Definição Constitutiva e Operacional das Variáveis

Kerlinger (1980) observa que o estudo de fenômenos e relações entre fenômenos não é possível sem a definição e o uso de diversas variáveis ou constructos, como são denominados nas ciências sociais ou comportamentais.

Assim, a “criação” de variáveis pelo pesquisador e a definição de como medir ou manipulá-las é uma etapa obrigatória no processo científico, uma vez que dão significado aos símbolos usados e esclarecem a escolha operacional adotada. Segundo Kerlinger (1980, p.46),

“é como um manual de instruções para o pesquisador.”

Faz-se, a seguir, a definição constitutiva (D.C.) e a definição operacional (D.O.) dos constructos que foram utilizados nesta pesquisa: risco operacional; processos de governança de TI e de controle selecionados para o estudo; maturidade; e alta confiabilidade.

Apesar da pesquisa ser predominantemente qualitativa, a definição constitutiva e operacional de variáveis facilita a compreensão e homogeneíza os conceitos. A pesquisa é exploratório-descritiva e busca entender a relação entre os processos de TI selecionados e a mitigação de riscos operacionais. A revisão da literatura permitiu a seleção de tais processos para o estudo, sem, no entanto, descrevê-los. A seguir, são apresentadas as suas definições constitutivas, as quais auxiliaram a confecção dos instrumentos de pesquisa citados nas definições operacionais dos processos de TI e de controle selecionados.

Risco Operacional

D.C.: Possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. (BIS, 2004, p.137; BACEN, 2006, p.1).

D.O.: Os riscos operacionais foram explorados por meio de entrevistas focadas, em que se buscou compreender o processo de negócio (Anexo B) e riscos relacionados ao uso de TI (Anexo C).

Maturidade para Mitigação

D.C.: Maturidade refere-se à medida da intensidade do desenvolvimento da capacitação em um processo, isto é, quão bem o processo funciona (ITGI, 2007b). Mitigar significa reduzir para um nível aceitável as conseqüências ou probabilidade de um evento de risco adverso (PMBOK, 2000). Assim, a maturidade para mitigação de riscos, no contexto deste estudo, está relacionada ao desenvolvimento sucessivo de capacitações em processos de governança de TI para tornar mínimo o impacto de um evento de risco operacional.

D.O.: A maturidade dos processos de governança de TI e sua aplicabilidade são analisadas por meio de um simulador de maturidade e de perguntas abertas elaborados em um questionário eletrônico (Anexo F), e, ainda, por meio de entrevistas espontâneas focadas (Anexo D). Os modelos de maturidade que serviram de base para esta operacionalização são descritos no Anexo A.

Processos de TI: Avaliação e Gestão de Riscos de TI

D.C.: Processo de governança de TI que visa: a criação e manutenção de uma estrutura para gerenciamento de riscos; a documentação de níveis toleráveis de riscos de TI; a criação de estratégias de mitigação e riscos residuais aceitáveis; a identificação, análise e avaliação de impactos nos objetivos da organização por eventos não planejados; a divulgação e entendimento da avaliação de riscos pelos stakeholders, para permitir-lhes o alinhamento de riscos toleráveis, inclusive em termos financeiros (ITGI, 2007b).

D.O.: A contribuição do processo “Avaliação e Gestão de Riscos de TI” para a mitigação de riscos operacionais foi investigada por meio de questionário eletrônico, com escala intervalar do tipo Likert de 5 pontos (Anexo F). Para cada um dos riscos operacionais identificados, os respondentes informaram a importância deste processo de TI para a sua mitigação.

Processo de TI: Gestão de Projetos

D.C.: Processo de governança de TI que tem como objetivo: estabelecer uma estrutura para gestão de programas e projetos de TI; priorizar e coordenar os projetos; elaborar plano gerencial, de designação de recursos, aprovação de usuários, de planejamento de testes, de revisões pós-implantação para assegurar a gestão de riscos de projeto e entrega de valor para o negócio (ITGI, 2007b).

D.O.: A contribuição do processo “Gestão de Projetos” para a mitigação de riscos operacionais foi investigada por meio de questionário eletrônico, com escala intervalar do tipo Likert de 5 pontos (Anexo F). Para cada um dos riscos operacionais identificados, os respondentes informaram a importância deste processo de TI para a sua mitigação.

Processo de TI: Gestão de Recursos Humanos de TI

D.C.: Processo de governança de TI que tem como finalidade: identificar os requisitos de dados; estabelecer procedimentos para gestão de catálogos de dados, backup e recuperação de dados, e meios de armazenamento; garantir a qualidade, tempestividade e disponibilidade de dados (ITGI, 2007b).

D.O.: A contribuição do processo “Gestão de Recursos Humanos de TI” para a mitigação de riscos operacionais foi investigada por meio de questionário eletrônico, com escala intervalar do tipo Likert de 5 pontos (Anexo F). Para cada um dos riscos operacionais identificados, os respondentes informaram a importância deste processo de TI para a sua mitigação.

Processo de TI: Continuidade de Serviço

D.C.: Processo de governança de TI que tem por finalidade: criar, manter e testar planos de continuidade de serviço; utilizar backup para armazenamento de informações fora das instalações principais da organização; realizar treinamentos para a continuidade do negócio; assegurar a eficácia do processo de continuidade de serviço para minimizar a probabilidade de interrupção de serviços principais de TI para as áreas-chave de negócio (ITGI, 2007b).

D.O.: A contribuição do processo “Continuidade de Serviço” para a mitigação de riscos operacionais foi investigada por meio de questionário eletrônico, com escala intervalar do tipo Likert de 5 pontos (Anexo F). Para cada um dos riscos operacionais identificados, os respondentes informaram a importância deste processo de TI para a sua mitigação.

Processo de TI: Segurança de Sistemas de TI

D.C.: Processo de governança de TI que visa: gerenciar a segurança de sistemas;

estabelecer papéis e responsabilidades para a segurança de TI, assim como políticas, padrões e procedimentos para a segurança; monitorar e testar periodicamente a segurança de sistemas;

realizar ações corretivas para incidentes ou ameaças de segurança identificadas (ITGI, 2007b).

D.O.: A contribuição do processo “Segurança de Sistemas de TI” para a mitigação de riscos operacionais foi investigada por meio de questionário eletrônico, com escala intervalar do tipo Likert de 5 pontos (Anexo F). Para cada um dos riscos operacionais identificados, os respondentes informaram a importância deste processo de TI para a sua mitigação.

Processo de TI: Gestão de Dados

D.C.: Processo de governança de TI que visa: identificar os requisitos de dados;

estabelecer procedimentos para gestão de catálogos de dados, backup, recuperação de dados, e meios de armazenamento; garantir a qualidade, tempestividade e disponibilidade de dados.

(ITGI, 2007b).

D.O.: A contribuição do processo “Gestão de Dados” para a mitigação de riscos operacionais foi investigada por meio de questionário eletrônico, com escala intervalar do tipo Likert de 5 pontos (Anexo F). Para cada um dos riscos operacionais identificados, os respondentes informaram a importância deste processo de TI para a sua mitigação.

Processos de Controle: Avaliação e Monitoramento de Controles Internos

D.C.: Processo de controle de governança de TI que busca avaliar: a constituição do processo de monitoramento de controles internos; o monitoramento e informação de exceções de controle; resultados de auto-avaliações e revisões de terceiros; a eficácia na conformidade a leis e regulamentações (ITGI, 2007b).

D.O.: A relação entre o processo de controle “Avaliação e Monitoramento de Controles Internos” e a mitigação de riscos operacionais foi levantada por meio de entrevistas espontâneas focadas (Anexo D).

Processo de Controle: Promoção de Governança de TI

D.C.: Processo de controle de governança de TI para verificar: o estabelecimento de uma estrutura eficaz de governança de TI; a existência de papéis, lideranças, estruturas organizacionais, processos e designação de responsabilidades para garantir que os investimentos em TI estejam alinhados e haja entrega de serviços de acordo com os objetivos e estratégias organizacionais (ITGI, 2007b).

D.O.: A relação entre o processo de controle “Promoção de Governança de TI” e a mitigação de riscos operacionais foi levantada por meio de entrevistas espontâneas focadas (Anexo D).

Alta Confiabilidade

D.C.: Característica de organizações que operam em condições de alto risco devido à complexidade tecnológica ou das conseqüências sócio-econômicas que um erro pode provocar. Exemplos dessas organizações são usinas nucleares, empresas de aviação, refinarias de petróleo, serviços de emergência, controle de tráfego aéreo, operações militares e bancos (ROBERTS, 1990). Dois determinantes desta tipologia organizacional são a complexidade de sistemas e o forte acoplamento (RIJPMA, 1997 apud EEDE et al., 2006). Complexidade denota a existência de seqüências não planejadas ou inesperadas, invisíveis ou incompreensíveis imediatamente. Acoplamento refere-se ao grau de dependência mútua entre os componentes organizacionais, como aplicações, funções, departamentos ou indivíduos.

D.O.: A investigação da tipologia e da presença de características de comunicação, cultura, tomada de decisão, estrutura e aprendizagem organizacional foi conduzida por meio de entrevistas espontâneas focadas (Anexo E).