A IMPORTÂNCIA DOS FRAMEWORKS DE CONTROLE DE PROCESSOS PARA A GESTAO EFETIVA DA TECNOLOGIA DA INFORMACAO

Transcrição

1 ! "#$ " %'&)(*&)+,.- C)D 5.,.5FE)5.G.+ &4- (IHJ&?,.+ /?<>=)5.KA:.+5MLN&OHJ5F&4E)2*EOHJ&)(IHJ/)G.- D - ;./);.& A IMPORTÂNCIA DOS FRAMEWORKS DE CONTROLE DE PROCESSOS PARA A GESTAO EFETIVA DA TECNOLOGIA DA INFORMACAO Franco dos Santos Sandonato (CEFET/RJ) fsandonato@gmail.com Este artigo analisa o processo de adaptação das empresas brasileiras aos requisitos da lei norte-americana Sarbanes-Oxley, em busca do estabelecimento de modelos de governança de TI. A obrigatoriedade da lei, e as recomendações dos órgãos dde controle norte-americanos pela adoção de estruturas de controle, tendem a estabelecer dois frameworks de controles de processos predominantes para as corporações, o COSO e o COBIT, usados, respectivamente, para a gestão de riscos de negócio e governança de TI. A partir dos resultados publicados pelad empresas, comprova-se a necessidade do estabelecimento da gestão efetiva dos recursos de tecnologia da informação como forma de apoiar as estratégias de negócio e a padronização dos dois Frameworks como principais instrumentos para os controles dos principais processos de negócio. Palavras-chaves: Gestão da Tecnologia, Governança de TI, COSO, COBIT, ITIL

2 1. Introdução Este artigo analisa o processo de adaptação das empresas brasileiras que participam dos mercados de capitais norte-americanos, afetadas pela Sarbanes-Oxley (SOX), publicada em Sob os efeitos da lei, estas organizações vêm transformando suas estruturas de governança corporativa, processos de negócio e estruturas de controle. Este movimento tende a consolidar a padronização de dois modelos de controles de processos, o COSO e o COBIT, usados, respectivamente, para a gestão de riscos de negócio e governança de TI. 2. Os efeitos da Sarbanes-Oxley sobre as estruturas de governança As corporações são um dos principais agentes do sistema econômico mundial. Estas organizações dependem dos recursos advindos dos mercados de capitais e da confiança dos investidores para financiar seus projetos estratégicos de longo prazo e garantir o acesso aos principais mercados mundiais. A solidez dos mercados de capitais tornou-se fundamental para a economia dos países capitalistas e para o estabelecimento do gigantismo das corporações (GALBRAITH, 1976; TOFLER, 1980), e este ambiente depende cada vez mais do estabelecimento de relações de confiança, transparência e ética para garantir o volume necessário para o crescimento das empresas e o retorno dos investimentos realizados. As empresas brasileiras, em busca de recursos financeiros competitivos, vêm buscando o principal mercado de capitais mundial, o norte-americano, como forma de expandir sua atuação em novos mercados. Abalada por uma série de escândalos corporativos no início do século, a solidez deste sistema vem sendo restabelecida por novos instrumentos legais, exigindo das empresas brasileiras uma série de adaptações em suas estruturas organizacionais, processos de negócios e ambientes de controles internos. A Lei Sarbanes-Oxley, foi publicada em 2002 pelo governo norte-americano como forma de revigorar os instrumentos legais de seus mercados de capitais. Seu alcance é similar aos instrumentos legais aplicados para a corrigir os efeitos do Crash de 1929, e para sua obter conformidade com seus requisitos, algumas das principais organizações brasileiras vêm transformando suas estruturas de gestão, contribuindo, junto com as novas regras da BOVESPA para o despertar da governança corporativa no Brasil (ANDRADE e ROSSETTI, 2006). Cerca de quarenta das principais empresas brasileiras, que negociam valores na bolsa de valores de Nova Iorque (NYSE) passaram a ser afetadas pela lei e obrigadas a adotar padrões mais rígidos de governança e de controles internos, melhorar o relacionamento com seus investidores e aumentar a qualidade das informações prestadas ao mercado (Tabela 1). Empresa Ambev Bradesco Brasil Telecom Pão de Açúcar COPEL CVRD Embraer Gafisa Gol Petrobras Sadia Telenorte Celular Telebrás Telemig Ultrapar Empresas Aracruz Celulose S.A. Itau Braskem CEMIG CSN CPFL Embratel Gerdau Perdigão SABESP TAM Telenorte Leste Telesp TIM Unibanco 2

3 Vivo Votorantim Fonte: NYSE (2006) Tabela 1 Empresas brasileiras registradas na Bolsa de Nova Iorque em 2006 Dentre as 32 seções da lei, a que produz o maior impacto sobre as empresas é a Seção 404, que trata da definição, implantação e avaliação dos controles internos. Nela estão expostos os requerimentos necessários para que os processos internos estejam de tal modo controlados, que resultem em relatórios financeiros fidedignos. Esta seção requer que todas as atividades que de alguma forma estão relacionadas às informações financeiras, o que inclui grande parte das atividades suportadas pela tecnologia da informação, sejam controladas de modo mais rígido. Os principais executivos tornam-se responsáveis pelo estabelecimento e manutenção de uma estrutura de controles, e passam a ser obrigados a declarar nos relatórios financeiros o estado da eficácia desta estrutura e a concordância com os procedimentos utilizados para estabelecer os controles internos. 3. Estratégias adotadas para obter a conformidade com a Seção 404 da SOX Para obter a conformidade com a Seção 404 da lei, torna-se necessário rever a forma pela qual são realizados os principais processos de negócio. Como as empresas norte-americanas foram as primeiras a se adequarem às exigências da SOX, as experiências obtidas a partir de seu processo de adequação, passaram a ser utilizadas com referência para as empresas estrangeiras, que adotam estratégias semelhantes, cujas principais etapas estão resumidas na Figura 1. Figura 1 - Etapas para o atendimento à Seção 404 da SOX Inicialmente é feita a seleção da estrutura de controle (Framework) mais apropriada para apoiar o processo de certificação (A). A seguir é necessário definir o conjunto dos macroprocessos mais relevantes da organização. As grandes empresas identificam nesta fase, todos os maiores processos de negócio com potenciais riscos ou cuja natureza seja relevante ou crítica para o negócio (B). Todas as empresas que possuem participação relevante em um 3

4 dos macroprocessos já identificados passam a fazer parte do conjunto de empresas que deverão ser controladas (C). É realizada a seleção das principais contas que serão publicadas nas demonstrações financeiras. Para identificação destas contas, o PCAOB (2006) recomenda que sejam feitas análises quanto ao tamanho, composição, suscetibilidade e exposição às perdas devido a erros ou fraude, volume de atividade, homogeneidade de transações, natureza - que exigirá atenção relativa ao grau de incerteza de suas informações, complexidade da formação, contingência das responsabilidades das atividades, existência de transações associadas e novas complexidades ou subjetividades surgidas desde o exercício anterior (D). Para evitar que processos importantes não sejam mapeados pelo modelo de controles, uma análise detalhada do FORM 20-F pode identificar se informações que deverão ser declaradas no balanço foram desconsideradas (E). Efetuando o cruzamento dos macroprocessos, contas significantes e as exigências do relatório, chega-se a um conjunto mínimo de processos a certificar (F). O conjunto de macroprocessos é decomposto em processos e subprocessos, de modo a obter os demais objetos de controle, como a origem das transações, as entradas de dados, os processamentos realizados e interfaces envolvidas e os relatórios das informações. Deste conjunto de processos, são escolhidos aqueles que contêm informações relevantes para a divulgação nas demonstrações financeiras com a recomendação de que haja uma medida do impacto que eventuais riscos podem produzir em caso de não conformidades (G). Em seguida é realizada uma revisão dos controles internos existentes, de modo a identificar o estado atual da estrutura de controles utilizada (H). É feita uma análise das deficiências ou discrepâncias ( Gap Analysis ), de modo a comparar os controles internos já existentes com as recomendações do Framework que está sendo adotado. As materialidades dos processos são identificadas e validadas junto à Auditoria Externa, de modo que as possam ser identificados seus possíveis impactos nos ativos, na receita ou no lucro líquido (I); A primeira etapa de redesenho é realizada, e são corrigidos todos os processos que possuíam algum grau de discrepância entre o modelo de controles internos anteriormente praticados e o Framework adotado (J). Após a revisão e redesenho dos processos, se inicia a etapa de certificação pelos principais executivos e realizados os testes independentes dos órgãos de auditoria, divulgando aos Stakeholders, o estado dos controles internos da organização. Após a divulgação das informações ao mercado, é solicitada a revisão pela auditoria externa, que irá testar a eficácia dos controles internos e certificar as informações apresentadas pela empresa. São obtidas as evidências que suportam a avaliação efetuada pela companhia, e utilizado o mesmo Framework para facilitar e guiar os testes de conformidade (L). Continuamente, a alta administração monitora todos os controles internos envolvidos com os relatórios financeiros e suas modificações, considerando as auto-avaliações realizadas pelos diversos gestores dos processos, de modo a manter atualizada a estrutura de controles que é praticada na organização (M). 4. Os Frameworks para controle de processos Como descrito na estratégia para obter a conformidade com a Seção 404, há a necessidade inicial de se adotar uma estrutura integrada de controles internos sobre os processos de negócio. Estas estruturas, chamadas Frameworks, atendem às necessidades das organizações de gerenciar ambientes de negócios cujos controles sobre os processos tornam-se cada vez mais numerosos e complexos. 4

5 A dificuldade em criar uma estrutura interna, com características próprias, fez com que as organizações buscassem por modelos estruturados e flexíveis, que permitissem manter o foco nos negócios e na missão organizacional, ao mesmo tempo em que atendessem aos requisitos de conformidade legal. A partir da SOX, dois Frameworks vêm sendo amplamente utilizados, o modelo publicado pelo COSO (Committee of Sponsoring Organizations of Treadway Commission) para a gestão de riscos dos negócios e o COBIT (Control Objectives for Information and related Technology) para atender aos requisitos de controle dos processos de tecnologia da informação. Segundo (BLOEM et al., 2005) a prevalência destes modelos decorre da indicação da SEC (Securities and Exchange Commission), responsável pela implantação da SOX, pelo uso de um Framework reconhecido. O órgão recomenda a implantação de um ambiente de gestão dos riscos, com métodos estruturados de controles internos, e que permita alcançar os objetivos de negócio, e cita o modelo COSO como a estrutura de controles mais recomendada para a conformidade com a SOX. O COBIT é citado como a estrutura mais adequada para a governança de TI (BLOEM et al., 2006; ALBERTIN e ALBERTIN, 2005), e aquela que melhor representa o modelo COSO e integra a gestão de TI com a governança corporativa (ITGI, 2006). Criados a partir de boas práticas, estas estruturas integram as informações dos principais processos organizacionais, sob a forma cubos, a partir do qual os diversos pontos de controle são aplicados nas diversas dimensões da organização, no caso do COSO, e dos recursos de tecnologia da informação, no caso do COBIT (Figura 2). Figura 2 Os cubos COSO e COBIT 4.1. O Framework COSO Em 1985 foi criada nos EUA uma comissão para estudar os fenômenos que levavam à ocorrência de fraudes nos relatórios financeiros. Formada por membros de cinco das maiores associações contábeis norte-americanas, contava ainda com representantes dos setores industriais, empresas de investimento e do mercado de capitais. Em 1991 a comissão publicou o artigo Internal Control - Integrated Framework", que se tornou a referência mundial para o estudo e aplicação dos controles internos (BLOEM et al., 2006). Posteriormente, o órgão se tornou um comitê denominado COSO The Comitee of Sponsoring Organizations, ainda como entidade sem fins lucrativos, e lançou, em 2003, o Framework atual, que vem sendo 5

6 reconhecido como o mais apropriado para atender às regras da Seção 404 da SOX e é hoje o Framework de governança e gerenciamento de riscos mais utilizado pelas organizações (ITGI, 2005). O COSO implantou o conceito de Enterprise Risk Management Framework (ERM), um processo, realizado pelo quadro de diretores, gerentes e demais pessoas, aplicado no ajuste da estratégia através da empresa, projetado para identificar os eventos potenciais que podem afetar a entidade, e controlar riscos, fornecendo uma garantia razoável a respeito da realização dos objetivos da entidade (COSO, 2004). Suas regras rígidas apóiam o estabelecimento de uma estrutura de controles internos e fortalecem as práticas de governança corporativa, representando o relacionamento entre as diversas dimensões da organização, seus objetivos organizacionais e seus objetivos de controle (Figura 2) O Framework COBIT A Seção 404 da SOX não faz menção a demandas específicas que devam ser atendidas pela TI. Porém, devido ao alto nível de dependência dos processos de negócio e pela pervasividade da tecnologia da informação, não é possível avaliar a eficácia dos controles internos de uma organização sem garantir a conformidade dos sistemas de informações e a correta gestão dos processos internos da TI. Os auditores recomendam que um padrão conhecido para a gestão de TI seja adotado para o processo de conformidade com a SOX, oferecendo benefícios para a efetiva gestão dos recursos de tecnologia da informação, e suportando o Framework COSO. Por ser um modelo reconhecido, abrangente e independente de plataformas tecnológicas, o COBIT tornou-se uma referência para a conformidade da TI com a SOX. Assim como o COSO é o mais indicado para atendimento dos controles internos dos processos de negócios, o COBIT é o mais utilizado para implantar uma estrutura de controles internos sobre a gestão dos recursos de tecnologia da informação. Para a ISACA (2006), o COBIT complementa o COSO. Segundo o ITGI (2006), enquanto o COSO é o modelo mais utilizado para obter a conformidade dos processos de negócio, o COBIT é o modelo de controles internos mais utilizados para a TI. Para DEBRECENY (2006), a maior utilização do COBIT deve-se à publicação da Sarbanes-Oxley. Para BLOEM et al. (2005), a recomendação do COSO para a implantação de um modelo de ERM na organização, abrangendo também os processos de governança de TI, sugere a adoção do modelo COBIT por sua abrangência e flexibilidade, viabilizando o atendimento das medidas especificadas pelas demandas regulatórias mais importantes, dentre elas, a Lei Sarbanes- Oxley. O COBIT surgiu a partir de estudos na ISACA Information Systems Audit and Control Association e hoje é mantido pelo ITGI IT Governance Institute. A ISACA foi criada em 1967, em um cenário de aumento na complexidade dos controles necessários para auditar os sistemas de informações nas organizações. O objetivo da associação era estabelecer, de modo centralizado, uma fonte de divulgação de informações e orientações para os profissionais envolvidos com auditoria de sistemas de informações. Em 1998 a ISACA criou o ITGI, com o objetivo de estender os benefícios da aplicação de modelos de governança corporativa na gestão dos recursos de tecnologia da informação. Iniciava-se a busca pela criação de conhecimento para fundamentar um movimento para que as lideranças, a estrutura organizacional e os processos de TI estivessem alinhados com os objetivos e a estratégia das empresas (WEILL e ROSS, 2000). Segundo BLOEM et al. (2005) o ITGI foi a primeira organização a empregar o termo IT Governance. A primeira edição do COBIT foi publicada em 1996, com o foco inicial sobre o controle dos sistemas de informação. Em 1998, a segunda 6

7 edição ampliou seus recursos, e a terceira edição, já sob coordenação do ITGI, introduziu as recomendações de gerenciamento de ambientes de TI a partir de um modelo de maturidade de governança. Lançada em 2005, a quarta edição traz um guia específico para atendimento à SOX, e enfatiza a conformidade regulatória. Similar ao modelo COSO, os Requisitos de Negócio, os Processos de TI e os Recursos de TI são combinados de modo que os controles necessários para a governança de TI sejam estabelecidos, formando o cubo COBIT, de onde são extraídos 34 objetivos de controle sobre os processos internos gerenciados pelos departamentos de tecnologia da informação O uso de modelos de apoio ao COBIT para implantação da governança de TI Desde a década de 80, diversos modelos e padrões de boas práticas para a gestão dos recursos de TI vêm sendo desenvolvidos. Alguns são originais e outros são derivados e/ou evoluídos de outros modelos (FERNANDES e ABREU, 2006). O COBIT é baseado em padrões internacionais, e sua versão mais recente é alinhada com os principais padrões e práticas que buscam a conformidade e a excelência na gestão da TI. A Tabela 2 mostra alguns dos principais modelos de melhores práticas utilizadas na gestão dos recursos de TI. Modelo Escopo COBIT Controle, Auditoria e Governança de TI ITIL Gestão de Serviços de TI CMMI Desenvolvimento de sistemas de informaçao BS7799, ISO17799 Segurança da informação Prince2 Gerenciamento de Projetos PMBOK Gerenciamento de Projetos Six Sigma Qualidade de Processos SAS70 Auditoria de serviços Fonte: Fernandes e Abreu (2006) Tabela 1 Principais modelos para governança de TI As organizações têm utilizado os modelos tanto como diretrizes para a implantação de uma administração mais eficiente como instrumento de avaliação interna e externa da TI. O COBIT é a estrutura mais abrangente, e é complementada por outros modelos que atendem a requisitos específicos. Segundo o ITGI (2005), o COBIT atua como um integrador, sumarizando os objetivos principais sobre um único Framework, alinhado com os requerimentos de governança e negócio, harmonizado com outros padrões e boas práticas de TI, seus componentes se inter-relacionam para suportar as diferentes necessidades de governança, gestão, controle e auditoria. Para FERNANDES e ABREU (2006), o COBIT vem evoluindo através da incorporação de padrões internacionais técnicos, profissionais, regulatórios e específicos para processos de TI. Segundo ALBERTIN e ALBERTIN (2005), os modelos de administração se completam, uma vez que cada um deles possui um foco específico e atende a alguns dos aspectos da gestão da tecnologia da informação. Segundo FERNANDES e ABREU (2006), o COBIT é genérico o suficiente para que os processos encontrados normalmente nas funções de TI estejam representados. O modelo é compreensível para a força de trabalho operacional, que executa as funções desejadas pelos demais níveis, e para os gestores de tecnologia e negócio, que utilizam os controles do modelo como apoio à governança de TI. Os autores propõem um modelo para o ciclo de Governança de TI, onde apontam as possíveis aplicações dos principais modelos para gestão de TI, distribuídos em quatro etapas de um ciclo de governança de TI. (Figura 2). 7

8 Portanto um método efetivo de governança de TI envolve o entendimento das diferenças e complementos entre os diversos modelos e padrões, que não são mutuamente exclusivos e tornam-se mais eficientes quando aplicados em conjunto com outras práticas já disseminadas nas empresas. Em muitos casos, os diversos padrões são adotados em conjunto. A adoção pode se iniciar pelos modelos mais abrangentes, como o COBIT e o ITIL, buscando posteriormente, aplicar as certificações específicas, como ISO, CMM e Six Sigma como forma de complementar o quadro geral de controles de TI.. Figura 2 - Os modelos de melhores práticas no contexto de Governança de TI 5. O processo de conformidade das empresas brasileiras com a SOX Em seus websites corporativos, comunicados à imprensa e balanços publicados na Bolsa de Valores de Nova Iorque e registrados junto à CVM, as empresas reafirmam a adoção do COSO como a estrutura de controles e gestão de riscos sobre os processos de negócio e a adoção do COBIT em conjunto com diversas práticas, principalmente das regras de segurança e serviços da ISO (ISO17799, ISO27000) e das práticas ITIL para o gerenciamento de serviços de TI. Furnas informa em seu website que um dos maiores desafios em 2006 foi o trabalho de adequação dos controles internos de FURNAS as exigências da Sarbanes-Oxley. Segundo a Gerdau os trabalhos de adequação à SOX iniciaram-se em 2004, baseados nas boas práticas de segurança da informação. Para o Pão de Açucar, os esforços se concentraram em 2006, estruturando equipes específicas para o atendimento de conformidades a partir de boas práticas. A CEMIG informa ter elaborado um plano corporativo para com foco nos requisitos 8

9 do negócio e exigências legais e implantado a gestão do risco da informação integrada com a Gestão de Risco Corporativo. Para a CVRD, 2006 foi o ano do desenvolvimento e implementação do Plano de Segurança de TI, e informa adotar o COBIT, ITIL e ISO1779. A Petrobras divulgou através de seus relatórios anuais armazenados na CVM, na NYSE, e em seu website corporativo, que os trabalhos de conformidade com a SOX vêm sendo executados desde 2002, reforçando os compromissos de governança de 32 empresas, tendo desenhado o fluxo de dezesseis macroprocessos e 183 processos, tendo sido avaliados 10 mil controles de negócios e serviços e controles de Tecnologia da Informação. A empresa informa ter adotado a estrutura COSO para controlar os processos de negócios e serviços e a estrutura COBIT para controlar os processos da Gestão de TI. O COBIT foi utilizado em conjunto com outros modelos, como o ITIL e ISO1799 para a adequação de seus controles internos de TI. 6. Conclusões O uso de Frameworks para apoiar o processo de conformidade com a SOX vem consolidando os modelos COSO e COBIT como padrões para o estabelecimento de estruturas de controles internos sobre os processos organizacionais. A gestão da tecnologia da informação passa a enfrentar um novo paradigma pelo estabelecimento da governança de TI apoiada por modelos complementares ao COBIT. Pelos resultados informados pela Petrobras, similares às demais empresas nacionais, comprova-se a relevância do atendimento à SOX e o papel da TI neste processo. Como informado, cerca de 40% de todos os controles internos considerados relevantes pela empresa foram estabelecidos sobre os processos de TI, confirmando o relevante papel desempenhado pela tecnologia da informação e a importância da adoção de uma gestão efetiva sobre seus recursos tecnológicos como forma de garantir o acesso da empresa aos mercados de capitais. Referências ALBERTIN, A.L; ALBERTIN, R.M.; Benefício do uso de Tecnologia de Informação no Desempenho Empresarial. In: ALBERTIN, R.M.; ALBERTIN, A. Tecnologia de Informação: Desafios da Tecnologia de Informação Aplicada aos Negócios. Capítulo 1, São Paulo, Atlas, ANDRADE, A.; ROSSETTI, J.P.; Governança Corporativa: Fundamentos, Desenvolvimento e Tendências, 2. ed., São Paulo: Atlas, BLOEM, J., DOORN, M.V.; MITTAL, P.; Making It Governance Work in a Sarbanes-Oxley World, New York/USA: ed. John Wiley & Sons, Inc., COBIT. CobiT 3rd Edition, Control Objectives, July IT Governance Institute. Disponível em: < Acesso em: DEBRECENY, R.S.; Re-engineering IT Internal Controls: Appliying Capability Maturity Models to the Evaluation of IT Controls. In Proceedings of the 39th Hawaii International Conference of System Sciences Disponível em < Acesso em 12 dez FERNANDES, A.; ABREU, V.; Implantando a Governança de TI: da Estratégia dos Processos e Serviços, Rio de Janeiro: Brasport, GALBRAITH, J. K.; O Novo Estado Industrial, Rio de Janeiro: Civilização Brasileira, ITGI. IT Governance Institute - Board Briefing on IT Governance. Disponível em: Acesso em: PETROBRAS.Disponível em: < Acesso em: 13/05/2007. STAIR, R. & REYNOLDS, G.; Sistemas de Informação: Uma Abordagem Gerencial., 4. ed., Rio de Janeiro: LTC, WEILL, P.; ROSS, J. W.; Governança de TI, Tecnologia da Informação. São Paulo: Makron Books,