Controles para a governança de ti

Prévia do material em texto

Aula 4: Controles para a governança de ti
	
Teoria do controle
A figura abaixo mostra um sistema que serve como modelo para explicar o funcionamento de um controle de forma geral. Existe um padrão que é ajustado para o valor desejado como, por exemplo, a temperatura de um ambiente em 22o. Por sua vez, existe um sensor que fica verificando a temperatura real do ambiente. A temperatura desejada e a temperatura real são comparadas através de um dispositivo de comparação e, caso haja diferença significativa além da tolerável, o dispositivo de comparação envia um sinal para que alguma ação seja tomada. Este ciclo se repete até que alguma ação seja tomada de forma que o padrão e o sensor possam apresentar uma diferença insignificante para o dispositivo de comparação.       
Este conceito pode ser levado para o entendimento da lógica de funcionamento dos controles dentro de uma empresa. Os administradores estabelecem padrões e ficam acompanhando as variações que ocorrem no dia-a-dia da organização, normalmente através de indicadores. Quando algum desses indicadores sai do padrão, a administração toma providências para que a organização volte para o controle.  
Controle na organização
Os controles ocorrem em todos os níveis da organização. A figura mostra algumas ferramentas de controle administrativo que são úteis para os administradores controlarem a empresa.  
Falhas no controle
A falha de controle ou sua falta pode gerar um impacto capaz de falir a empresa. Lucas Jr. (2006) cita o exemplo de uma indústria de computadores mal controlada. Tudo foi bem enquanto existiu demanda para o único produto que a empresa vendia. Nesse período, tanto a falta de orçamento quanto a ausência de controle sobre os gastos eram mascaradas. Bastou que a demanda caísse para essa falta de controle falir com a organização. 
O período entre 2001 e 2003 ficou marcado pelos escândaloscorporativos nos Estados Unidos e na Europa, quando grandes organizações como Enron, Worldcom e Tyco foram à falência porque não suportaram a manipulação dos seus resultados contábeis. Casos como esses fortaleceram a governança corporativa, preocuparam os
governos e culminaram com a Lei Sarbanes-Oxley (SOX), sancionada pelo presidente dos Estados 
Unidos da América George W. Bush, em julho de 2002. No Brasil podemos citar o caso recente do Banco PanAmericano ocorrido em 2010, quando inconsistências contábeis, segundo a imprensa, quase levaram o banco à intervenção do Banco Central.
Alguns comentaristas de negócios associam o sistema de gratificação para os administradores seniores como responsável por gerar essas falhas nos controles. Para serem beneficiados ,eles utilizam mecanismos para maquiar os resultados e exagerar no desempenho da empresa. Se o preço da ação sobe,seus bônus aumentam significativamente. Nessas condições, novos controles devem ser implementados para proteger os investidores. 
Informação e Controle
Os sistemas de informação automatizados vieram contribuir bastante para o aumento de controle. Por exemplo, um sistema de orçamento permite acompanhar cotações em tempo real, integrar com outros sistemas através de webservices, enfatizar produtos diferentes, alterar cronogramas de produção, facilitar na redução de despesas e auxiliar os administradores a identificar distorções e tomar providências.
Apesar de toda essa facilidade, os sistemas de informação acabam também criando problemas de controle, principalmente quando se trata de sistemas maiores. Isto porque, nesses casos, dificilmente existe alguém com domínio do todo e também porque o gerente responsável pelos processos que o sistema suporta não necessariamente detém suficiência em tecnologia e em técnicas de auditoria que o habilite verificar se a utilização do sistema está sob controle. Assim, torna-se necessária a criação de novos controles como, por exemplo, a segregação de uso através da criação de perfis.  
Controle do desenvolvimento de sistemas
Uma das perguntas reincidentes dentro de uma área de tecnologia da informação é:
Desenvolver o software ou comprar a solução pronta ?
As duas opções podem ser válidas, dependendo da necessidade e das condições disponíveis. Existem vantagens e desvantagens em cada uma das opções. A compra de um pacote, por exemplo, pode encurtar o tempo de implantação porque o código já está pronto, testado e funcionando em outras empresas. Isto reduz as incertezas. Outro motivo é a dispensa de equipe especializada que teria que acompanhar as leis para manter o sistema. E o que dizer das solicitações de melhorias que não estavam previstas no escopo inicial? Por outro lado, normalmente a empresa que adquire um pacote tem que modificar o seu processo operacional para se adaptar ao do pacote e isto pode trazer algum transtorno, chegando inclusive a reduzir o seu diferencial competitivo. Adaptar-se a um novo processo de folha de pagamento não costuma influenciar o negócio da empresa. Já um novo processo de vendas pode ser grave a ponto de desarticular a estratégia da organização. Como se vê, não é fácil decidir.
Independente da escolha entre desenvolver ou comprar pronto, ainda é bastante comum encontrar projetos com orçamentos estourados, prazos vencidos e escopos não cumpridos. As razões disto costumam ser principalmente a falta de planejamento associada à falta de controle. Em função desses acontecimentos, a preocupação com a administração de projetos vem ganhando força nos últimos anos e exigindo gerentes de projetos cada vez melhor preparados. Associações como o Project Management Institute (PMI) vêm se destacando na formação e certificação de gerente de projetos (PMP), contribuindo com mais uma especialização para a área de TI e ajudando a fortalecer os seus controles.     
Controle de Operações
Outro ponto de atenção é a operação dos sistemas. A falta de controle pode gerar prejuízos incalculáveis. Um caso memorável foi o bug do milênio, quando se aproximou o ano 2000 e ninguém sabia como os computadores iriam se comportar a partir de 01/01/2000. Isto porque na época existiam muitos sistemas antigos que, para economizar espaço (o custo de armazenamento de informação era muito caro), guardavam apenas as duas posições finais do ano. Quando havia necessidade de utilizar as quatro posições, bastava concatenar com 19.  Assim, em vez de 1980 gravava-se 80 e o ano de 1999 ficava armazenado como 99. A lógica era bastante simples e toda vez que chegava o final do ano se adicionava 1 ao ano corrente para se obter o ano seguinte. Ou seja, para passar de 98 para 99 bastava adicionar 1 ao ano corrente. Tudo funcionaria corretamente até que chegasse o ano 2000. Isto porque se nada fosse feito nos programas, ao se somar 1 a 99 iria obter 00. E, na sequência da lógica antiga, ao se concatenar com 19 o ano passaria a ser 1900. Ou seja, passaria de 1999 para 1900.
Dá para imaginar todos os desdobramentos que poderiam ocorrer por erro de conta se nada fosse feito. Como se comportariam os aviões e as torres de controle? E o que dizer dos sinais de trânsito? Como ficariam os rendimentos financeiros?  E as bombas de abastecimento de combustível?  Felizmente o mundo se mobilizou e com muito trabalho o bug do milênio não passou de um susto. 
 	Hoje existem muitas preocupações de controle sobre o ambiente de tecnologia de informação. Políticas antivírus, monitoramento para evitar a invasão da rede e a segmentação de acesso são apenas alguns exemplos. Além disso, a Lei SOX também acabou ajudando as empresas a controlar melhor os seus processos.
A figura 3 ilustra um sistema cliente-servidor com conexões espalhadas para fora da organização e com oito áreas de possíveis vulnerabilidades, conforme apresentadas por Lucas Jr. (2006).
Comércio Eletrônico e Controle
O comércio eletrônico na Internet endereça naturalmente ao uso de cartões de crédito. Durante uma transação de compra o cliente tem que informar o número do seu cartão e esse número pode ser interceptado e utilizado por pessoasdesautorizadas. A utilização de criptografia permitindo que os dados não trafeguem em claro aumenta a proteção do número do cartão e dá maior credibilidade às transações efetuadas na Internet.
Segurança 
O advento da Internet criou um mundo de novas oportunidades de interação. Tanto empresas da era industrial como da era informacional se estabeleceram nesse canal de comunicação, normalmente através de um website, buscando novos negócios. Com a possibilidade desse novo canal as empresas passaram a trocar informações com outras empresas ou com pessoas físicas, muitas vezes confidenciais e de interesse de terceiros. Assim, não tardou aparecerem os programas maliciosos que normalmente se ocupam em monitorar uma rede e interceptar informações para serem utilizadas posteriormente e permitir o domínio dessa rede ou usufruir de dados confidenciais como contas bancárias e cartões de crédito. Isto fez com que fossem desenvolvidas novas técnicas de proteção, aperfeiçoassem o uso da criptografia e surgissem novas empresas especializadas em segurança da informação.
Fez também com que as empresas de segurança da informação que já existiam procurassem se especializar neste novo mundo. Hoje, programas antivírus, programas de monitoração de ambiente, roteadores e firewalls são utilizados para proteger perímetros pré-estabelecidos, onde se configuram regras para permitir apenas os acessos autorizados e o controle sobre o uso de programas. Além disso, existe um serviço prestado pelas empresas especializadas que gera um relatório de vulnerabilidades envolvendo a rede, os servidores e as estações de trabalho, permitindo que a empresa analisada possa tratar esses pontos vulneráveis e ficar cada vez mais protegida.
Auditando Sistemas de Informação
Uma das maiores preocupações nas empresas é saber se as transações que de alguma maneira possam vir a afetar as informações financeiras estão sob controle e sendo executadas corretamente. Assim, sendo por necessidade legal ou por iniciativa própria, as empresas costumam realizar auditorias. O auditor examina o processo como um todo, faz entrevistas, analisa bancos de dados e emite parecer sobre o cenário avaliado. Dentre outros pontos, é comum o auditor verificar se: as informações estão corretas e disponíveis a contento; se as informações estão protegidas contra fraudes; se existe trilha de auditoria para se verificar os acessos de uma determinada transação; se o acesso às informações está segregado por perfis; se as instalações e os equipamentos estão protegidos; e, se existe um plano para situações emergenciais que permita a continuidade do negócio. Empresas maiores costumam ter áreas de auditoria para manter os sistemas sempre sob controle.