.
Para Iudícibus (1998, p. 102), “este índice serve para detectar a saúde financeira (no que ser
refere à liquidez) de longo prazo do empreendimento”. Interpretação: quanto maior esse
quociente, melhor, pois maior será a capacidade geral de pagamento das dívidas da empresa.
c) Liquidez Corrente
Segundo Souza (2007), esse indicador mostra a capacidade da empresa em saldar os seus
compromissos financeiros e dívidas a curto prazo, isto é, quanto a empresa tem de bens e direitos
de curto prazo para cada real de obrigações de curto prazo. Interpretação: quanto maior esse
quociente, melhor, pois maior será a capacidade de pagamento das dívidas de curto prazo. Nesta
pesquisa, a fonte de dados desse quociente será o banco de dados do Economática.
d) Giro do Ativo
Os Quocientes de Rentabilidade, conforme Souza (2007), servem para medir a capacidade
econômica da empresa, isto é, evidenciam o grau de êxito econômico obtido pelo capital
investido na empresa, enfocando os aspectos econômicos na análise empresarial. São calculados
com base em valores extraídos da Demonstração do Resultado do Exercício e do Balanço
Patrimonial. Nesse sentido, o giro do ativo ou do investimento total, é obtido pelo quociente
entre:
104
Interpretação: quanto maior esse quociente, melhor, pois evidencia a maior produtividade dos
recursos aplicados no ativo da empresa. A fonte de dados nesta pesquisa para este indicador foi o
banco de dados do Economática.
e) Giro do Patrimônio Líquido
Segundo Assaf Neto (2003), esse índice mensura o retorno dos recursos aplicados na empresa por
seus proprietários. Ou seja, para cada unidade monetária de recursos próprios (Patrimônio
Líquido) investido na empresa, mede-se quanto os proprietários auferem de lucro. A
rentabilidade sobre o capital próprio investido numa empresa é determinada pela relação
verificada entre o lucro líquido e o patrimônio líquido:
(3)
Onde:
LL = Lucro Líquido após Impostos
PL = Patrimônio Líquido. Utilizou-se neste artigo o conceito de patrimônio líquido médio, que é
a média simples entre o PL de dois períodos analisados.
A rentabilidade sobre o Patrimônio Líquido pode ser decomposta, conforme Assaf Neto (2003, p.
117), da seguinte maneira:
ROE = ML ×GPL (4)
Onde:
ML = Margem líquida (rentabilidade das vendas)
GPL = Giro do patrimônio líquido
105
Ou seja:
Onde:
VL = Vendas líquidas
f) Margem Bruta
A margem bruta é obtida pelo quociente:
Segundo Souza (2007), esse quociente indica quanto sobra, para remunerar as despesas e os
proprietários da empresa (Lucro Líquido). Interpretação: Quanto maior, melhor. Nesta pesquisa,
a fonte de dados para esse indicador foi o banco de dados do Economática.
g) Margem Operacional
A margem operacional é calculada pelo quociente entre:
Segundo Souza (2007), esse quociente indica quanto a empresa aufere de lucro nas suas
operações efetivamente, sem incluir despesas e receitas não operacionais. Interpretação: Quanto
maior esse quociente, melhor. Nesta pesquisa, a fonte de dados para este indicador foi o banco de
dados do Economática.
106
h) Margem Líquida
A margem líquida é expressa pela relação entre:
Segundo Souza (2007), esse indicador demonstra o quanto a empresa obtém de lucro em relação
às vendas líquidas. Interpretação: Quanto maior esse quociente, melhor
i) Rentabilidade do Ativo
A rentabilidade do ativo (Taxa de Retorno sobre Investimento) é obtida através do quociente
entre:
Segundo Souza (2007), esse indicador, que mostra quanto a empresa obteve de lucro líquido em
relação ao ativo, é uma medida do potencial de geração de lucro da parte da empresa. Essa
medida mostra o retorno do total de recursos aplicados no ativo da empresa. Interpretação:
Quanto maior esse quociente, melhor, pois maior será a capacidade de geração de lucro da
empresa em relação aos recursos aplicados no seu ativo.
j) Giro dos Depósitos à Vista
Conforme o banco de dados Economática, refere-se aos depósitos à vista em relação à receita de
intermediação financeira.
l) Depósitos à Vista s/ Receita Operacional Financeira
107
Conforme o banco de dados Economática, refere-se aos depósitos à vista em relação à receita
operacional financeira.
k) Alavancagem Financeira
A alavancagem financeira (ALAV) é definida como a dívida financeira total sobre o ativo total da
empresa, ambas medidas em valores contábeis, em reais nominais, ao final de cada exercício. A
fonte de dados utilizada foi o Economática.
l) Alavancagem Operacional
A alavancagem operacional pode ser entendida como a capacidade de uma empresa em utilizar-se
de “variações” nos custos fixos para aumentar os efeitos da variação em vendas sobre o lucro
operacional. Esses custos fixos não variam com o volume da produção e devem ser remunerados
pelas receitas geradas. Essa capacidade de remunerar os custos fixos pode ser entendida em uma
das configurações da MS “margem de contribuição” ou “contribuição marginal”. (TEIXEIRA,
1993).
O conceito de alavancagem empresarial é similar ao conceito de alavanca comumente empregado
em física. Por meio da aplicação de uma força pequena no braço maior da alavanca é possível
mover um peso muito maior no braço menor da alavanca. (BRUNI; FAMÁ, 2002). A
alavancagem operacional ocorre quando um crescimento de x% nas vendas provoca um
crescimento de n vezes x% no lucro bruto. O efeito de alavancagem ocorre pelo fato de que os
custos fixos são distribuídos por um volume maior de produção, fazendo com que o custo
unitário da mercadoria seja reduzido. O fator n é denominado grau de alavancagem operacional.
Dentro desse conceito, pode-se observar que uma variação percentual pequena nas vendas de, por
exemplo, 3%, resulte em uma variação percentual muito maior no resultado (por exemplo 30%).
A alavancagem operacional será determinada conforme o segue:
108
Conforme Nascimento, Sarlo Neto e Louzada (2008), o efeito da alavancagem operacional está
relacionado com os gastos fixos da empresa, gastos esses que poderão constituir risco para as
atividades operacionais. A alavancagem operacional vem medir qual será a proporção desse
risco. O impacto da alavancagem operacional diminuirá na proporção do crescimento das vendas
acima do Ponto de Equilíbrio, resultando assim em um lucro maior. Conforme visto na análise do
ponto de equilíbrio, quanto maior for o volume de vendas acima do ponto de equilíbrio, a
empresa terá uma margem maior de segurança.
109
4 APRESENTAÇÃO E ANÁLISE DE RESULTADO
O objetivo principal desta pesquisa foi verificar se existe relação entre o grau de maturidade da
governança de TI e o desempenho financeiro das empresas brasileiras com fins lucrativos, sendo
desenvolvidas as seguintes hipóteses:
H1: existe uma relação entre o grau de maturidade da governança de TI e o desempenho
financeiro das empresas com fins lucrativos;
H2: existe uma relação entre o grau de maturidade da governança no processo de avaliação e
gestão de riscos de TI e o grau de maturidade da governança no processo de promoção da
governança de TI.
Para investigar o grau de maturidade da governança de TI foi aplicado um questionário
eletrônico, enviado por e-mail aos setores responsáveis por essas informações em cada uma das
empresas. O questionário estava dividido em quatro blocos. No primeiro bloco a identificação do
respondente e da empresa, no segundo, vinte e nove questões sobre o processo de avaliação e
gestão de riscos de TI, em que o respondente selecionaria um número numa escala de 1 a 7 (o
número 1, caso o respondente discorde totalmente, e o número 7, caso concorde totalmente). No
terceiro bloco, seguindo a mesma escala do bloco anterior, dezenove questões sobre a maturidade
da promoção da governança de TI foram indagadas e, por fim, no último bloco, cinco questões
sobre como a empresa toma decisões em relação a alguns aspectos de TI, em que o respondente
poderia escolher uma entre as seis opções disponíveis.
Como já foi dito, anteriormente, as variáveis pesquisadas para o desempenho financeiro das
empresas estão representadas pelos indicadores: LO/AT; liquidez geral e corrente; giro do ativo e
do patrimônio líquido; margem bruta, operacional e líquida; rentabilidade do ativo; giro dos
depósitos à vista; depósitos à vista sem receita operacional financeira; alavancagem financeira e
operacional. Sendo que o giro dos depósitos à vista e os depósitos à vista sem receita operacional
só competem às instituições financeiras, enquanto que a margem operacional e os dois tipos de
110
alavancagem existem apenas para as empresas dos outros setores de atividade. Esses indicadores
pesquisados estão demonstrados na Tabela 4.1.
Indicadores
Liquidez Rentabilidade
Nome da
Empresa
Setor da
Economia
Liqui
dez
Geral
Liqui
dez
Corre
nte
LO/
AT
Giro
do
Ativo
Giro
do
Patri-
mônio
Líqui-
do
Mar-
gem
Bruta
Mar-
gem
Opera-
cional
Mar-
gem
Líqui-
da
Renta-
bilida-
de do
Ativo
Giro
dos
Depós
itos a
Vista
Depó-
sitos a
Vista s/
Receita
Opera-
cional
Finan-
ceira
Alavan-
cagem
Finan-
ceira
Alavan-
cagem
Opera-
cional
Braskem Química 0,60 1,20 -0,029
0,80 3,10 15,20 -2,20 -1,90 -1,60 - - -1,20 1,70
Cyrela
Brazil
Realty
Constru-
ção
1,70 3,60 0,064 0,40 1,10 41,10 19,20 14,20 6,00 - - 2,50 2,00
Petrobras
Petróleo e
Gás 0,70 1,20 0,147 0,80 1,50 35,30 22,90 14,70 11,60 - - 1,90 1,20
Telemar
ou OI
Teleco-
munica-
ções
0,70 2,10 0,047 0,50 1,80 48,40 15,40 10,30 5,00 - - 2,70 2,10
Telemar N
L
Teleco-
munica-
ções
0,70 1,80 0,055 0,50 1,70 48,40 15,60 12,60 6,50 - - 2,60 2,10
Banco
ABC
Brasil
Finanças e
Seguros
1,20 1,10 0,027 0,10 0,70 40,20 - 22,00 2,30 2,20 10,00 - -
Banco da
Amazônia
S.A.
Finanças e
Seguros 1,30 0,70 0,026 0,10 0,40 49,50 - 18,70 2,00 2,30 58,50 - -
Banco
Cruzeiro
do Sul
Finanças e
Seguros 1,20 0,80 0,010 0,20 1,00 52,20 - 17,90 2,90 1,50 2,30 - -
Banco
Daycoval
S.A.
Finanças e
Seguros 1,20 1,40 0,029 0,20 0,80 36,10 - 18,10 3,00 1,50 9,20 - -
Paraná
Banco
Finanças e
Seguros
1,50 1,20 0,026 0,20 0,50 57,60 - 27,00 4,70 1,40 1,00 - -
Tabela 4.1 – Indicadores de desempenho financeiro das empresas
Fonte: ECONOMÁTICA, set. 2008
As dez empresas estudadas foram divididas em dois grupos, a saber: o primeiro grupo composto
por empresas de diversos setores de atividade, a exemplo de setores como o petroquímico, a
construção civil, o petróleo e gás e as telecomunicações. Já o segundo composto por instituições
financeiras, por entender que esse setor possui contabilidade bastante peculiar.
Seguindo a teoria referente aos processos do modelo COBIT e o desenvolvimento teórico de
Rosa (2008), com os quais este estudo se baseou para montar a escala de 1 a 7 nas questões sobre
o processo de avaliação e gestão de riscos de tecnologia da informação (TI) e sobre o processo de
111
promoção da governança de tecnologia da informação, podendo estes itens se converterem nos
graus de maturidade da governança.
Para obtenção dos indicadores de maturidade dos processos de governança de TI, foi
confeccionado um simulador com base nos modelos de maturidade (APÊNCICE A) de cada um
dos processos selecionados. Para capturar os seis níveis de maturidade (Inicial, Repetido,
Definido, Gerenciado e Otimizado), foram elaboradas assertivas que refletiam suas características
de consciência, comunicação, procedimentos, ferramentas, treinamento, responsabilização ou
medidas de desempenho. Dessa forma, cada respondente avaliou vinte e nove assertivas
referentes ao processo de avaliação e gestão de riscos de TI e dezenove assertivas referentes ao
processo de promoção de governança de TI, totalizando quarenta e oito assertivas para a
avaliação dos dois processos.
Ao término dessa avaliação, um simulador matemático apresentou o indicador aproximado das
maturidades, calculados em função das respostas fornecidas. Como exemplo, se fossem marcadas
duas assertivas do nível 1, 2 do nível 2, 1 do nível 3 e 4 do nível 4 para um processo, calculava-se
o indicador de maturidade como a média (2x1 + 2x2 + 1x3 + 4x4) / 9 = 2,78.
As Tabelas 4.2, 4.3, 4.4, 4.5, 4.6, 4.7 e 4.8 apresentam um descritivo da amostra obtida na
simulação de maturidade. É importante ressaltar que a análise dos respondentes se deu a partir de
uma simplificação dos modelos de maturidade da estrutura COBIT. A obtenção mais acurada das
reais maturidades demandaria recursos humanos e de tempo fora do alcance das possibilidades
deste estudo.
A Tabela 4.2 apresenta o resultado da simulação de maturidade do processo de avaliação e gestão
de riscos de TI.
Empresa Maturidade Nível mais próximo
Braskem
5,72 6- Otimizado
Cyrela Brazil Realty
5,00 5 – Gerenciado
Petrobras
4,41 4- Definido
Telemar ou OI
5,69 6- Otimizado
Telemar N L
5,69 6- Otimizado
Continua
112
Empresa Maturidade Nível mais próximo
Banco ABC Brasil
5,03 5 – Gerenciado
Banco da Amazônia S.A.
1,31 1 – Não existe
Banco Cruzeiro do Sul
5,97 6- Otimizado
Banco Daycoval S.A.
5,69 6- Otimizado
Paraná Banco
5,52 6- Otimizado
Média
5,00 5 – Gerenciado
Tabela 4.2 – Maturidade da governança de TI referente processo de avaliação e gestão de riscos de TI. Conclusão.
Fonte: Dados da pesquisa, 2009
Verifica-se, com base na Tabela 4.2, um nível mais avançado de maturidade da governança de TI,
dentre as empresas observadas, para o Banco Cruzeiro do Sul, vindo logo em seguida a Braskem.
Já o nível mais baixo foi apresentado pelo Banco Amazônia. Dentro da análise descritiva desta
pesquisa, procurou-se, com o desenvolvimento da análise de resultados, identificarem indícios e
relações referentes a esses achados. A média geral obtida (5,00) indica a tendência para o nível
“gerenciado” de maturidade, que se caracteriza pelo nível sênior (diretoria) de responsabilidade
pela gestão de risco, alinhamento desta gestão à operação geral de TI, pela gestão de mudança
eficaz, pela habilitação da gerência para tomar atitude em relação à exposição ao risco, pela
indicação de responsabilidade em relação aos riscos identificados, pela automatização parcial da
gestão de risco e pelo desenvolvimento de medidas para análise de risco e retorno em relação ao
risco.
Apesar da otimização na maioria das empresas, a qual foi feita por aproximação, verifica-se que
nenhuma das empresas alcançou a otimização efetivamente, tendo em vista que o indicador de
maturidade seis não foi atingindo em sua plenitude. Nesse caso, as assertivas que tiveram uma
pontuação mais baixa e que contribuíram para isso foram: a) A captura, análise e informação de
dados para Gestão de Risco de Tecnologia da Informação é altamente automatizada para toda
organização (assertiva 7.5, APÊNDICE A); b) a Gestão de Riscos de Tecnologia da Informação é
integrada em todas as linhas de negócio (assertiva 7.6, APÊNDICE A); c) a descrição de cargos
considera as responsabilidades de Gestão de Riscos de Tecnologia da Informação (assertiva 7.12,
APÊNDICE A); d) todos os riscos identificados possuem um funcionário responsável e a alta
administração (Conselho de Administração/ Sócios/ Donos) determinam o nível de risco tolerado
(assertiva 7.17, APÊNDICE A); e) ocorrem treinamentos de Gestão de Riscos de Tecnologia da
Informação disseminados por toda organização (assertiva 7.20, APÊNDICE A); f) o orçamento
113
para projetos de gestão de risco de tecnologia da informação é reavaliado periodicamente
(assertiva 7.26, APÊNDICE A) e g) há um banco de dados para gestão de riscos e o processo de
registro é automatizado (assertiva 7.29, APÊNDICE A).
A Tabela 4.3 apresenta a média do grau de maturidade do processo de avaliação e gestão de
riscos de TI do grupo 1.
Empresa Maturidade Nível mais próximo
Braskem
5,72 6- Otimizado
Cyrela Brazil Realty
5,00 5 – Gerenciado
Petrobras
4,41 4- Definido
Telemar ou OI
5,69 6- Otimizado
Telemar N L
5,69 6- Otimizado
Média
5,30 5 – Gerenciado
Tabela 4.3 – Maturidade da governança de TI referente avaliação e gestão de riscos de TI do Grupo 1.
Fonte: Dados da pesquisa, 2009
A média do grupo 1 foi de 5,30, conforme Tabela 4.3, confirmando o nível gerenciado
apresentado na média geral de empresas na Tabela 4.2. É interessante destacar que o nível da
Petrobras encontra-se convergente com o verificado por Rosa (2008) para o Banco Central do
Brasil, indicando a tendência para o nível definido de maturidade, que se caracteriza pela
existência de procedimentos padronizados e documentados – típicos de organizações burocráticas
– os quais são comunicados e treinados, mas os desvios individuais provavelmente não são
detectados.
A Tabela 4.4 apresenta a média do grau de maturidade do processo de avaliação e gestão de
riscos de TI do grupo 2:
Empresa Maturidade Nível mais próximo
Banco ABC Brasil
5,03 5 – Gerenciado
Banco da Amazônia S.A.
1,31 1 - Não existe
Banco Cruzeiro do Sul
5,97 6- Otimizado
Banco Daycoval S.A.
5,69 6- Otimizado
Paraná Banco
5,52 6- Otimizado
Média
4,70 5 – Gerenciado
Tabela 4.4 – Maturidade da governança de TI referente avaliação e gestão de riscos de TI do Grupo 2.
Fonte: Dados da pesquisa, 2009
A média do grupo 2 foi de 4,70, conforme Tabela 4.4, confirmando o nível gerenciado
apresentado na média geral de empresas na Tabela 4.2. Já o Banco Amazônia apresentou um grau
114
de maturidade “não existe”, ou seja, o processo de avaliação e gestão de riscos de TI não é
identificado como relevante, tomando como base a revisão da literatura desta pesquisa. O
contrário de uma perspectiva de otimização, em que diversas etapas do processo de avaliação e
gestão de riscos de TI são cumpridas, caracterizando-se por um processo de gestão de riscos de
TI estruturado, reforçado em toda a organização e bem gerenciado. Assim, pode-se encontrar,
numa empresa com nível otimizado, boas práticas aplicadas em toda a organização; a existência
de captura, análise e informação de dados para gestão de riscos de TI altamente automatizada.
Além disso, há orientação de líderes nesse campo e a organização realiza trocas de experiência,
sendo a gestão de riscos de TI integrada em todas as linhas de negócio. Entre outros aspectos,
levantados pela revisão teórica.
A Tabela 4.5 apresenta o resultado da simulação de maturidade do processo de promoção de
governança de TI:
Empresa Maturidade Nível mais próximo
Braskem
5,68 6- Otimizado
Cyrela Brazil Realty
3,58 4- Definido
Petrobras
5,58 6- Otimizado
Telemar ou OI
5,26 5 – Gerenciado
Telemar N L
5,26 5 – Gerenciado
Banco ABC Brasil
4,26 4- Definido
Banco da Amazônia S.A.
1,48 1 - Não existe
Banco Cruzeiro do Sul
5,95 6- Otimizado
Banco Daycoval S.A.
5,68 6- Otimizado
Paraná Banco
5,58 6- Otimizado
Média
4,85 5 – Gerenciado
Tabela 4.5– Maturidade da governança de TI referente ao processo de promoção de governança de TI.
Fonte: Dados da pesquisa, 2009
Verifica-se, com base na Tabela 4.5, um nível mais avançado de maturidade da governança de TI,
dentre as empresas observadas, para o Banco Cruzeiro do Sul, vindo logo em seguida a Braskem
e o Banco Daycoval S.A. Já o nível mais baixo foi apresentado pelo Banco Amazônia. A média
geral obtida (4,85) indica a tendência para o nível “gerenciado” de maturidade, que se caracteriza,
com base referencial teórico desta pesquisa, por um profundo entendimento sobre questões de
governança de TI (GTI), existindo uma clara compreensão de quem é o cliente, sendo as
responsabilidades definidas e monitoradas. Além disso, os processos de TI e GTI são alinhados à
estratégia de TI e negócio. As melhorias em processos de TI são baseadas em compreensão
quantitativa, sendo possível monitorar e medir conformidade a procedimentos e métrica de
115
processos. Indicadores de desempenho de GTI são registrados e acompanhados, levando a
melhorias na organização. Prestação de contas de processos-chave é concebida e a gestão é
suportada por medidas-chave de desempenho.
A mesma situação da avaliação e gestão de riscos de TI se apresentou similarmente para a
promoção da governança de TI. Ou seja, apesar da otimização na maioria das empresas, a qual foi
feita por aproximação, verifica-se que nenhuma das empresas alcançou a otimização
efetivamente, tendo em vista que o indicador de maturidade 6 não foi atingindo em sua plenitude.
Aliás, a média global, sequer alcançou o nível gerenciado por completo (5). Nesse caso, as
assertivas que tiveram uma pontuação mais baixa e que contribuíram para isso foram: a)
indicadores de governança de Tecnologia da Informação estão desenvolvidos, documentados e
registrados, sendo definidas relações entre medidas de resultado e indicadores de desempenho
(assertiva 8.5, APÊNDICE A). b) Os riscos e retornos de processos de Tecnologia da Informação
são identificados, balanceados e comunicados na organização, baseando-se em compreensão
quantitativa (assertiva 8.6, APÊNDICE A). c) Governança corporativa e Governança de
Tecnologia da Informação são estrategicamente ligadas, alavancando tecnologia, recursos
humanos e financeiros para aumentar a vantagem competitiva da organização (assertiva 8.8,
APÊNDICE A). d) A implementação de políticas leva a uma rápida adaptação de pessoas e
processos organizacionais a requisitos de Governança de Tecnologia da Informação (assertiva
8.14, APÊNDICE A). e) Treinamento e comunicação relativa a governança de Tecnologia da
Informação são suportados por técnicas e conceitos maduros compreendendo a estratégia da
Companhia (assertiva 8.15, APÊNDICE A). f) O Treinamento e uso de ferramentas para auxiliar
a governança de Tecnologia da Informação é definido de forma corporativa, conforme estratégia
de negócio (assertiva 8.16, APÊNDICE A).
A Tabela 4.6 apresenta a média do grau de maturidade do processo de promoção da governança
de TI do grupo 1.
Empresa Maturidade Nível mais próximo
Braskem
5,68 6- Otimizado
Cyrela Brazil Realty
3,58 4- Definido
Petrobras
5,58 6- Otimizado
Continua
116
Empresa Maturidade Nível mais próximo
Telemar ou OI
5,26 5 – Gerenciado
Telemar N L
5,26 5 – Gerenciado
Média
5,07 5 – Gerenciado
Tabela 4.6 – Maturidade da governança de TI referente promoção da governança de TI do grupo 1.Conclusao
Fonte: Dados da pesquisa, 2009
A média do grupo 1 foi de 5,07, conforme Tabela 4.6, confirmando o nível gerenciado
apresentado na média geral de empresas na Tabela 4.5. Nesse grupo, a Braskem e a Petrobrás se
apresentaram como otimizado, alcançando um nível mais avançado de maturidade da
governança de TI em relação a promoção de TI. Já a Cyrela Brazil Realty apresentou um nível
definido. Nesse caso, o nível definido significa, com base referencial teórico desta pesquisa, que
as empresas se aproximam dos seguintes aspectos: a conscientização é compreendida e a gerência
comunica a toda a organização; uma linha de base com indicadores de governança de TI (GTI) é
desenvolvida e documentada, na qual são definidas relações entre medidas de resultado e
indicadores de desempenho; procedimentos são padronizados e documentados; a gerência
comunica os padrões e há treinamento; ferramentas são identificadas para auxiliar a GTI; painéis
são definidos como parte de balanced scorecards de TI. Entretanto, o treinamento e uso são
deixados a cargo individual e processos podem ser monitorados, mas desvios são improváveis de
serem detectados pela gerência.
A Tabela 4.7 apresenta a média do grau de maturidade do processo de promoção da governança
de TI do grupo 2:
Empresa Maturidade Nível mais próximo
Banco ABC Brasil
4,26 5 – Gerenciado
Banco da Amazônia S.A.
1,68 1 - Não existe
Banco Cruzeiro do Sul
5,95 6- Otimizado
Banco Daycoval S.A.
5,68 6- Otimizado
Paraná Banco
5,58 6- Otimizado
Média
4,63 5 – Gerenciado
Tabela 4.7 – Maturidade da governança de TI referente promoção da governança de TI do grupo 2.
Fonte: Dados da pesquisa, 2009
A média do grupo 2 foi de 4,63, conforme Tabela 4.7, confirmando o nível gerenciado
apresentado na média geral de empresas na Tabela 4.5. Já o Banco Amazônia apresentou um grau
117
de maturidade “não existe”, ou seja, o processo de promoção da governança de TI desse banco
apresenta como característica, conforme revisão teórica, a ausência de consciência sobre a
importância da governança de TI. Ao contrário do nível otimizado observado na maioria dos
bancos nesse grupo, que se caracteriza por: a) existência de um avançado entendimento de
questões e soluções de governança de TI (GTI); b) treinamento e comunicação são suportados
por técnicas e conceitos maduros; c) processos são refinados a níveis de boas práticas da
indústria, baseados em resultados de melhorias contínuas e modelagem de maturidade em outras
organizações; d) A implementação de políticas leva a uma rápida adaptação de pessoas e
processos organizacionais a requisitos de GTI; e) em todos os problemas e desvios são analisadas
as causas básicas, e ações eficientes são identificadas e iniciadas; f) a TI é usada de maneira
extensiva, integrada e otimizada para automatizar o fluxo de trabalho, em direção à melhoria de
qualidade e eficácia; g) os riscos e retornos de processos de TI são identificados, balanceados e
comunicados na organização; h) monitoramento, auto-avaliação e comunicação sobre
expectativas de GTI são pervasivas (disseminadas) em toda a organização; i) governança
corporativa e GTI são estrategicamente ligadas, alavancando tecnologia, recursos humanos e
financeiros para aumentar a vantagem competitiva da organização e j) Atividades de GTI são
integradas ao processo de governança corporativa.
A Tabela 4.8 apresenta o grau de maturidade da governança de TI das empresas em conjunto:
Processo Maturidade Nível mais próximo
Avaliação e Gestão de Riscos 5,00 5 – Gerenciado
Promoção de Governança de TI 4,85 5 – Gerenciado
Média
4,93 5 – Gerenciado
Tabela 4.8 – Maturidade da governança de TI das empresas
Fonte: Dados primários, 2009
A média geral obtida (4,93) indica a tendência para o nível “gerenciado” de maturidade de
governança de TI, diferente do encontrado por Rosa (2008) para o Banco Central do Brasil. Isso
pode significar um avanço dos bancos em relação a essa instituição que regula o setor bancário.
Sendo assim, a Tabela 4.9 apresenta o resumo do grau de maturidade de cada empresa para cada
processo estudado:
118
Processo
Grupo
Empresa
Avaliação e gestão de
riscos de TI
Promoção da
governança de TI
Braskem Otimizado Otimizado
Cyrela Brazil Realty Gerenciado Definido
Petrobras Definido Otimizado
Telemar ou OI Otimizado Gerenciado
1
Telemar N L Otimizado Gerenciado
Banco ABC Brasil Gerenciado Definido
Banco da Amazônia S.A. Não existe Não existe
Banco Cruzeiro do Sul Otimizado Otimizado
Banco Daycoval S.A. Otimizado Otimizado
2
Paraná Banco Otimizado Otimizado
Tabela 4.9 – Grau de maturidade da governança das empresas nos processos de avaliação e gestão
de TI e promoção da governança de TI.
Fonte: Dados da pesquisa, 2009
A Tabela 4.9 apresenta o grau de maturidade de cada empresa
nos processos de avaliação e gestão de
TI e promoção da governança de TI. Para situar cada empresa, desenvolveu a Tabela 4.10 que demonstra a
posição delas no mercado brasileiro.
Posição (*)
Grupo Empresa
Entre as 100 maiores
empresa por venda
Entre os 50 maiores bancos
por patrimônio
Braskem 16
a
Cyrela Brazil Realty
Petrobras 1
a
Telemar ou OI 52
a
1
Telemar N L 13
a
Banco ABC Brasil 23
a
Banco da Amazônia
S.A.
15
a
Banco Cruzeiro do Sul 25
a
Banco Daycoval S.A. 17
a
2
Paraná Banco 31
a
Tabela 4.10 – Posição das empresas no mercado brasileiro
Fonte: AS 100 MAIORES..., 2008; OS 50 MAIORES..., 2008
Assim, a Tabela 4.10, demonstra a posição das empresas do grupo 1 entre as 100 maiores
empresas por venda no Brasil e a posição dos bancos (grupo 2) entre os 50 maiores bancos por
patrimônio.
119
Na Tabela 4.11, demonstra-se a análise quantitativa unitária das respostas referente às questões
sobre o processo de avaliação e gestão de riscos de TI:
Nome da Empresa
Não
existe
Inicial
Repetido Definido Gerenciado Otimizado Total
Braskem 0 0 1 2 1 25 29
Cyrela Brazil Realty 0 0 4 5 7 13 29
Petrobras 0 3 3 10 5 8 29
Telemar ou OI 0 0 0 1 7 21 29
Telemar N L 0 0 0 1 7 21 29
Banco ABC Brasil 0 0 1 5 15 8 29
Banco da Amazônia S.A. 25 2 1 0 0 1 29
Banco Cruzeiro do Sul 0 0 0 0 1 28 29
Banco Daycoval S.A. 0 0 0 1 7 21 29
Paraná Banco 0 0 0 2 10 17 29
Total
25 5 10 27 60 163 290
Tabela 4.11 – Quantificação unitária das respostas sobre processo de avaliação e gestão de riscos de TI
Fonte: Dados da pesquisa, 2009
Assim, na Tabela 4.11, verifica-se um nível de maturidade melhor de governança de TI para o Banco
Cruzeiro do Sul e para Braskem. Já para o Banco Amazônia verifica-se um nível de maturidade baixo.
Na Tabela 4.12, demonstra-se a análise quantitativa das respostas referente às questões sobre o
processo de avaliação e gestão de riscos de TI em percentual:
Nome da Empresa
Não
existe
Inicial
Repetido Definido Gerenciado Otimizado Total
Braskem 0% 0% 3% 7% 3% 86% 100%
Cyrela Brazil Realty 0% 0% 14% 17% 24% 45% 100%
Petrobras 0% 10% 10% 34% 17% 28% 100%
Telemar ou OI 0% 0% 0% 3% 24% 72% 100%
Telemar N L 0% 0% 0% 3% 24% 72% 100%
Banco ABC Brasil 0% 0% 3% 17% 52% 28% 100%
Banco da Amazônia S.A. 86% 7% 3% 0% 0% 3% 100%
Banco Cruzeiro do Sul 0% 0% 0% 0% 3% 97% 100%
Banco Daycoval S.A. 0% 0% 0% 3% 24% 72% 100%
Paraná Banco 0% 0% 0% 7% 34% 59% 100%
Total
9% 2% 3% 9% 21% 56% 100%
Tabela 4.12 – Quantificação percentual das respostas sobre processo de avaliação e gestão de riscos de TI
Fonte: Dados da pesquisa, 2009
Corrobora-se percentualmente com base na Tabela 4.12, a posição de nível mais avançado de
maturidade da governança de TI do Banco Cruzeiro do Sul e o nível mais baixo para o Banco
Amazônia.
120
Na Tabela 4.13, demonstra-se a análise quantitativa unitária das respostas referente às questões
sobre o processo de promoção da governança de tecnologia da informação:
Nome da Empresa
Não
existe
Inicial
Repetido Definido Gerenciado
Otimizado Total
Braskem 0 0 0 3 0 16 19
Cyrela Brazil Realty 0 4 5 5 5 0 19
Petrobras 0 0 0 1 6 12 19
Telemar ou OI 0 0 1 2 7 9 19
Telemar N L 0 0 1 2 7 9 19
Banco ABC Brasil 0 0 3 8 8 0 19
Banco da Amazônia S.A. 10 5 4 0 0 0 19
Banco Cruzeiro do Sul 0 0 0 0 1 18 19
Banco Daycoval S.A. 0 0 0 0 6 13 19
Paraná Banco 0 0 0 0 8 11 19
Total
10 9 14 21 48 88 190
Tabela 4.13 – Quantificação unitária das respostas sobre o processo de promoção da governança de TI
Fonte: Dados da pesquisa, 2009
A tendência de nível mais avançado de maturidade de governança de TI repete-se para o Banco
Cruzeiro do Sul e a Braskem em relação ao processo de promoção da governança de TI,
indicando um nível de maturidade maior para estas empresas. Por outro lado, o Banco da
Amazônia S.A, também mantém, com base nas respostas adquiridas, a tendência de nível mais
baixo de maturidade de governança de TI, ao se observar o processo de promoção da governança
de TI.
Na Tabela 4.14, demonstra-se a análise quantitativa percentual das respostas referente às questões
sobre o processo de promoção da governança de tecnologia da informação.
Nome da Empresa
Não
existe
Inicial
Repetido Definido Gerenciado Otimizado Total
Braskem 0% 0% 0% 16% 0% 84% 100%
Cyrela Brazil Realty 0% 21% 26% 26% 26% 0% 100%
Petrobras 0% 0% 0% 5% 32% 63% 100%
Telemar ou OI 0% 0% 5% 11% 37% 47% 100%
Continua
121
Nome da Empresa
Não
existe
Inicial
Repetido Definido Gerenciado Otimizado Total
Telemar N L 0% 0% 5% 11% 37% 47% 100%
Banco ABC Brasil 0% 0% 16% 42% 42% 0% 100%
Banco da Amazônia S.A. 53% 26% 21% 0% 0% 0% 100%
Banco Cruzeiro do Sul 0% 0% 0% 0% 5% 95% 100%
Banco Daycoval S.A. 0% 0% 0% 0% 32% 68% 100%
Paraná Banco 0% 0% 0% 0% 42% 58% 100%
Total
5% 5% 7% 11% 25% 46% 100%
Tabela 4.14 – Quantificação percentual das respostas sobre processo de promoção da governança de TI. Conclusão.
Fonte: Dados da pesquisa, 2009
Através da Tabela 4.14, corrobora-se percentualmente a posição de nível mais avançado de
maturidade da governança de TI do Banco Cruzeiro do Sul e o nível mais baixo para o banco
Amazônia.
Evidentemente que os níveis representam uma busca de aproximação da realidade, isso não
significa uma resposta taxativa. Esta pesquisa pode ser melhorada de forma significativa se os
dados apresentados forem contrastados internamente junto às empresas estudadas. Nesse sentido,
a indicação de um estudo de caso para cada empresa é recomendável, tendo em vista entender a
complexidade em torno dos aspectos inerentes em cada uma delas.
Um aspecto identificado que provavelmente cabe um estudo de caso para se avaliar a situação da
empresa, intrinsecamente, é a situação do Banco da Amazônia, que mesmo ocupando a 15ª
posição entre os maiores bancos, teve um nível de maturidade entre a não existência e inicial de
governança de TI. Nesse caso, o processo de avaliação e gestão de riscos de TI (GR) não é
identificado como relevante (não existe) ou os riscos são gerenciados de maneira ad hoc (caso a
caso). As avaliações de riscos de projeto são de forma individual, projeto a projeto. Os riscos
identificados raramente são designados para gerentes específicos. Os riscos cotidianos de TI
raramente são discutidos em reuniões. Quando o risco é considerado, sua mitigação é
inconsistente e a consciência de risco é emergente (inicial).
Já em relação à promoção da governança de TI, no caso do Banco Amazônia, pode-se dizer, com
base nos indícios quantitativos, que não há consciência sobre a importância da governança de TI
(GTI) (não existe); ou existem abordagens ad hoc (caso a caso) aplicadas individualmente. A
abordagem gerencial é reativa e existe comunicação esporádica e inconsistente sobre questões e
122
metodologias para GTI. A gerência tem somente uma indicação aproximada sobre como a TI
contribui para o desempenho do negócio. A gerência responde reativamente a incidentes que
causaram perda ou embaraço para a organização (inicial).
Outro fato interessante e passível de pesquisa futura é o fato de o setor bancário apresentar os
melhores níveis de maturidade, apesar de sua média geral ser menor, tendo o Banco Cruzeiro do
Sul se aproximado mais da otimização. Uma pergunta pode até ser feita: será que a regulação de
Basiléia tem afetado os graus de maturidade da governança de TI? Nesse caso, a Braskem,
também se apresenta como um bom campo para um estudo de caso, a fim de se corroborar a
otimização apresentada através dos níveis quantificados de maturidade. Um pergunta similar,
também, pode ser feita: será que a regulação da Lei Sarbanes Oxley tem afetado os graus de
maturidade da governança de TI nesta empresa, já que a mesma possui títulos no mercado
acionário dos Estados Unidos?
Com base nos dados da pesquisa, a partir deste momento, tem-se condições de responder as
hipóteses da pesquisa: a) H1: existe uma relação entre o grau de maturidade da governança de TI
e o desempenho financeiro das empresas com fins lucrativos; b) H2: existe uma relação entre o
grau de maturidade da governança no processo de avaliação e gestão de riscos de TI e o grau de
maturidade da governança no processo de promoção da governança de TI.
Em relação aos resultados dos testes de hipóteses, no grupo 1 não existe uma relação linear
entre o grau de maturidade da governança no processo de avaliação e gestão de riscos de TI e o
grau de maturidade da governança no processo de promoção da governança de TI (o valor do
coeficiente de correlação por postos de Spearman foi -0,0589 com
9034,0
=
−
pvalor
),
enquanto que no grupo 2 essa relação existe e é positiva perfeita (o valor do coeficiente de
correlação por postos de Spearman foi 1 com
0
=
−
pvalor
) ao nível de 5% de significância.
Percebe-se, então, que a hipótese 2, referente a existência de relação entre o grau de maturidade
da governança no processo de avaliação e gestão de riscos de TI e o grau de maturidade da
governança no processo de promoção da governança de TI, para o grupo 1 foi refutada.
Entretanto, para o grupo 2, essa hipótese foi aceita, indicando uma confiança de 95% de rejeitar
123
corretamente a hipótese nula. Assim, interessante seria um aumento na amostra estudada, afim de
investigar o porquê da inexistência de relação para o grupo 1, tendo em vista que, conforme Rosa
(2008) uma estrutura para suportar a governança de TI, com base no Control Objectives for
Information and related Technology (COBIT), inclui o gerenciamento apropriado de riscos de TI,
além do alinhamento aos requisitos de negócio; suporte ao negócio; maximização de benefícios e
uso adequado dos recursos de TI.
Passa-se, a partir daqui, a discorrer acerca dos resultados referentes à hipótese 1: se existe uma
relação entre o grau de maturidade da governança de TI e o desempenho financeiro das empresas
com fins lucrativos. As Tabelas 4.15 e 4.16 apresentam o valor do coeficiente de correlação por
postos de Spearman e o respectivo
pvalor
−
, entre parêntesis, para as correlações entre as
variáveis pertencentes ao grupo 1. Nas correlações em que o
pvalor
−
foi maior do que 0,05,
nível de significância, não houve evidência suficiente para concluir pela existência de uma
correlação linear entre as variáveis testadas.
Variáveis LO/AT
Liquidez
Geral
Liquidez
Corrente
Giro do
Ativo
Giro do
Patrimônio
Líquido
Margem
Bruta
Processo de
Avaliação
-0,8944
(0)
-0,5
(0,2932)
0,0574
(0,805)
-0,0589
(0,8952)
0,7826
(0,0966)
0,3441
(0,3898)
Processo de
Promoção
-0,1581
(0,7374)
-0,8250
(0)
-0,9733
(0)
1
(0)
0,5270
(0,3354)
-0,6489
(0,1998)
Tabela 4.15 - Valor do coeficiente de correlação por postos de Spearman e o respectivo
pvalor
−
, entre
parêntesis, para as correlações entre as variáveis do grupo 1.
Fonte: Dados da pesquisa, 2009
Variáveis
Margem
Operacional
Margem
Líquida
Rentabilidade do
Ativo
Alavancagem
Financeira
Alavancagem
Operacional
Processo de
Avaliação
-0,8944
(0)
-0,8944
(0)
-0,6708
(0,2038)
0,3354
(0,503)
0,6882
(0,2012)
Processo de
Promoção
-0,1581
(0,7332)
-0,1581
(0,7294)
0
(0,9234)
-0,6325
(0,2006)
-0,6489
(0,2028)
Tabela 4.16 - Valor do coeficiente de correlação por postos de Spearman e o respectivo
pvalor
−
, entre
parêntesis, para as correlações entre as variáveis do grupo 1, continuação da Tabela 4.15.
Fonte: Dados da pesquisa, 2009
124
As variáveis de desempenho financeiro das empresas LO/AT (TABELA 4.15), margem
operacional e margem líquida (TABELA 4.16) no grupo 1, possuem uma correlação linear
negativa com o grau de maturidade da governança no processo de avaliação e gestão de riscos de
TI ao nível de significância de 5%. Já a liquidez geral e a liquidez corrente (TABELA 4.15)
possuem uma correlação linear negativa com o grau de maturidade da governança no processo de
promoção da governança de TI e o giro do ativo (TABELA 4.15) possui uma correlação linear
positiva perfeita com o grau de maturidade da governança no processo de promoção da
governança de TI, também ao nível de significância de 5%. Em todas essas correlações o
pvalor
−
encontrado no teste foi igual a zero.
As Tabelas 4.17 e 4.18 apresentam o valor do coeficiente de correlação por postos de Spearman e
o respectivo
pvalor
−
, entre parêntesis, para as correlações entre as variáveis pertencentes ao
grupo 2. Vale ressaltar que, os valores dos coeficientes de correlação entre as variáveis processo
de avaliação, as variáveis de desempenho e processo de promoção e as variáveis de desempenho
foram iguais, pois, no cálculo do coeficiente de correlação de Spearman, a magnitude dos valores
observados não tem relevância devido ao cálculo ser baseado nos postos das observações e a
correlação entre as variáveis processo de avaliação e processo de promoção para o grupo 2 foi
perfeita, ou seja, igual a um. Nas correlações em que o
pvalor
−
foi maior do que 0,05, nível de
significância, não houve evidência suficiente para concluir pela existência de uma correlação
linear entre as variáveis testadas.
Variáveis LO/AT
Liquidez
Geral
Liquidez
Corrente
Giro do Ativo
Giro do Patrimônio
Líquido
Processo de
Avaliação
0,1118
(0,8024)
-0,125
(0,5472)
0,6708
(0,2032)
0,9682
(0)
0,6708
(0,2066)
Processo de
Promoção
0,1118
(0,7998)
-0,125
(0,5588)
0,6708
(0,2064)
0,9682
(0)
0,6708
(0,1986)
Tabela 4.17 - Valor do coeficiente de correlação por postos de Spearman e o respectivo
pvalor
−
, entre
parêntesis, para as correlações entre as variáveis do grupo 2.
Fonte: Dados da pesquisa, 2009
125
Variáveis
Margem
Bruta
Margem
Líquida
Rentabilidade
do Ativo
Giro dos
Depósitos a
vista
Depósitos a vista s/ Receita
Operacional Financeira
Processo de
Avaliação
0,2236
(0,588)
-0,2236
(0,5864)
0,8944
(0)
-0,9177
(0)
-0,8944
(0)
Processo de
Promoção
0,2236
(0,6012)
-0,2236
(0,607)
0,894D
(0)
-0,9177
(0)
-0,8944
(0)
Tabela 4.18 - Valor do coeficiente de correlação por postos de Spearman e o respectivo
pvalor
−
, entre
parêntesis, para as correlações entre as variáveis do grupo 2, continuação da Tabela 4.17.
Fonte: Dados da pesquisa, 2009
Nas instituições financeiras, grupo 2, as variáveis de desempenho giro do ativo (TABELA 4.17),
rentabilidade do ativo, giro dos depósitos à vista e depósitos à vista sobre receita operacional
financeira (TABELA 4.18) possuem uma relação linear tanto com o grau de maturidade no
processo de avaliação e gestão de riscos de TI, quanto com o grau de maturidade da governança
no processo de promoção da governança de TI ao nível de 5% de significância. O
pvalor
−
encontrado no teste em todas as correlações foi igual a zero.
Percebe-se, com base nos resultados demonstrados, que a hipótese 1- existe uma relação entre o
grau de maturidade da governança de TI e o desempenho financeiro das empresas com fins
lucrativos - foi parcialmente aceita. Dessa forma, verifica-se que para o grupo 1 o desempenho
financeiro, medido pelo giro do ativo, é influenciado positivamente pela maturidade da
governança de TI do processo de promoção da governança de TI. Já o desempenho financeiro,
medido pela liquidez geral e a liquidez corrente, para esse mesmo processo, possui relação
negativa em relação à maturidade da governança de TI. Essa mesma relação foi encontrada para o
desempenho financeiro medido pela margem operacional e margem líquida em relação ao
processo de avaliação e gestão de riscos de TI. Um estudo do contexto que envolve essas
empresas no ano de 2008, através de estudo de caso múltiplo, é recomendável, tendo em vista que
outros fatores inerentes à situação de mercado podem impactar esses indicadores ou, até mesmo,
se identificar motivos que indiquem que a maturidade da governança de TI impacta
negativamente o desempenho financeiro com base nesses indicadores.
A hipótese 1 no grupo 2, também, foi parcialmente aceita, sendo que, o desempenho financeiro
medido pelo giro do ativo e rentabilidade do ativo apresentaram uma relação positiva com a
126
maturidade da governança de TI, nos dois processos: avaliação e gestão de riscos e promoção da
governança de TI. O que demonstra um excelente achado, tendo em vista a importância desses
indicadores para medir o desempenho das empresas. Segundo Gitman (1997, p. 115), o índice do
giro do ativo indica a eficiência com a qual a empresa usa todos os seus ativos para gerar vendas.
Geralmente, quanto maior o valor absoluto desse índice, mais eficientemente a empresa parece
utilizar os seus ativos. Para Matarazzo (1995, p. 185), o índice de rentabilidade do ativo,
representa "... uma medida da capacidade da empresa em gerar lucro líquido e assim poder
capitalizar-se. É ainda uma medida do desempenho comparativo da empresa ano a ano".
Já o desempenho financeiro medido pelo giro dos depósitos à vista e depósitos à vista sobre
receita operacional financeira apresentaram uma relação negativa com a maturidade da
governança de TI, nos dois processos: avaliação e gestão de riscos e promoção da governança de
TI. Cabe aqui o mesmo comentário do grupo 1: um estudo do contexto que envolva essas
empresas no ano de 2008, através de estudo de caso múltiplo, é recomendável, tendo em vista que
outros fatores inerentes à situação de mercado podem impactar esses indicadores. Ou até mesmo,
se identificar motivos que indiquem que a maturidade da governança de TI impacta
negativamente o desempenho financeiro com base nesses indicadores.
Para os testes foram consideradas 5.000 aleatorizações utilizando como estatística de teste o
coeficiente de correlação por postos de Spearman. O software estatístico utilizado para aplicação
do teste foi o R em sua versão 2.9.1. O R é distribuído gratuitamente e está disponível em
http://www.r-project.org.br.
Enfim, a partir deste ponto, passa-se para análise dos dados relativos aos arquétipos do processo
decisório de TI. Os Gráficos 4.1 e 4.2 apresentam a distribuição dos tipos de decisões tomadas
pela empresa dos grupos 1 e 2, respectivamente, em relação a princípios de Tecnologia da
Informação. No grupo 1, em duas empresas, o grupo de TI e algum outro grupo (por exemplo, a
alta gerência ou líderes das unidades de negócios) é responsável por essas decisões, em outras
duas, os responsáveis são os especialistas de TI e a diretoria da empresa é responsável por essa
decisão em apenas uma empresa do grupo 1 (20%), conforme apresentado no Gráfico 4.1.
127
Gráfico 4.1 – Decisões das empresas do grupo 1 em relação à princípios de TI
Fonte: Dados da pesquisa, 2009
No grupo 2, em duas empresas a tomada de decisões se dar de forma individual ou por pequenos
grupos, em outras duas os responsáveis são os especialistas de TI. O grupo de TI e algum outro
grupo (por exemplo, a alta gerência ou líderes das unidades de negócios) da empresa são
responsáveis por essa decisão em apenas uma empresa do grupo 2 (20%), conforme mostra o
Gráfico 4.2.
Gráfico 4.2 – Decisões das empresas do grupo 2 em relação à princípios de TI.
Fonte: Dados da pesquisa, 2009
128
Os Gráficos 4.3 e 4.4 apresentam a distribuição dos tipos de decisões tomadas pela empresa dos
grupos 1 e 2, respectivamente, em relação à arquitetura de Tecnologia da Informação.
Gráfico 4.3 – Decisões das empresas do grupo 1 em relação à arquitetura de TI.
Fonte: Dados da pesquisa, 2009
No grupo 1, em uma empresa o grupo de TI e algum outro grupo (por exemplo, a alta gerência ou
líderes das unidades de negócios) é responsável por essas decisões, em outras duas os
responsáveis são os especialistas de TI e a diretoria da empresa é responsável por essa decisão em
duas empresas do grupo 1, conforme representado no Gráfico 4.3.
129
Gráfico 4.4 – Decisões das empresas do grupo 2 em relação à arquitetura de TI.
Fonte: Dados da pesquisa, 2009
No grupo 2, em uma empresa a tomada de decisões em relação a arquitetura de TI se dar de
forma individual ou por pequenos grupos, em outra os responsáveis são os especialistas de TI.
Em duas empresas os responsáveis são os diretores executivos e em uma são os centros
corporativos e as unidades de negócio conforme representado no Gráfico 4.4.
Os Gráficos 4.5 e 4.6 apresentam a distribuição dos tipos de decisões tomadas pela empresa dos
grupos 1 e 2, respectivamente, em relação às estratégias de infra-estrutura de Tecnologia da
Informação.
130
Gráfico 4.5 – Decisões das empresas do grupo 1 em relação à estratégias de infra-estrutura de TI.
Fonte: Dados da pesquisa, 2009
No grupo 1, em uma empresa o grupo de TI e algum outro grupo (por exemplo, a alta gerência ou
líderes das unidades de negócios) é responsável por essas decisões, em outra os responsáveis são
os especialistas de TI e na maioria das empresas (três), a diretoria da empresa é responsável por
essa decisão (60%), conforme apresentado no Gráfico 4.5:
Gráfico 4.6 – Decisões das empresas do grupo 2 em relação à estratégias de infra-estrutura de TI.
Fonte: Dados da pesquisa, 2009
131
No grupo 2, em uma empresa a tomada de decisões acontece de forma individual ou por
pequenos grupos, em outra os responsáveis são os especialistas de TI. Em duas empresas os
responsáveis são os diretores executivos e em uma são os centros corporativos e as unidades de
negócio conforme representado no Gráfico 4.6, repetindo a situação para tomada de decisão em
relação à arquitetura de TI.
Os Gráficos 4.7 e 4.8 apresentam a distribuição dos tipos de decisões tomadas pela empresa dos
grupos 1 e 2, respectivamente, em relação às necessidades de Tecnologia da Informação em
aplicações de negócios.
Gráfico 4.7 – Decisões das empresas do grupo 1 em relação às necessidades de TI em aplicações de
negócios.
Fonte: Dados da pesquisa, 2009
No grupo 1, em duas empresas o grupo de TI e algum outro grupo (por exemplo, a alta gerência
ou líderes das unidades de negócios) é responsável por essas decisões, em outras duas, os
responsáveis são os especialistas de TI e em apenas uma a diretoria da empresa é responsável por
essa decisão, conforme representado no Gráfico 4.7:
132
Gráfico 4.8 – Decisões das empresas do grupo 2 em relação às necessidades de TI em aplicações de
negócios.
Fonte: Dados da pesquisa, 2009
No grupo 2, em uma empresa, a tomada de decisões acontece de forma individual ou por
pequenos grupos, em duas, os responsáveis são os especialistas de TI. Ainda existe uma em que
os responsáveis são os diretores executivos e outra são os centros corporativos e as unidades de
negócio conforme representado no Gráfico 4.8.
Os Gráficos 4.9 e 4.10 apresentam a distribuição dos tipos de decisões tomadas pela empresa dos
grupos 1 e 2, respectivamente, em relação à investimentos em Tecnologia da Informação.
133
Gráfico 4.9 – Decisões das empresas do grupo 1 em relação à investimentos em TI.
Fonte: Dados da pesquisa, 2009
No grupo 1, em apenas uma empresa o grupo de TI e algum outro grupo (por exemplo, a alta
gerência ou líderes das unidades de negócios) é responsável por essas decisões. Na maioria das
empresas (quatro) a diretoria da empresa é responsável por essa decisão, conforme representado
no Gráfico 4.9:
Gráfico 4.10 – Decisões das empresas do grupo 2 em relação à investimentos em TI.
Fonte: Dados da pesquisa, 2009
134
No grupo 2, em uma empresa, a tomada de decisões acontece de forma individual ou por
pequenos grupos, em outra, os responsáveis são os especialistas de TI. Em duas, os responsáveis
são os diretores executivos e em outra são os centros corporativos e as unidades de negócio,
conforme representado no Gráfico 4.10:
Consolidando as respostas no Quadro 4.25, tem-se a relação das respostas das empresas em
relação aos arquétipos do processo decisório:
Quadro 4.25 – Arquétipos decisórios das empresas
Fonte: Dados da pesquisa, 2009
A legenda teórica, conforme Gama (2006), reflete as seguintes situações: a) Monarquia de
Negócios – Os Executivos de diretoria; b) monarquia de TI - os especialistas em TI; c)
feudalismo - cada unidade de negócio toma decisões independentes; d) federalismo - combinação
Grupo 1 Grupo 1
Tipo
de
deci-
são
Braskem
Cyrela
Brazil
Realty Petrobras
Telemar ou
OI
Telemar N
L
Banco
ABC
Brasil
Banco da
Amazônia
S.A.
Banco
Cruzeir
o do
Sul
Banco
Daycoval
S.A.
Paraná
Banco
Prin-
cípios
de TI
Duopólio
de TI
Duo-pólio
de TI
Monar-
quia de
Negócios
Monar-
quia de TI
Monarquia
de TI
Duo-
pólio
de TI Anarquia
Monar
quia de
TI
Anar-
quia
Monarquia
de TI
Ar-
quite-
tura
de TI
Duopólio
de TI
Monar-
quia de TI
Monar-
quia de TI
Monar-
quia de
Negócios
Monarquia
de
Negócios
Federa-
lismo
Anarquia
Monar
quia de
Negóci
os
Monarquia
de
Negócios
Monarquia
de TI
Estra-
tégias
de
infra-
estru-
tura
de TI
Duopólio
de TI
Monar-
quia de TI
Monar-
quia de
Negócios
Monar-
quia de
Negócios
Monarquia
de
Negócios
Federa-
lismo
Anarquia
Monar
quia de
Negóci
os
Monarquia
de
Negócios
Monarquia
de TI
Neces
si-
dades
de TI
em
aplica
-ções
de
negó-
cios
Duopólio
de TI
Duo-pólio
de TI
Monar-
quia de
Negócios
Federa-
lismo
Federa-
lismo
Federa-
lismo Anarquia
Monar
quia de
TI
Monarquia
de
Negócios
Monarquia
de TI
Invés-
timen-
tos em
TI
Duopólio
de TI
Monar-
quia de
Negócios
Monar-
quia de
Negócios
Monar-
quia de
Negócios
Monarquia
de
Negócios
Federa-
lismo Anarquia
Monar
quia de
TI
Monarquia
de
Negócios
Monarquia
de
Negócios
135
entre o centro corporativo e as unidades de negócio, com ou sem o envolvimento do pessoal de
TI; e) duopólio de TI - o grupo de TI e algum outro grupo (por exemplo, a alta gerência ou líderes
das unidades de negócios); f) anarquia - tomada de decisões individual ou por pequenos grupos.
136
5 CONCLUSÃO E RECOMENDAÇÕES
Esta dissertação de mestrado procurou verificar de forma empírica e analítica o relacionamento
entre o grau da maturidade da governança de TI e o desempenho financeiro de empresas com fins
lucrativos. Embora algumas pesquisas tenham levantado indícios de que a adoção de mecanismos
formais de governança de TI tem proporcionado uma série de benefícios às organizações, as
evidências empíricas de pesquisas científicas realizadas até o momento não permitiram concluir
se um grau de maturidade superior da governança de TI se reflete no resultado financeiro da
organização.
Para que fosse possível compreender melhor essa relação e objetivando responder a questão de
pesquisa proposta neste estudo – maturidade da governança de TI afeta o desempenho
organizacional? – se buscou identificar a percepção de executivos quanto ao grau de maturidade
da governança de TI, além disso, se verificou, também, o processo de tomada de decisões em
relação à tecnologia da informação.
A síntese das principais conclusões do estudo, assim como as suas contribuições para a pesquisa
na área de governança de tecnologia da informação e desempenho financeiro das empresas,
limitações e sugestões para pesquisas futuras, são discutidas logo em seguida.
Assim, esta pesquisa teve por objetivo principal verificar se existe relação entre o grau de
maturidade da governança de TI e o desempenho financeiro das empresas brasileiras com fins
lucrativos. E como objetivos específicos: discutir sobre os fundamentos e os modelos de
governança de TI; identificar o grau de maturidade do processo de avaliação e gestão de riscos de
tecnologia da informação; verificar o grau de maturidade da promoção da governança de
tecnologia da informação; levantar como as empresas tomam decisão sobre princípios,
arquitetura, estratégias de infra-estrutura, necessidades em aplicações de negócios e
investimentos em Tecnologia da Informação.
137
Para atingir o objetivo de verificar se existe relação entre o grau de maturidade da governança de
tecnologia da informação e o desempenho das empresas foi realizado um estudo com dez
empresas sendo, cinco instituições financeiras e cinco empresas de diversos setores de atividade.
A proposta inicial foi abranger um universo bem mais amplo, porém a grande dificuldade em
obter respostas aos questionários enviados causou uma redução significativa no número de
empresas participantes, limitando o estudo a dez empresas.
No sentido de atingir o objetivo da pesquisa, fez-se necessário a discussão sobre os fundamentos
e modelos de governança de TI. Assim, com base na revisão da literatura, foram selecionados
para o estudo dois processos de TI do framework COBIT e a análise dos arquétipos decisórios
relacionados a TI desenvolvidos teoricamente por Weill e Ross (2006). Dessa forma, foram
desenvolvidas as seguintes hipóteses: hipótese 1 (H1) - existe uma relação entre o grau de
maturidade da governança de TI e o desempenho financeiro das empresas com fins lucrativos e
hipótese 2 (H2) - existe uma relação entre o grau de maturidade da governança no processo de
avaliação e gestão de riscos de TI e o grau de maturidade da governança no processo de
promoção da governança de TI.
Como se viu, com os resultados obtidos através do questionário aplicado foi realizada uma
análise descritiva e exploratória, indicando qual o grau de maturidade em relação à avaliação e
gestão de riscos de TI e à promoção de governança de TI. Além disso, com as informações
coletadas no banco de dados do Economática referente ao mês de setembro de 2008 sobre
liquidez e rentabilidade, para assim caracterizar o desempenho das empresas, foi possível
verificar a existência de relação linear entre a governança de TI e esse desempenho. O teste de
aleatorização com base no coeficiente de correlação por postos de Spearman foi utilizado para
verificar a existência desta relação, devido a não aleatoriedade da amostra, o seu tamanho
reduzido e a natureza das variáveis envolvidas (qualitativa e quantitativa).
Percebe-se, com base nos resultados demonstrados que a hipótese 1- existe uma relação entre o
grau de maturidade da governança de TI e o desempenho financeiro das empresas com fins
lucrativos – que foi parcialmente aceita. Dessa forma, verifica-se que para o grupo 1, o
desempenho financeiro medido pelo giro do ativo é influenciado positivamente pela maturidade
138
da governança de TI do processo de promoção da governança de TI. Já o desempenho financeiro,
medido pela liquidez geral e a liquidez corrente, para esse mesmo processo, possui relação
negativa em relação à maturidade da governança de TI. Essa mesma relação foi encontrada para o
desempenho financeiro medido pela margem operacional e margem líquida em relação ao
processo de avaliação e gestão de riscos de TI. Como já foi dito na apresentação dos resultados,
um estudo do contexto que envolve essas empresas no ano de 2008, através de estudo de caso
múltiplo, é recomendável tendo vista que outros fatores inerentes à situação de mercado podem
impactar esses indicadores. Ou até mesmo, se identificar motivos que indiquem que a maturidade
da governança de TI impacta negativamente o desempenho financeiro com base nestes
indicadores.
A hipótese 1 no grupo 2, também, foi parcialmente aceita, sendo que, o desempenho financeiro
medido pelo giro do ativo e rentabilidade do ativo apresentaram um relação positiva com a
maturidade da governança de TI, nos dois processos: avaliação e gestão de riscos; e promoção da
governança de TI. O que demonstra um excelente achado, como já foi ressaltado, tendo em vista
a importância desses indicadores para medir o desempenho das empresas. Segundo Gitman
(1997), o índice do giro do ativo indica a eficiência com a qual a empresa usa todos os seus ativos
para gerar vendas. Geralmente, quanto maior o valor absoluto deste índice, mais eficientemente a
empresa parece utilizar os seus ativos. Para Matarazzo (1995, p. 185), o índice de rentabilidade
do ativo, representa "... uma medida da capacidade da empresa em gerar lucro líquido e assim
poder capitalizar-se. É ainda uma medida do desempenho comparativo da empresa ano a ano".
Quanto às relações existentes entre o grau de maturidade de governança de TI e o desempenho
financeiro das empresas, pôde-se perceber que alguns mecanismos apresentaram correlação
positiva significativa com os construtos avaliados, sugerindo que quanto mais efetivos os graus
de maturidade da governança de TI, melhor será o desempenho financeiro da organização. Os
indicadores que tiveram uma melhor correlação positiva foi o giro do ativo e rentabilidade do
ativo, tendo-se, por conta disso, uma outra questão que merece uma análise maior em futuras
pesquisas, a fim de se testar hipóteses que demonstrem a força desses indicadores para medir o
desempenho financeiro das empresas.
139
Já em relação à hipótese 2 para o grupo1 - se existe uma relação entre o grau de maturidade da
governança no processo de avaliação e gestão de riscos de TI e o grau de maturidade da
governança no processo de promoção da governança de TI - verificou-se que não existe uma
relação linear entre essas variáveis. No grupo 2 (bancos), essa relação existe e é positiva perfeita
(o valor do coeficiente de correlação por postos de Spearman foi 1 com
0
=
−
pvalor
) ao nível
de 5% de significância. É importante salientar que o setor bancário sofre uma regulamentação
muito forte em relação ao risco operacional devido às exigências dos acordos de Basiléia, ponto
interessante para incrementar investigações futuras.
Percebe-se, então, que a hipótese 2 - referente a existência de relação entre o grau de maturidade
da governança no processo de avaliação e gestão de riscos de TI e o grau de maturidade da
governança no processo de promoção da governança de TI - para o grupo 1, foi refutada.
Entretanto, para o grupo 2, essa hipótese foi aceita, indicando uma confiança de 95% de rejeitar
corretamente a hipótese nula. Assim, interessante seria um aumento na amostra estudada, a fim
de investigar o porquê da inexistência de relação para o grupo 1, tendo em vista que, conforme
afirma Rosa (2008), uma estrutura para suportar a governança de TI com base no COBIT
(Control Objectives for Information and related Technology)
inclui o gerenciamento apropriado
de riscos de TI; além do alinhamento aos requisitos de negócio; suporte ao negócio e
maximização de benefícios; e uso adequado dos recursos de TI.
Assim, na seqüência de atos para se atingir os objetivos referentes a esta pesquisa, entre eles
identificar o grau de maturidade do processo de avaliação e gestão de riscos de tecnologia da
informação e o grau de maturidade do processo promoção da governança de tecnologia da
informação, foram desenvolvidos assertivas baseadas no referido framework. Dessa forma, tais
processos foram avaliados por profissionais da área correlata, que apontaram o grau de
maturidade de cada processo em uma escala intervalar do tipo
Likert
de 7.pontos.
A partir da análise quantitativa, verificou-se que os processos de avaliação e gestão de riscos e
promoção da governança de TI apresentaram, juntos, uma média geral obtida de 4,93, em relação
ao grupo 1 e 2, indicando um nível maturidade gerenciado.
140
Dessa forma, pode-se dizer que o processo de avaliação e gestão de riscos de TI, através dos
indícios quantitativos, sugerem que o conjunto dessas empresas apresentam aproximadamente os
seguintes aspectos: há procedimentos padrões para gestão de riscos de TI (GR), sendo as
exceções reportadas à gerência de TI; responsabilidade pela GR é de nível sênior (diretoria),
sendo os riscos avaliados e mitigados no plano individual de projetos e também alinhados à
operação geral de TI; mudanças no ambiente de negócios e de TI que possam afetar os cenários
de riscos de TI são alertadas para a gerência; a gerência é habilitada para monitorar a posição de
risco e tomar decisões em função da exposição desejada; todos os riscos identificados possuem
um funcionário responsável e as gerências sênior e de TI determinam o nível de risco tolerado; a
gerência de TI desenvolve medidas padrão para a GR definição de trade-off (troca) risco/retorno;
o orçamento para projeto de gestão de risco operacional é reavaliado periodicamente; há um
banco de dados para gestão de riscos e parte do processo é automatizada e a gerência de TI
considera estratégias de mitigação de risco.
Já no processo de promoção da governança de TI, pode-se dizer que: há um profundo
entendimento sobre questões de governança de TI (GTI), existindo uma clara compreensão de
quem é o cliente e definição e monitoramento de responsabilidades. Assim, responsabilidades e
proprietários de processos são claramente identificados; processos de TI e GTI são alinhados à
estratégia de TI e de negócio; melhorias em processos de TI são baseadas em compreensão
quantitativa e é possível monitorar e medir conformidade a procedimentos e métrica de
processos; todos os stakeholders (partes interessadas) são conscientes do risco, da importância de
TI e das oportunidades que ela pode oferecer; a gerência define níveis de tolerância para operação
dos processos; há uso tático limitado da tecnologia, com base em técnicas maduras e ferramentas
padrão. GTI foi integrada ao plano estratégico e operacional e aos processos de monitoramento;
indicadores de desempenho de GTI são registrados e acompanhados, levando a melhorias na
organização; prestação de contas de processos-chave é concebida e a gestão é suportada por
medidas-chave de desempenho.
Evidentemente, como dito na análise dos resultados, o nível gerenciado não significa que todos
os aspectos foram alcançados, tendo em vista que o grau não foi representado por um número
fechado. Assim, a indicação de um estudo de caso para cada empresa é recomendável, tendo em
141
vista entender a complexidade em torno dos referidos aspectos, sendo útil para explicar ligações
causais em intervenções ou situações da vida real que são complexas demais para tratamento
através de estratégias experimentais ou de levantamento de dados.
Quanto ao objetivo referente ao levantamento de como as empresas tomam decisão sobre
princípios, arquitetura, estratégias de infra-estrutura, necessidades em aplicações de negócios e
investimentos em tecnologia da Informação; pode-se perceber, através do Quadro 5.26, uma
predominância de monarquia de negócios, na qual os executivos de diretoria tomam decisões
sobre arquitetura de TI, estratégias de infra-estrutura de TI e investimentos em TI. Já em relação
às necessidades de TI em aplicações de negócios, prevalece o federalismo, no qual as decisões é
fruto da combinação entre o centro corporativo e as unidades de negócio, com ou sem o
envolvimento do pessoal de TI. Já para princípios de TI prevalece a monarquia de TI, situação
em que os especialistas de TI decidem.
Tipo de decisão Arquétipo
Princípios de TI
Monarquia de TI - Os especialistas em TI
Arquitetura de TI
Monarquia de Negócios – Os Executivos de diretoria
Estratégias de infra-
estrutura de TI
Monarquia de Negócios – Os Executivos de diretoria
Necessidades de TI em
aplicações de negócios
Federalismo - Combinação entre o centro corporativo e as unidades de negócio, com
ou sem o envolvimento do pessoal de TI.
Investimentos em TI
Monarquia de Negócios – Os Executivos de diretoria
Quadro 5.26 – Arquétipos de decisão de TI nas empresas
Fonte: Dados da pesquisa, 2009
Estudos de casos e correlações futuras com os dados desta pesquisa e outras com uma amostra
mais significativa podem ser realizados com o construto desta pesquisa. Um fato interessante, por
exemplo, e que pode retratar o porquê de um grau de maturidade de governança de TI mais baixo
no Banco Amazônia, é a anarquia no processo decisório de TI. Ou seja, todas as decisões são
tomadas de forma individual ou por pequenos grupos, consequentemente sem um alinhamento
estratégico aos negócios de forma convincente.
Como todo estudo científico, esta pesquisa também apresenta limitações; algumas relacionadas à
disponibilidade de informações, outras ligadas ao contexto de aplicação ou, ainda, às escolhas
142
metodológicas ou teóricas adotadas. Inicialmente, deve-se destacar que o estudo é correlacional,
não permitindo, portanto, testar relações de causa-efeito.
A não utilização de uma amostra probabilística pode ser apontada como uma limitação da
pesquisa. A amostra obtida na presente pesquisa é caracterizada como não-probabilística, já que a
seleção dos elementos da população para compor a amostra dependeu, ao menos em parte, do
julgamento do pesquisador. Nesse caso, os resultados encontrados não foram projetados para a
população total, como, certamente, poderia ocorrer caso a amostra fosse probabilística e tivesse
havido a resposta significativa dos questionários.
Outro aspecto que limita esta pesquisa é o número de questões do questionário, pois não se
consegue analisar, através dele, todas as relações de causa e efeito existente no mundo real, sendo
o utilizado nesta pesquisa uma aproximação da realidade das empresas pesquisadas. Assim, com
relação à pesquisa de levantamento, deve-se destacar que a seleção dos constructos teóricos
propostos para avaliar a maturidade da governança de TI não garante que todos os aspectos
tenham sido incluídos no instrumento de pesquisa. Entretanto, a proposição dos constructos
analisados se deu após a realização de uma extensa revisão de literatura, selecionando-se aqueles
mais freqüentemente citados, o que incorpora maior credibilidade ao instrumento proposto.
Outra potencial limitação da pesquisa corresponde à natureza e tamanho da amostra utilizada nas
análises, devido a baixa taxa de retorno dos questionários referentes às empresas listadas na
BOVESPA. Além disso, a forma de aplicação do questionário, também, pode não traduzir por
completo a realidade das empresas, tendo em vista que é dependente da capacidade intelectual
dos respondentes.
Para aprofundar o tema desta pesquisa, além das sugestões já desenvolvidas ao longo desta
conclusão, outras sugestões podem ser feitas, tais como a realização de um ou mais estudos de
caso em empresas para averiguar o nível maturidade da governança de TI, buscando identificar as
principais relações de causa e efeito; aplicação do instrumento desenvolvido e utilizado na
pesquisa survey em empresas de um mesmo ramo, fazendo com que os resultados sirvam de
143
benchmarking às mesmas; aumento da quantidade de amostra e a utilização de outros processos
relacionados ao COBIT.
144
REFERÊNCIAS
ALBERTIN, Alberto L.; ALBERTIN; Rosa M. de M. Benefício do uso da tecnologia da
informação no desempenho empresarial. In: ALBERTIN, Alberto L.; ALBERTIN, Rosa M. de
M. (Orgs.). Tecnologia da informação: desafios da tecnologia da informação aplicada aos
negócios. São Paulo: Atlas, 2005.
ALCHIAN, A.A.; DEMSETZ, H. Production, information cost, and economic organization.
American Economic Review, v. 62, p. 777-795, 1972.
ASSAF NETO, Alexandre. Finanças corporativas e valor. São Paulo: Atlas, 2003, 656 p.
ASX CORPORATE GOVERNANCE. Principles of good corporate governance and best
practice recommendations. Sydney, 2003a. Disponível em:
<http://www.shareholder.com/visitors/dynamicdoc/document.cfm?documentid=364
&companyid=ASX> . Acesso em: 14 fev. 2008.
ASX CORPORATE GOVERNANCE. ASX listing rules. Sydney: Australian Stock Exchange.
2003b. Disponível em: <http://www.asx.com.au/ListingRules/LRChps.shtm>. Acesso em: 15
maio 2008.
BANCO CENTRAL DO BRASIL - BACEN. Resolução 3.380, de 29 Junho de 2006. Dispõe
sobre a implementação de estrutura de gerenciamento do risco operacional.. Brasília, 2006.
Disponível em: <https://www3.bcb.gov.br/normativo/detalharNormativo.do?method=detalhar
Normativo&N=106196825. Acesso em: 18 fev. 2008.
BANCROFT, N. H.; SEIP, H.; SPRENGEL, A. Implementing SAP R/3: how to introduce a
large system into a large organization. 2. ed. Greenwich: Manning, 1998.
BANK FOR INTERNATIONAL SETTLEMENTS - BIS. Enhancing corporate governance
for bancking organizations. 2006. Disponível em: <http://www.bis.org>. Acesso em: 20 jun.
2009.
BANK FOR INTERNATIONAL SETTLEMENTS - BIS. Framework for the evaluation of
internal control systems. 1998. Disponível em: <http://www.bis.org>. Acesso em: 19 jun. 2009.
145
BANK FOR INTERNATIONAL SETTLEMENTS - BIS. International convergence of capital
measurement and capital standards: a revised framework. 2004. Disponível em:
http://www.bis.org. Acesso em: 16 jun. 2009.
BROWN, C.V. Examining the emergence of hybrid governance solutions: evidence from a single
case site. Information Systems Research, v. 8, n.1, p. 69-94, mar. 1997.
BROWN, C.V.; MCGILL, S.L. Alignment of the IS function with the enterprise: toward a model
of antecedents. MIS Quarterly, v. 18, n. 4, p. 371 – 403, 1994.
BRUNI, Adriano Leal; FAMÁ, Rubens. Gestão de custos e formação de preços: com
aplicações na calculadora HP 12c e Excel. São Paulo: Atlas, 2002. 576 p.
BRYNJOLFSSON, E. The productivity paradox of information technology. Communications of
the ACM, v. 36, n. 12, dez. 1993.
BRYNJOLFSSON, E; HITT, L.M.. Beyond the productivity paradox. Communications of the
ACM, v. 41, n. 8, 1998.
CADBURY, A. Report of the committee on the financial aspects of corporate governance.
London: Gee and Company, 1992. Disponível em:
<http://www.blindtiger.co.uk/IIA/uploads/2c9103-ea9f7e9fbe--7e3a/Cadbury.pdf>. Acesso em:
10 maio 2007.
CAGLIO, A. Enterprise resource planning systems and accountants: towards hybridization?
European Accounting Review, v. 12, n. 1, p. 123-153, 2003.
CARLSSON, Rolf. Ownership and value creation: strategic corporate governance in the new
economy. New York: John Wiley & Sons, 2001. 307 p.
CHAMPLIAN, Jack J. Auditing information systems. 2. ed. NJ: John Wily & Sons, Inc., 2003.
AS 100 MAIORES empresas do Brasil. Disponível em:
<http://www.portalbrasil.net/2009/economia/economia_maioresdopais.htm> . Acesso em: 20 jun.
2009.
146
OS 50 MAIORES bancos do Brasil por patrimônio. Disponível em: <
http://www.portalbrasil.net/2009/economia/economia_maioresdopais.htm>. Acesso em: 20 jun.
2009.
CLEMONS, E.K. Evaluation of strategic investiments in information technology.
Communications of the ACM, v. 34, p. 22-36, 1991.
COASE, R. The nature of firm. Economica, v. 4, n. 16, p. 386- 405, 1937.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION
- COSO. Internal control – integrated framerowk: executive summary. 1994. Disponível em:
<http:// www.coso.org>. Acesso em: 12 jun. 2009.
CRONQVIST, Henrik; NILSSON, Mattias. Agency costs of controlling minority shareholders.
Journal of Financial and Quantitative Analysis, n. 364, sept. 2002.
DARLINGTON, Angela; GROUT, Simon; WHITWORTH, John: How safe is sage enough? an
introduction to risk management, presented at: the staple inn actuarial society. London: Staple
Inn Hall. 2001. Disponível em: <http://www.sias.org.uk/papers/risk2001.pdf>. Acesso em: 12
jun. 2009.
DAVENPORT, T.H. Putting the enterprise into the enterprise system. Harvard Business
Review, v.76, n. 121-131, 1998.
DAVENPORT, T. H. ; ECCLES, R.; PRUSAK, L. Information politics. Sloan Management
Review, v. 34 , n. 1, p. 53 – 62, 1992.
DEARDEN, J. The withering away of the IS organization. Sloan Management Review, v. 28 (
n. 4, p. 87 – 91, 1987.
DECHOW, N., ; MOURITSEN, J. On enterprise wide resource planning systems – the quest for
integration and management control. Accounting, Organizations and Society, v. 30, n. 7/8, p.
691-733, 2005.
DEMB, A.; NEUBAUER, F.F. The corporate board: confronting the paradoxes. Oxford:
Oxford University Press, 1992.
147
DESHMUKH, A. Digital accounting: the effects of the internet and ERP on accounting.
Hershey, PA: Idea Group Publishing, 2006.
DIAS FILHO, J. M.; MACHADO, L. H. B. Abordagens da pesquisa em contabilidade. In:
IUDÍCIBUS, Sérgio de; LOPES, Alexsandro Broedel (Orgs.). Teoria avançada da
contabilidade. São Paulo: Atlas, 2004.
DOERIG, Hans-Ulrich. Operational risks in financial services: an old challenge in a new
environment. London: Institut International d’Études Bancaires, 2000. Disponível em:
<http://www.credit-suisse.com/en/csgn/operational_risk.pdf>. Acesso em: 20 jun. 2009.
DUFFY, J. IT governance and business value part 1: IT governance - an issue of critical
importance. 2002a. (IDC document # 27291).
________. IT governance and business value part 2: who's responsible for what?. 2002b. (IDC
document # 27807).
DUFFY, J. IT/Business alignment: is it an option or is it mandatory?. 2002c.( IDC document #
26831).
EFENDI, J., MULIG, E.V. ; Smith, L.M. Information technology and systems research published
in major accounting academic and professional journals. Journal of Emerging Technologies in
Accounting, v. 3, p. 117-128, 2006.
ERBEN, Roland Franz. Fuzzy-logic-basiertes risikomanagement –anwendungsmöglichkeiten
der theorie unscharfer mengen im rahmen des risikomanagements von industrisbetrieben
unter besonderer berücksichtigung von länderrisiken. Reihe: Berichte aus der
Betriebswirtschaft, Shaker, Aachen, 2000.
FARBER, David B. Restoring trust after fraud: does corporate governance matter?. The
Accounting Review, v. 80, n. 2, 2005. Disponível em: <http://www.bis.org>. Acesso em: 20 jun.
2009.
FINANCIAL REPORTING COUNCIL -
FRC . The combined code. London: Financial
Reporting Council, 2003. Disponível em:
<http://www.frc.org.uk/publications/content/CombinedCodeFinal.pdf>. Acesso em: 20 jun.
2009.
148
GAMA, F. A. A governança de tecnologia da informação: um estudo em empresas brasileiras.
2006. Dissertação (Mestrado em Contabilidade) - Fundação Instituto Capixaba de Pesquisa em
Contabilidade, Economia e Finanças – FUCAPE, Vitória , Espírito Santo, 2006.
GARCIA, Felix Arthur. Governança corporativa. 2005. Disponível em:
<http://www.cvm.gov.br/port/public/publ/ie_ufrj_cvm/Felix%20_Arthur_C_Azevedo_Garcia.pdf
>. Acesso em: 31 jul. 2009.
GERKE, Lynne; RIDLEY, Gail. Towards an abbreviated COBIT framework for use in an
Australian State Public Sector. In: AUSTRALIAN CONFERENCE ON INFORMATION
SYSTEMS, 17., 2006, Adelaide, Austrália. Anais... 2006.
GIL, Antonio Carlos. Métodos e técnicas de pesquisa social. 5. ed. São Paulo: Atlas, 1999.
GITMAN, Lawrence J. Princípios de administração financeira. 7 ed. São Paulo: Harbra, 1997.
GRANLUND, M.; MALMI, T. Moderate impact of ERPS on management accounting: a lag or
permanent outcome? . Management Accounting Research, v. 13, n. 3, p. 299-321, 2002.
GREMBERGER, W.V; HAES, S.; GULDENTOPS, E. Structures, processes and relational
mechanisms for informations technology governance: theories and practices. 2004a.
GREMBERGER, W.V. IT governance and Its mechanisms. Information Systems Control
Journal, v. 1, 2004b.
GULDENTOPS, Erick. Knowing the environment: top five IT issues. Information Systems
Control Journal, v. 4, p. 15–16, 2002.
________. Governing information technology through CobiT. In: VAN GREMBERGEN , W.
(Ed.). Strategies for information technology governance. Hershey, PA: Idea Group Publishing,
2003a.
________. IT governance: part and parcel of corporate governance. CIO SUMMIT,
EUROPEAN FINANCIAL MANAGEMENT & MARKETING (EFMA) CONFERENCE. 2003,
Brussels. Anais… 2003b.
149
________; GREMBERGEN, Win V.; HAES, Steven D. Control and governance maturity survey
– establishing a reference benchmark and a self-assesment tool. Information Systems Control
Journal, v. 6, 2002.
HENDERSON, J. C.; VENKATRAMAN, N. Strategic alignment: leveraging information
technology for transforming organizations. IBM Systems Journal, v. 32, n.1, p.4-16, 1993.
________; OLDACH, S. Continuous strategic alignment: exploiting information technology
capabilities for competitive success. European Management Journal, v. 11, n. 2, jun. 1993.
HIGGS, D. Review of the role and effectiveness of non-executive directors. London:
Department of Trade and Industry, 2003. Disponível em:
<http://www.dti.gov.uk/cld/non_exec_review/pdfs/higgsreport.pdf>. Acesso em: 20 jun. 2009.
HILMER, F. Strictly boardroom: improving governance to enhance company performance.
Melbourne: The Business Library, 1993.
HODGKINSON, S. T. The role of the corporate IT function in the federal IT organization. In:
EARL, M. J. (Ed.).
Information management: the organizational dimension. Oxford: Oxford
University Press, 1996.
HOPPEN, N.; LAPOINTE, L.; MOREAU, E. Um guia para a avaliação de artigos de pesquisa
em sistemas de informação. READ – Revista Eletrônica de Administração, Porto Alegre, v. 2,
n. 2, nov./dez. 1996.
HUNTON, James E.; BRYANT, Stephanie; BAGRANOFF, M. Core concepts of information
technology auditing. NJ: John Wily & Sons, Inc., 2004.
HUSSAIN, Amanat. Managing operational risk in financial markets. Oxford: Butterworth-
Heinemann, 2000.
HYVÖNEN, T. Management accounting and information systems: ERP vs. BoB. European
Accounting Review, v. 12, p. 155-173, 2003.
________; JÄRVINEN, J.; PELLINEN, J. The role of standard software packages in mediating
management accounting knowledge. Qualitative Research in Accounting and Management, v.
3, n. 2, p. 145-160, 2006.
150
INSTITUTE ON GOVERNANCE - IOG. Governance basics. Disponível em: <www.iog.ca> .
Acesso em: 24 nov. 2007.
INFORMATION TECHNOLOGY GOVERNANCE INSTITUTE - ITGI. CobiT: governance,
control and audit for information and related technology. 2000. Disponível em: < www.itgi.org>.
Acesso em: 20 jun. 2009.
________. Board briefing on IT governance. 2001. Disponível em: < www.itgi.org.>. Acesso
em: 20 jun. 2009.
________. CoBIT: control objectives for information and related technology. 3
rd
ed. [S.l] :
Rolling Meadow, IL: IT Governance Institute, 2002.
________. Board briefing on IT governance. 2003. Disponível em: <www.itgi.org.>. Acesso
em: 20 jun. 2009.
________. IT control objectives for basel II: the importance of governance and risk
management for compliance – exposure draft. 2007a.
________. CobiT 4.1 –Control Objectives for Information and related Technology. 2007b.
ISACA. Is auditing guideline: IT governance document G18. 2002. Disponível em:
<http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=18562>. Acesso
em: 20 dez. 2008.
IUDÍCIBUS, Sérgio de. Análise de balanços: análise de liquidez e do endividamento, análise do
giro, rentabilidade e alavancagem financeira. 7 ed. São Paulo: Atlas, 1998. 225p
KING, J.L. Centralised versus decentralised computing: organisational considerations and
management options. Computing Surveys, v. 15, n. 4, p. 20 - 49, 1983.
KORAC-KAKABADSE, N.; KAKABADSE, A. IS/IT governance: need for an integrated
model. Corporate Governance, v. 1, n.4, p. 9-11, 2001.
151
JENSEN, M.C.; MECKLING, W. Theory of the firm: management behavior, agency costs and
ownership structure. Journal of Financial Economic, v. 4, n. 3, p. 305-360, 1976.
LODH, S.; GAFFIKIN, M. Implementation of an integrated accounting and cost management
system using the SAP system: a field study. European Accounting Review, v. 12, n. 1, 85-121,
2003.
LOH, L.; VENKATRAMAN, N. Corporate governance and strategic resource allocation: the
case of information technology investiments. Accounting, Management and information
Technology, v. 3, n. 4, p. 213-228, 1993.
LOPES, Alexsandro Broedel. A teoria dos contratos, governança corporativa e contabilidade.
In: IUDÍCIBUS, Sérgio de; ______ (Orgs.). Teoria avançada da contabilidade. São Paulo:
Atlas, 2004. p. 170-185.
LOZINSKY, S. Enterprise-wide software solutions: integration strategies and practices. [S.l]:
Reading, MA: Addison Wesley, 1998.
LUFTMAN, J. Assessing business-IT alignment maturity. Communications of AIS, 4. dec.
2000.
LUFTMAN, J. N.; LEWIS, P. R.; OLDACH, S. H. Transforming the enterprise: the alignment of
business and information technology strategies. IBM Systems Journal, v. 32, n. 1, p. 198-221,
1993.
LUNARDI, Guilherme L. Um estudo empírico e analítico do impacto da governança de TI
no desempenho organizacional. 2008. Tese (Doutorado em Administração) - Universidade
Federal do Rio Grande do Sul, Porto Alegre, 2008.
LUSTOSA, Eliane. Escândalos corporativos e boas praticas de governança. Revista RI, Rio de
Janeiro, n. 77, p. 17-18, jul. 2004.
MALHOTRA, Naresh K. Pesquisa de marketing: uma orientação aplicada. 3. ed. Porto Alegre:
Bookman, 2001.
MANLY, B. F. J. Randomization, bootstrap and Monte Carlo methods in biology. Flórida:
Chapman & Hall, 2006. 460 p.
152
MARCONI, Marina de Andrade; LAKATOS, Eva Maria. Fundamentos de metodologia
científica. 5. ed. São Paulo: Atlas, 2003.
MARTIN, N; SANTOS, L. ; DIAS, J. Governança empresarial, riscos e controles internos: a
emergência de um novo modelo de controladoria. Revista Contabilidade & Finanças, São
Paulo, n. 34, p. 7 - 22, jan./abr. 2004.
MARTINEZ, Antonio Lopo. Agency theory na pesquisa contábil. In: ENCONTRO ANUAL
ASSOCIAÇÃO NACIONAL DE PÓS-GRADUAÇÃO E PESQUISA EM ADMINISTRAÇÃO,
22. , 1998, Foz do Iguaçu. Anais... Rio de Janeiro: ANPAD, 1998.
MATARAZZO, Dante Carmine. Análise financeira de balanços: abordagem básica e gerencial.
3. ed. São Paulo: Atlas, 1995.
MATTAR, Fauze N. Pesquisa de marketing. São Paulo: Atlas, 1996.
MCLORRAIN, C. Managing risk—the natural way. Oil and Gas Journal, p. 16–17, sept. 2000.
MCGINNIS, S.; PUMPHREY, L.; TRIMMER, K; WIGGINS, C. Sustaining and extending
organizational strategy via information technology governance. In: PROCEEDINGS OF THE
HAWAII INTERNATIONAL CONFERENCE ON SYSTEM SCIENCES, 37., 2004, Hawaii.
Anais…. [S.l]: [S.n], 2004.
MEIRELLES, Anthero M.; ALMEIDA JR, Antônio F.; DATTOLI, José C. B. Governança
corporativa e gestão de riscos no Banco Central do Brasil. 2005. Mimeo.
MOTTERSHEAD, Nick; MARSH, Peter; TAYLOR, Richard. Risk management guide -
managing risk to proctect and grow shareholder value. [S.l.]: Ernst & Young LLP,
Assurance and Advisory Business Service, 2001. Disponível em:
<http://www.ey.com/global/download.nsf/ International/ 2001_Risk_Management_
Guide__Managing_ Risk_to_Protect_and_Grow_ Shareholder_Value/
$file/2001_riskman_guide.pdf>. Acesso em: 18 jun. 2009.
NASCIMENTO, Edson Queiroz ; SARLO NETO, Alfredo ; LOUZADA, Luiz Claudio . Análise
do ponto de equilíbrio e alavancagem operacional como ferramentas de gestão. In: CONGRESSO
UFSC CONTROLADORIA E FINANÇAS, 2., 2008, Florianópolis. Anais… Florianópolis :
UFSC, 2008. v. 1. p. 32-32.
153
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY - NIST. Risk management
guide for information technology systems. 2002.
ORGANIZAÇÃO PARA COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO – OCDE.
OECD principles of corporate governance. Paris, 2004. Disponível em: <
http://www.oecd.org>. Acesso em: 20 jun. 2009.
________. ECD principles of corporate governance. Paris, 1999.
OLSEN, M.H. ; CHERVANY , N.L. The relationship between organisational characteristics and
the structure of the information services function. MIS Quarterly, v.4, n.2, p. 57 – 68, 1980.
PATEL, N.V. An emerging strategy for e-business IT governance. In. VAN GREMBERGEN,
W. (Ed.). Strategies for information technology governance. Hershey, PA: Idea Group
Publishing, 2003.
PEDERSEN, Torben; THOMSEN, Steen. European patterns of corporate ownership: a twelve-
country study. Journal of International Business Studies, v.28, n.4, p. 759-778, 1997.
PETERSON, R. R. Crafting information technology governance. Information Systems
Management, v. 21, n. 4, p. 7-22, 2004.
________. Information strategies and tactics for information technology governance. In: VAN
GREMBERGEN, W. (Ed.). Strategies for information technology governance. Hershey, PA:
Idea Group Publishing, 2003.
PEZIER, J. Operational risk management. In: ALEXANDER, C. (Ed.) . Operational risk:
regulation, analysis and management. London: Prentice Hall-Financial Times, 2003a.
________. A constructive review of the basel proposals on operational risk. In: ALEXANDER,
C. (Ed.). Operational risk: regulation, analysis and management. London: Prentice Hall-
Financial Times, 2003b.
PINOCHET, Luis H. C.; ALBERTIN, Alberto L.; VASCONCELOS, Isabella F. F. G.;
MASCARENHAS, André O.; SILVA, Alandey S. L. A adoção de ferramentas de governança de
TI por parte do conselho de profissionais de saúde do Nordeste: uma análise crítica com base na
154
teoria neo-institucional. In: ENCONTRO DA ANPAD, 29., 2005, Brasília. Anais… Rio de
Janeiro: ANPAD, 2005.
PORTER, M . On competition. Harvard Business Review Book, Boston, jun. 1999.
QUATTRONE, P.; Hopper, T. What does organizational change mean?. Speculations on a taken
for granted category. Management Accounting Research, v. 12, n. 4, p. 403-435, 2001.
REZENDE, Denis Alcides. Tecnologia da informação - integrada à inteligência empresarial:
alinhamento estratégico e análise da prática nas organizações. São Paulo: Atlas, 2002.
RIBBERS, P.M.A.; PETERSON, R.R. ; PARKER, M.M. Designing information technology
governance processes: diagnosing contemporary practices and competing theories. In:
PROCEEDINGS OF THE HAWAII INTERNATIONAL CONFERENCE ON SYSTEM
SCIENCES, 35., 2002, Hawaii. Anais…. [S.l.]: IEEE Computer Society, 2002.
RICHARDSON, Roberto Jarry. Pesquisa social: métodos e técnicas. 3. ed. São Paulo: Atlas,
1999.
ROM, A. ; ROHDE, C. Enterprise resource planning systems, strategic enterprise management
systems and management accounting: a danish study. Journal of Enterprise Information
Management, v. 19, n. 1, p. 50-66, 2006.
ROSA, Paulo S. Risco operacional e governança em processos de tecnologia da informação
de organizações de alta confiabilidade: estudo no Banco Central do Brasil. 2008. 180 f.
Dissertação ( Mestrado em Administração) - Universidade Federal do Paraná, Paraná, 2008.
ROSSI, Ruth Ferreira Roque. Modelo de governança de TI para organizações brasileiras.
2004. Tese (Doutorado em Engenharia de Produção) - UFSC, Santa Catarina, 2004.
SAMBAMURTHY, V.; ZMUD, R.W. Research commentary: the organizing logic for an
enterprise.s IT activities in the digital era a prognosis of practice and a call for research.
Information Systems Research, v. 11, n. 2. p. 105-114, 2000.
________. Arrangements for information technology governance: a theory of multiple
contingencies. MIS Quarterly, v. 23, n. 2, p. 261 – 90, 1999.
155
SANTOS, Carolina Macagnani. Entraves ao desenvolvimento do mercado de capitais
brasileiro. 2002. Trabalho de Conclusão de Curso (Graduação em Administração) - Faculdade
de Economia, Administração e Contabilidade, Universidade de São Paulo, Ribeirão Preto, SP,
2002.
SARBANES OXLEY - SOX. The US congress. 2002. Disponível em:
<http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf>. Acesso em: 20 jun.
2009.
SCAPENS, R.; JAZAYERI, M. ERP systems and management accounting change: opportunities
or impacts? a research note. European Accounting Review, v. 12, n. 1, p. 201-233., 2003.
SCHIFFMAN, Leon G. ; KANUK, Leslie L. Comportamento do consumidor. 6. ed. Rio de
Janeiro: Livros Técnicos e Científicos, 2000.
SCHMELZER, Hermann J.; SESSELMANN, Wolfgang . Geschäftsprozessmanagement in der
Praxis: Kunden zufrieden stellen – produktivität steigern – wert erhöhen, hanser. München,
2001.
SELLTIZ, Claire; JAHODA, Marie ; DEUTSCH H.; COOK S. M. Métodos de pesquisa das
relações sociais. São Paulo: Herder, 1965.
SHAH, Samir. Operational risk management, casualty actuarial society 2001. In: SEMINAR ON
UNDERSTANDING THE ENTERPRISE RISK MANAGEMENT PROCESS, San Francisco,
2001. Anais… local: editor, 2001. Disponível em: <
http://www.casact.org/coneduc/specsem/erm/2001/handouts/shah.ppt>. Acesso em: 20 jun. 2009.
SHLEIFER, A.; VISHNY, W. A survey on corporate governance. The Journal of Finance, v.
52, n. 2, 1997.
SIEGEL, S. ; CASTELLAN JR, N.J. Estatística não-paramétrica para ciências do
comportamento. Porto Alegre: Artmed, 2006. 448 p.
SILVEIRA, Alexandre di Miceli. Governança corporativa, desempenho e valor da empresa
no Brasil. 2002. 152 f. Dissertação (Mestrado em Administração ) – Faculdade de Economia,
Administração e Contabilidade, Universidade de São Paulo, São Paulo, 2002.
156
SMITH, R. Audit committees combined code guidance. London: Financial Reporting Council.,
2003. Disponível em: <http://www.frc.org.uk/publications/content/ACReport.pdf>. Acesso em:
20 jul. 2009.
SOUZA, A. F. ; XAVIER, Sabrina Rodrigues . Governança corporativa e valor da empresa. In:
SEMEAD SEMINÁRIO EM ADMINISTRAÇÃO, 8., 2005, São Paulo. Anais... São Paulo:
FEA/USP, 2005. v. 1.
SOUZA, Sergio Luiz de. Indicadores de sucesso e seus reflexos na gestão financeira das
sociedades anônimas metal-mecanicas de capital aberto. 2007. Dissertação ( Mestrado em
Administração) - Universidade do Estado de Santa Catarina - UDESC, Santa Catarina, 2007.
STRASSMAN, P. The business value of computers. London: Business Intelligence, 1990.
TAVAKOLIAN, H. Linking the information technology structure with organisational
competitive strategy: a survey. MIS Quarterly, v. 13, n. 3, p. 309 – 17, 1989.
TEIXEIRA, F. J. ; PONTE, V. M. R., Alinhamento estratégico: estudo comparativo das
percepções dos executivos de negócios e de TI. In: ENAMPAD , 28., 2004, Curitiba. Anais...
Rio de Janeiro: ANPAD, 2004.
TEIXEIRA, Ivandi Silva.O custeio variável: mecanismos para a gestão da produtividade. In:
ENCONTRO NORDESTINO DE CONTABILIDADE, 1., 1993, Olinda/PE. Anais…. Conselho
Regional de Contabilidade: Maranhão, 1993.
TRICKER, R. I. Corporate governance: practices, procedures and powers in British companies
and their boards of directors. Aldershot: Gower, 1984.
________. All corporate entities need to be governed: corporate governance. International
Review, v. 5, n.1, p.1 - 2 , 1997.
TURBAN, E.; MCLEAN, E.; WETHERBE, J. Tecnologia da informação para gestão. 3 ed.
Porto Alegre: Bookman, 2004.
TURNBULL, S. Corporate governance: its scope, concerns and theories. Scholarly Research
and Theory Papers, v. 5, n. 4, p. 180-205, oct. 1997.
157
VAN DER ZEE, J.T.M.; DE JONG, B. Alignment is not enough: integrating business and
Information technology management with the balanced business scorecard. Journal of
Management Information Systems, v.16, n. 2, 1999.
VAN GREMBERGEN, W. Introduction to the Minitrack: it governance and its mechanisms. In:
PROCEEDINGS OF THE HAWAII INTERNATIONAL CONFERENCE ON SYSTEM
SCIENCES, 35., 2002, Hawaii. Anais…. Island of Hawaii: IEEE Computer Society, 2002.
VAUGHAN, E.J. Risk management. New York: Wiley, 1997.
VENKATRAMAN, N. Valuing the IS contribution to the business. California: Computer
Sciences Corporation, 1999. Disponível em: < http://www.csc.com/>. Acesso em: 10 mar. 2008.
VIOLA, D. N. Detecção e modelagem de padrão espacial em dados binários e de contagem.
2007. 118 p. Tese ( Doutorado em Agronomia Estatística e Experimentação Agronômica) -
Escola Superior de Agricultura, USP, Piracicaba, SP, 2007.
WEILL Peter; ROSS, Jeanne. Governança de TI – tecnologia da informação. São Paulo:
M.Books, 2006.
________. Governança de TI – tecnologia da informação. São Paulo: M.Books, 2005.
________; BROADBENT, Marianne. Leveraging the new infrastructure: how market leaders
capitalize on information technology. Boston, MA: Harvard Business School Press, 1998. 320 p.
________. Creating effective IT governance, a gartner EXP premier research report.
Stamford, CT: Gartner, 2003.
________; ROSS, J. W. IT Governance: how top performers manage IT decision rights for
superior results. Boston: Harward Business School Press, 2004.
________; WOODHAM, Richard. Don't just lead, govern: implementing effective IT
governance . 2002. (Working Paper, n. 4237-02). Disponível em:
<http://ssrn.com/abstract=317319 or DOI: 10.2139/ssrn.317319>. Acesso em: 20 jun. 2009.
158
WILSON, Duncan. Operational risk. In: LORE, Marc; BORODOVSKY, Lev (Eds.). The
pofessional’s handbook of financial risk management. Oxforf: Butterworth-Heinemann,
2000. p. 77 – 412.
WOLK, Harry; TEARNEY, Michael. Accounting theory. Cincinnati: South-Western, 1997.
YAN, R.; MAKAL, M. Two views of internal controls: COBIT and ITCG. Audit and Control,
v. 1, dec. 1998.
ZYLBERSZTAJN, Décio. Estrutura de governança e coordenação do agribusiness: uma
aplicação da nova economia das instituições. 1995. 239 f. Tese ( Livre-docência em
Administração) – Faculdade de Administração, Economia e Contabilidade, USP, São Paulo,
1995.
159
APÊNDICES
Livros Grátis
( http://www.livrosgratis.com.br )
Milhares de Livros para Download:
Baixar livros de Administração
Baixar livros de Agronomia
Baixar livros de Arquitetura
Baixar livros de Artes
Baixar livros de Astronomia
Baixar livros de Biologia Geral
Baixar livros de Ciência da Computação
Baixar livros de Ciência da Informação
Baixar livros de Ciência Política
Baixar livros de Ciências da Saúde
Baixar livros de Comunicação
Baixar livros do Conselho Nacional de Educação - CNE
Baixar livros de Defesa civil
Baixar livros de Direito
Baixar livros de Direitos humanos
Baixar livros de Economia
Baixar livros de Economia Doméstica
Baixar livros de Educação
Baixar livros de Educação - Trânsito
Baixar livros de Educação Física
Baixar livros de Engenharia Aeroespacial
Baixar livros de Farmácia
Baixar livros de Filosofia
Baixar livros de Física
Baixar livros de Geociências
Baixar livros de Geografia
Baixar livros de História
Baixar livros de Línguas
Baixar livros de Literatura
Baixar livros de Literatura de Cordel
Baixar livros de Literatura Infantil
Baixar livros de Matemática
Baixar livros de Medicina
Baixar livros de Medicina Veterinária
Baixar livros de Meio Ambiente
Baixar livros de Meteorologia
Baixar Monografias e TCC
Baixar livros Multidisciplinar
Baixar livros de Música
Baixar livros de Psicologia
Baixar livros de Química
Baixar livros de Saúde Coletiva
Baixar livros de Serviço Social
Baixar livros de Sociologia
Baixar livros de Teologia
Baixar livros de Trabalho
Baixar livros de Turismo
