DOCUMENTO PROTEGIDO PELA LEI DE DIREITO AUTORAL

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE Principais iniciativas e tecnologias de BPM utilizadas na Gestão Estratégica Corporativa DOCUMENTO PROTEGIDO PELA LEI DE DIREITO AUTORAL Por: Flávio Teixeira Xavier Orientador Prof. Mário Luiz Trindade Rocha Rio de Janeiro 2009

2 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE Principais iniciativas e tecnologias de BPM utilizadas na Gestão Estratégica Corporativa Apresentação de monografia ao Instituto A Vez do Mestre Universidade Candido Mendes como requisito parcial para obtenção do grau de especialista em Gestão Estratégica e Qualidade. Por:. Flávio Teixeira Xavier

3 AGRADECIMENTOS À minha esposa e a meus filhos pela paciência e compreensão no compartilhamento do meu tempo e aos professores e orientadores do Instituto A Vez do Mestre que forneceram valiosas contribuições para a produção deste trabalho.

4 DEDICATÓRIA Dedico este estudo aos meus pais que proporcionaram a minha formação educacional e todos os valores que trago comigo e aos meus filhos que são os principais motivadores de grande parte de minhas ações.

5 RESUMO Para que as empresas consigam realizar uma gestão eficiente de suas estratégias e da qualidade de seus produtos e serviços é fundamental um domínio sobre os processos corporativos em seus diversos níveis (estratégico, tático e operacional). O mercado vem chamando a combinação de métodos e de tecnologia para gestão de processos de negócio de BPM (Business Process Management). Entretanto, ainda não se consegue ter uma visão clara do universo que envolve as ações de BPM e as tecnologias a elas associadas. Além disso, existe uma dificuldade em se comprovar que combinação desses aspectos pode produzir resultados práticos e efetivos para as organizações, retornando os investimentos realizados e gerando ganhos reais. Este estudo se propõe a elucidar conceitos relacionados a BPM utilizando como base uma pesquisa realizada com um grupo de empresas nacionais no ano de 2008. Para um melhor entendimento, os tópicos da pesquisa serão reorganizados na seguinte ordem: motivadores das ações, principais iniciativas e tecnologias associadas a BPM.

6 METODOLOGIA O presente estudo se caracteriza por ser uma pesquisa de natureza aplicada, que tem como objetivo elucidar conceitos gerais relacionados a iniciativas e tecnologias de gestão de processos de negócio (BPM Business Process Management), analisando uma das mais importantes pesquisas nacionais sobre o tema que foi realizada no ano de 2008. Essa pesquisa apresenta muitas informações relevantes, porém, não conceitua os termos apresentados em seus tópicos, restringindo a leitura a profissionais especialistas. Consequentemente, essa forma de apresentação torna complexa a análise, a reflexão e a tomada de decisão pelos gestores responsáveis por investimentos em ações de BPM. Não se tem uma boa visão de como combinar as reais necessidades das empresas com as possíveis ações de BPM, e nem de como selecionar as funcionalidades oferecidas pelos softwares de BPM que mais atendam tais necessidades. Outro ponto é que, quando já existem grupos internos executando atividades de BPM na empresa, dificilmente se tem indicadores ou métricas que quantifiquem o retorno de cada uma dessas atividades em andamento. Em suma, apesar de ser evidente a necessidade e os benefícios de se controlar os processos corporativos, existe uma grande dificuldade de se definir uma estratégia efetiva para a implementação de projetos de BPM. Diante esse cenário, a metodologia adotada por este estudo será a análise e conceituação dos itens que compõem os tópicos da pesquisa citada, além da reorganização desses tópicos com o intuito de proporcionar uma melhor sequência lógica de entendimento. A delimitação de assuntos abordados por este estudo será o universo de informações que envolve os tópicos da pesquisa. Sendo assim, serão abordados conceitos básicos, motivadores de ações e principais iniciativas de BPM, além das tecnologias presentes nos softwares de BPM (BPMS). O delineamento da pesquisa foi realizado seguindo as fases de levantamento de fontes de informação, coleta de dados, seleção de conteúdo e leitura

7 minuciosa dos textos selecionados. O método de seleção de conteúdos utilizado foi a leitura exploratória de fontes de informação específicas atuais, sendo a maioria produzida a partir do ano de 2008. Essas fontes de informação podem ser classificadas como: Enciclopédias digitais (wikipedia). Sites de empresas de consultoria (Elo Group, Processmind, etc.). Principais sites de instituições ligadas ao assunto (ABPMP, OMG, etc.). Revistas e artigos digitais de profissionais diretamente ligados ao assunto (IProcess, Portal BPM). Também foram utilizadas bibliografias pertinentes, apesar de haver apenas uma publicação nacional sobre BPMS e uma sobre BPM.

8 SUMÁRIO INTRODUÇÃO 9 CAPÍTULO I - Conceitos básicos de BPM 13 CAPÍTULO II - Motivadores das Ações de BPM 18 CAPÍTULO III Principais Iniciativas de BPM 30 CAPÍTULO IV Tecnologias associadas a BPM 39 CAPÍTULO V Perfil dos Participantes da Pesquisa 50 CONCLUSÃO 55 ANEXOS 58 BIBLIOGRAFIA 59 ÍNDICE 62

9 INTRODUÇÃO Com o objetivo de se manterem competitivas e, algumas vezes, até para conseguirem sobreviver num mercado cada vez mais globalizado, as empresas partem numa busca incansável pela eficiência na Gestão Empresarial. Essa eficiência, comumente, se resume no aumento da produtividade, na melhoria da qualidade de seus produtos e serviços e na redução de custos de uma forma geral. Paralelamente, o ambiente externo empresarial impõe mudanças constantes nas companhias, tais como a adaptação à novas metodologias de gestão, melhoria de processos, leis e políticas regulatórias, inovações tecnológicas, dentre outras. Todo esse movimento ocorre num período chamado de "Era do Conhecimento", concebido em meio a uma revolução tecnológica que, nos últimos anos, deu aos chamados "usuários" o poder de gerar, de forma isolada, documentos texto, planilhas eletrônicas, e até bases de dados, causando, segundo Cruz (2008) uma "Desorganização Informacional". Isso acontece graças a possibilidade de produção de conhecimento de forma descentralizada e descontrolada, diluindo a inteligência sobre os processos empresariais de uma forma tão ampla que a reorganização desse conhecimento se tornou um dos maiores desafios atuais. Para suportar o volume gigantesco de informações geradas, a indústria da Tecnologia da Informação, numa velocidade inacreditável, produz soluções que aumentam a capacidade de armazenamento e de processamento dos computadores, e tentam implementar novos recursos em aplicativos que possibilitem o gerenciamento dessas informações. Porém, essas soluções, na maioria das vezes, não resolvem o principal problema de organização do conhecimento corporativo. Na busca de soluções que implementem, de forma eficiente, a gestão de todo conhecimento organizacional, as empresas vem investindo cada vez mais em metodologias e em softwares para o gerenciamento de seus processos produtivos e de negócio, combinação que o mercado batizou de

10 BPM (Business Process Management) ou Gestão de Processos de Negócio. Porém, em muitos casos, esses projetos de BPM se restringem a desenhar processos corporativos (levantamento e mapeamento) e, em seguida, disponibilizar esse mapeamento para as várias áreas e colaboradores, visando o registro, a comunicação, o entendimento e a correta execução dos procedimentos e atividades da companhia. Contudo, depois de algum tempo, observa-se que essas iniciativas quase sempre são abandonadas. Raros são os acessos ao mapeamento criado e dificilmente se realiza algum trabalho de revisão, atualização ou melhoria dos processos. A impressão que se tem é de que o trabalho acaba esquecido e de que todo esforço e investimento nesse tipo de projeto tenha sido em vão. Selecionei o tema BPM para este estudo, pelo fato de ter vivenciado a situação descrita acima na prática. Participei de trabalhos de levantamento, modelagem e disponibilização de processos nas duas empresas em que trabalhei anteriormente e esses trabalhos acabaram abandonados. Consequentemente, o objetivo que seria o acesso aos modelos dos processos para a correta execução das atividades não foi alcançado. Por outro lado, na empresa em que trabalho atualmente, estou envolvido com o mapeamento e a "automação" de processos corporativos utilizando um software para gestão de processos de negócio (um BPMS - Business Process Management System). Como faço parte de uma área de Controles Internos, estou envolvido, constantemente, com a modelagem de processos, definição de pontos de controle e avaliação da conformidade, ou, em outras palavras, com a inspeção da correta execução de diversos processos de forma condizente com as normas e procedimentos corporativos definidos. Nessa área de Controles Internos, temos que acompanhar e participar de muitos processos de forma "manual", realizando aprovações, análises e liberações através de e-mails (trocados em diversos níveis) e operações manuais em sistemas de informação. Além disso, temos que inserir e manipular dados em planilhas eletrônicas para geração de relatórios gerenciais estatísticos. Portanto, a proposta oferecida pelo BPMS que estamos utilizando, de se implementar a modelagem (desenho), a automação (criação automática

11 de aplicação web para execução) e o monitoramento de indicadores desses processos, é vista como de grande valor para a empresa. Este estudo iniciará detalhando, no Capítulo I, conceitos básicos necessários ao pleno entendimento dos demais capítulos, como: Processo BPM BPMN (Business Process Modeling Notation) BPMS (Business Process Management Suite ou System). Para exemplificar o cenário corporativo descrito anteriormente e proporcionar uma sequência lógica adequada, o Capítulo II apresentará práticas atuais do mercado global que podem ser consideradas como motivadores de ações de BPM, apesar de serem tratadas pela pesquisa como iniciativas secundárias de BPM. Essas práticas são: Six Sigma Governança Corporativa Gestão de Riscos Controles Internos Estruturas de Processos para Gestão de Tecnologia da Informação (Cobit e ITIL). Também será resumida uma das principais leis de regulação de mercado, a Sarbanes-Oxley, cujas recomendações têm sido adotadas mundialmente. Todas essas práticas vêm reforçando a necessidade de se ter domínio sobre a documentação, a comunicação e o monitoramento de seus processos, e, consequentemente, fomentando a adoção do BPM. Visando a implementação de melhores práticas e processos, como os descritos acima, consultorias especializadas vêm, recentemente, oferecendo serviços de BPM, que serão explorados no Capítulo III, tais como: Mapeamento e Modelagem de Processos Melhoria do Processo Conformidade de Processos Gestão de Mudanças e de Projetos de BPM Projetos de Sistemas de Informação Orientados a Processos

12 Capacitação e Treinamento em Processos e Gestão de Processos Alinhamento estratégico Essas mesmas consultorias e representantes de fabricantes de software vêm implantando funcionalidades de sistemas de BPM, chamados de BPMS, que possibilitam a implementação dos serviços descritos acima, além de proporcionar uma maior eficiência no alcance dos objetivos dos projetos de BPM. Essas funcionalidades estão relacionadas abaixo e serão exploradas no Capítulo IV: Workflow e Automação de Processos Business Intelligence GED - Gerenciamento Eletrônico de Documentos SOA - Service Orienthed Architecture (Arquitetura Orientada a Serviços) BAM - Business Activity Monitoring (Monitoramento de Atividade de Negócio) Simulação de Processos BRM - Business Rules Management (Gestão de Regras de Negócio) Finalmente, no Capítulo V, veremos o perfil das organizações e dos profissionais que participaram da pesquisa por diversas óticas, como: Natureza das empresas (pública ou privada) Segmento de Mercado das empresas (manufatura, energia, serviços, tecnologia, etc.) Perfil dos participantes (executivo, gerente, analista, etc.) Nível hierárquico do grupo de BPM (gerência, coordenação, núcleo ou assessoria) Área a qual o grupo de BPM está subordinado (diretoria, qualidade, tecnologia da informação, etc.)

13 CAPÍTULO I CONCEITOS BÁSICOS DE BPM Nesse primeiro capítulo serão detalhados alguns conceitos iniciais relacionados a BPM, com o objetivo de tornar possível o entendimento dos demais capítulos. Apesar de alguns desses conceitos serem básicos, como o item 1.1 (processo), as definições que se seguem são apresentadas dentro do contexto da Gestão de Processos de Negócio ou BPM. 1.1 - Processo Processo é qualquer atividade ou conjunto de atividades, realizadas numa sequência determinada, que recebe uma entrada, adiciona valor a ela e fornece uma saída a um cliente específico. Entradas e saídas não são necessariamente materiais, podendo ser um produto, um serviço ou uma informação, por exemplo. Processo de negócio pode ser definido como o trabalho organizado que envolve pessoas, recursos da organização, sistemas, e que segue um conjunto de procedimentos com interações dinâmicas, para que possa se atingir um objetivo previamente traçado, gerando um resultado consistente e previsível que vai ao encontro dos desejos dos clientes (internos ou externos a empresa). Os processos são de suma importância, pois é através deles que as empresas exercem suas funções. Todo trabalho realizado numa empresa faz parte de algum processo. Muitas empresas não dão a importância devida a esses processos, o que caracteriza um grande erro, uma vez que eles são cruciais à sua sobrevivência.

14 Para enxergar e identificar processos das empresas é preciso uma análise que verifique quais são os processos essenciais (relacionado ao foco da empresa), e quais são os processos auxiliares, verificando como a empresa realiza sua função desde o primeiro contato com o cliente até a entrega e avaliação do produto/serviço. 1.2 - BPM Business Process Management (Gestão de Processos de Negócio) é uma metodologia de gestão de processos, que pode ser auxiliada por ferramentas tecnológicas. Tem como objetivo prover o alinhamento dos processos de negócios com a estratégia, os objetivos e a cadeia de valor das organizações. Em síntese, o BPM é um conceito que une gestão de negócio e tecnologia da informação voltado à melhoria dos processos de negócio das organizações através do uso de métodos, técnicas e ferramentas para modelar, publicar, executar, controlar e analisar processos organizacionais envolvendo humanos, aplicações, documentos e outras fontes de informação. O BPM ajuda as empresas a identificarem a importância estratégica de seus processos e a tirarem vantagens competitivas disso. Serve também para proporcionar ao gestor uma maior facilidade de encontrar oportunidades de melhoria para o serviço prestado ao cliente, através de indicadores de resultados. Além disso, pode gerar melhorias em termos de rapidez em que o processo é realizado, eficácia, qualidade e custo. Pode ser utilizado em vários departamentos de empresas de diversos setores, pois a metodologia do BPM permite que, através de uma execução e de controles mais eficazes, processos possam ser melhorados em qualquer área. No gerenciamento de processos é importante que se tenha uma visão ampla do que está sendo produzido (seja bens ou serviços), evitando restringir-

15 se a um único ponto ou atividade. Deve ser avaliada a sinergia entre as atividades para um melhor resultado final. Outras definições de BPM: "BPM é o atingimento dos objetivos de uma organização através do aperfeiçoamento, gestão e controle dos processos essenciais do negócio" (Jeston, 2006). "BPM pode ser definido como uma disciplina de gerência focada na melhora do desempenho corporativo através da gestão dos processos de negócio da empresa" (Harmon, 2005). 1.3 - BPMN Business Process Modeling Notation (Notação para Modelagem de Processos de Negócio) é uma notação visual padrão para representação de fluxos de processos de negócios. Na prática trata-se de um conjunto de regras e convenções que determinam como os fluxos devem ser desenhados. É a notação mais reconhecida no ramo de BPM atualmente. O BPMN serve para facilitar o entendimento de fluxogramas entre as pessoas. Existem inúmeras maneiras e lógicas de se desenhar um fluxograma. Para que o entendimento seja mais rápido e fácil, é extremamente importante que se siga um padrão e convenções. A especificação BPMN é completa o suficiente para permitir a representação de fluxos de processo pelas áreas de negócio, com detalhamento bem próximo das complexidades de um ambiente real. Além disso, possui elementos que facilitam a posterior automação do processo, caso se considere como necessária. Vide figura exemplo no anexo 1.

16 1.4 - BPMS O BPMS (Business Process Management Suite ou System) é um sistema (software) responsável pela automação da gestão de processos de negócio (BPM). Tipicamente, inclui o mapeamento dos processos de negócio ponta-aponta, desenho dos fluxos e formulários eletrônicos, definição de workflow, regras de negócio, integradores de sistemas, monitoramento em tempo real das atividades e alertas. É uma poderosa ferramenta de gestão, utilizada para garantir que os processos estão sendo efetivamente executados como modelados, contribuindo para os objetivos da organização. O BPMS é um dos principais facilitadores da gestão e disseminação do conhecimento referente aos processos por seus participantes, possibilitando a realização de processos com rapidez e com um rígido controle. Muitas vezes, fornece relatórios customizados de acordo com a necessidade da empresa, permitindo uma maior facilidade para obtenção, distribuição e análise dos dados e gerando informações importantíssimas para a busca de melhores resultados. (PEREIRA, 2009). A solução BPMS não emprega o conceito de substituição de sistemas, onde sistemas existentes na organização (legados) são substituídos por um novo sistema integrado, como um ERP, por exemplo. Em vez disso, a solução BPMS, considerando a característica do processo de negócio de ser distribuído e segmentado, disponibiliza um ambiente de integração de sistemas de informação, que permite definir: fluxo de execução, regras, eventos e demais especificações necessárias à operação e gerenciamento do processo de negócio. Dessa forma, permite atender a outra característica do processo de negócio: a de ser extremamente dinâmico, permitindo, por exemplo, uma substituição rápida e simples de um software por outro, necessária, por exemplo, quando uma empresa parceira da organização é substituída, demandando a integração com um novo software disponível no ambiente computacional do novo parceiro. Esta tecnologia permite analisar, desenvolver,

17 implementar e rever processos de negócio garantindo o respeito a normas e procedimentos.

18 CAPÍTULO II MOTIVADORES DAS AÇÕES DE BPM Este estudo tem como objetivo esclarecer alguns conceitos relacionados à BPM e, para isso, utilizará como base a 2ª Pesquisa sobre Iniciativas em BPM (ELO GROUP, 2008). Essa pesquisa foi realizada entre os dias 27 a 29 de janeiro de 2009 durante o evento "Gestão por Processos", promovido pelo IQPC (International Quality and Productivity Center). Seu objetivo foi o de demonstrar, analisando casos práticos, como a gestão por processos vem sendo tratada pelas organizações no país, que ações vêm sendo priorizadas, quais os resultados percebidos e que lições foram aprendidas. Na visão dos autores, o tema BPM está amadurecendo como disciplina de gestão e não apenas tecnologia. Por isso, o foco da pesquisa está em como a prática está sendo internalizada nas empresas e qual o grau de maturidade das iniciativas executadas. Para que consigam sobreviver e se manter competitivas no mundo corporativo atual, as empresas precisam definir metas que, quase sempre, podem ser resumidas na busca de eficiência, no aumento da produtividade, na melhoria da qualidade de seus produtos e serviços e na redução de custos de uma forma geral. Paralelamente, as empresas, independente do setor em que atuem ou de seu porte, se encontram expostas a um ambiente externo que tem suas fronteiras constantemente ampliadas, muitas vezes alcançando uma escala global. Essa exposição impõe mudanças frequentes que ocorrem devido a necessidade de adaptação a leis e políticas regulatórias de mercado, inovações tecnológicas, novas metodologias de gestão, melhoria de processos, dentre outras. Tais mudanças acabam por exigir a realização de ações internas que estão diretamente ligadas a BPM, tais como, a implantação de modelos de gestão da qualidade, controles internos, gestão de riscos,

19 auditorias, modelos de referência (boas práticas) de mercado, que podem ser consideradas motivadores de iniciativas de BPM. Para um melhor entendimento, este capítulo iniciará o detalhamento de conceitos de BPM relacionados aos itens que compõem o primeiro gráfico, apresentado abaixo. Na pesquisa, anteriormente citada, o tópico a seguir é chamado de "Iniciativas Interligadas de BPM" (ELO GROUP, 2008). Apesar de terem sido intitulados dessa forma, os itens desse tópico podem ser considerados como motivadores de ações de BPM, já que incentivam as empresas a buscar conhecimento, consultoria e softwares para, efetivamente, implementar ações de BPM. Os gráficos que serão apresentados neste estudo procuraram avaliar o grau de maturidade dos assuntos relacionados a BPM (motivadores, iniciativas e tecnologias) em execução pelas organizações. Em cada um dos casos, a maturidade de cada tópico foi avaliada de acordo com a seguinte escala: Nível 1: Iniciativa inexistente ou com apenas discussões iniciais; Nível 2: Iniciativa em implantação ou recém implantada; Nível 3: Iniciativa implantada e disseminada na organização; Nível 4: Iniciativa implantada, disseminada na organização e plenamente integrada às demais iniciativas de BPM. O gráfico 1 apresenta a distribuição dos resultados da pesquisa relativos ao estágio de implantação dos motivadores de ações de BPM.

20 O gráfico 2 apresenta a distribuição dos resultados relativos ao grau de maturidade médio dos motivadores de ações de BPM. Como podemos observar, os motivadores que apresentam um maior destaque são as de auditoria de processos (média 2,04), gestão de riscos e controles internos para processos (média 2,0) e gestão de projetos de melhoria com PMO - Project Management Office (média 2,0).

21 Em seguida detalharemos, conceitualmente, alguns desses itens para um melhor entendimento do universo apresentado nos gráficos. 2.1 - Six Sigma Six Sigma (Seis Sigma) pode ser definido como uma estratégia gerencial que visa proporcionar melhorias nos processos, e, consequentemente, nos produtos, serviços e na satisfação dos clientes da empresa. É composto por um conjunto de práticas, originalmente desenvolvidas pela Motorola, que objetivam melhorar sistematicamente os processos ao eliminar defeitos. Um defeito pode ser definido como a não conformidade de um produto ou serviço com suas especificações. A prioridade do Six Sigma é a obtenção de resultados de forma planejada e clara, não só de qualidade, mas principalmente financeiros, diferentemente de outras formas de gerenciamento de processos administrativos ou produtivos. Na prática, é uma poderosa metodologia que propicia a melhoria do desempenho através da eliminação das causas de defeitos e do desperdício nos processos produtivos, de manufatura ou administrativos. Para que possam se manter competitivas, cada vez mais empresas buscam o desenvolvimento de uma abordagem organizada que permita a aplicação das ferramentas e conceitos do Six Sigma em suas atividades. Podemos exemplificar o segundo item da pesquisa "Adoção de Modelo de Referência" conceituando dois modelos de processos que vêm sendo adotados frequentemente pelas áreas de tecnologia da informação de grandes empresas do mercado nacional. 2.2 - Cobit

22 Cobit - Control Objectives for Information and related Technology (Objetivos de Controle para a Informação e a Tecnologia Relacionada) é um guia (normalmente definido como um "framework") dirigido para o gerenciamento da área de tecnologia de informação (TI). Recomendado pelo ISACA (Information Systems Audit and Control Association), o Cobit possui uma série de processos e recursos que podem servir como um modelo de referência para gestão da TI, incluindo, principalmente, um guia com técnicas de gerenciamento, um sumário executivo, mapas de auditoria, além de ferramentas para a sua implementação e controle de objetivos. Especialistas em gestão e institutos independentes recomendam o uso do CobiT como meio para otimizar os investimentos de TI, melhorando o ROI (retorno sobre o investimento) percebido e fornecendo métricas para avaliação e acompanhamento dos resultados (KPIs, KGIs e CSFs). O CobiT independe do tipo de negócio, da participação e do valor que a tecnologia da informação tem na cadeia produtiva da empresa, bem como independe das plataformas de TI adotadas. 2.3 - ITIL ITIL - Information Technology Infrastructure Library (Biblioteca de Infraestrutura de TI) é uma biblioteca de diretrizes (melhores práticas) dos serviços de tecnologia da informação (TI), desenvolvida para o governo britânico no final dos anos 80 pela CCTA (Central Computer and Telecommunications Agency) e atualmente sob custódia da OGC (Office for Government Commerce) da Inglaterra. A ITIL descreve uma arquitetura para estabelecer e operar o gerenciamento dos serviços de TI. Busca promover a gestão com foco no cliente e na qualidade dos serviços prestados pela área de tecnologia da informação (TI). A ITIL endereça estruturas de processos apresentando um conjunto abrangente de procedimentos, organizados em disciplinas, com os quais uma organização pode fazer sua gestão tática e operacional em vista de alcançar o alinhamento estratégico com os negócios. Contém documentação

23 especializada, pública e acessível, para o planejamento, provisão e suporte dos serviços de TI. A ITIL fornece as bases para a melhoria do uso, da eficiência e da eficácia da infra-estrutura de TI. Descreve uma abordagem sistemática e integrada, enfatizando a importância de satisfazer os requisitos da empresa de modo econômico, porém, em muitas empresas é necessária uma mudança cultural para atingir esses benefícios. Adicionalmente, a ITIL também contribui para que seja criado um conjunto de terminologias que poderá padronizar a comunicação entre os envolvidos com as áreas de TI. Para que se possa ter um melhor entendimento e um encadeamento lógico sobre os itens "gestão de riscos" e "controles internos", serão apresentados conceitos sobre "Governança Corporativa" e a "Lei Sarbanes- Oxley", assuntos diretamente relacionados e fomentadores dos itens citados. 2.4 - Governança Corporativa Governança Corporativa é o conjunto de leis, políticas, regulamentos, processos, cultura e instituições que regulam a maneira como uma empresa é dirigida, administrada ou controlada. Inclui também o estudo sobre os objetivos que orientam a empresa combinados com as relações entre os diversos atores envolvidos (chamados "stakeholders"). Os principais atores tipicamente são os acionistas, o conselho de administração e a alta administração (presidência e diretoria). Outros importantes participantes da governança corporativa são os funcionários, clientes, fornecedores, credores, instituições reguladoras (CVM, Banco Central, etc.), o meio-ambiente e a comunidade em geral. De uma forma geral, a Governança Corporativa busca a eficiência econômica da empresa e a maximização do seu valor para os acionistas. Uma das principais preocupações é implementar mecanismos que tentem reduzir ou eliminar os conflitos de interesse garantindo a aderência dos principais envolvidos a códigos de conduta pré-definidos. Outros temas de estudo existentes estão relacionados a preocupação com os outros stakeholders que

24 não os acionistas e a análise de vários modelos de Governança Corporativa existentes ao redor do mundo. O interesse no assunto de Governança Corporativa aumentou a partir de 2001, devido aos famosos colapsos financeiros de grandes corporações norte-americanas como a Enron Corporation e Worldcom. Em 2002, o governo federal norte-americano aprovou a Lei Sarbannes-Oxley, com o propósito de restaurar a confiança do público em geral na Governança Corporativa. 2.5 - Lei Sarbanes-Oxley Após alguns dos mais famosos escândalos financeiros corporativos, como o da Enron (que também afetou drasticamente a empresa de auditoria Arthur Andersen), o governo federal norte-americano redigiu e aprovou a Lei Sarbanes-Oxley. O objetivo da lei seria evitar a fuga dos investidores e o esvaziamento dos investimentos financeiros causados pela aparente insegurança sobre os registros contábeis e a governança adequada das empresas. A lei Sarbanes-Oxley foi assinada pelo senador democrata Paul Sarbanes e pelo deputado republicano Michael Oxley em 30 de julho de 2002. Apelidada de Sarbox ou ainda de SOX, visa garantir a transparência na gestão das empresas, através da criação de mecanismos de auditoria e segurança confiáveis, incluindo regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrerem. Na prática, a SOX é um conjunto de regras muito rígidas, cuja a operacionalização se dá por meio de alguns elementos organizacionais e tecnológicos, entre eles o Record Management (RM) ou Gerenciamento de Registros de transações, que envolve a documentação de processos de negócio de empresas de capital aberto, ou seja, que tenham ações negociadas em bolsa.

25 Atualmente, grandes empresas com operações financeiras no exterior seguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresas brasileiras que mantém ADRs (American Depositary Receipts) negociadas na NYSE, como a Petrobras, TAM Linhas Aéreas, Brasil Telecom, Companhia Brasileira de Distribuição (Grupo Pão de Açúcar) e Banco Itaú. A parte mais importante da SOX é a seção 404. Essa seção determina uma avaliação anual dos controles e procedimentos internos que são executados na emissão dos relatórios financeiros. Além disso, o auditor independente da empresa deve emitir um relatório que ateste a asserção da administração sobre a eficácia desses controles procedimentos e internos. Alguns dos requisitos da lei são (WIKIPEDIA, 2009): Armazenar os desenhos de processo; Controlar a criação, edição e versionamento de todos os documentos relativos à seção 404 em um ambiente de acordo com os padrões ISO; Publicar em múltipos websites os conteúdos da seção 404; Cadastrar os riscos associados aos processos de negócios. 2.6 - Gestão de Riscos A definição histórica de risco é "a possibilidade de ocorrência de um evento adverso para uma determinada situação esperada" (KNIGTH, 1921). Os riscos fazem parte do dia a dia das empresas. Assumir e gerenciar riscos é parte do que as empresas precisam fazer para obter lucros e criar valor para seus acionistas. Como a maior parte das atividades empresariais envolve riscos, os gestores devem, constantemente, avaliar, mensurar e administrar os riscos envolvidos em suas decisões. A Gestão de Riscos tem como objetivo identificar potenciais eventos que possam afetar o desempenho da empresa, monitorar esses eventos e assegurar que eles estejam compatíveis com a propensão de se aceitar esses riscos, permitindo prover, com segurança razoável, o cumprimento dos