Modelo Conceitual

Para explorar a relação entre processos de governança de TI e mitigação de riscos operacionais nesta pesquisa, elaborou-se o Quadro 14, em que são incluídos os processos selecionados no modelo COBIT e os respectivos referenciais teórico-empíricos que embasaram esta seleção, bem como o contexto de relevância relacionado às referências.

Quadro 14 – Processos de TI selecionados para a pesquisa empírica Processo COBIT

selecionado Referências Relevância

Quadro 6 Gestão de risco de TI

Avaliação e Gestão de Riscos de TI

(PO9) Quadro 8 Gestão corporativa de riscos

Quadro 7 Garantir a gerência de

projetos Gestão de Projetos

(PO10)

Guldentops et al. (2002); Gerke e Ridley (2006) – Modelo COBIT

Guldentops et al. (2002); Gerke e Ridley (2006) – Modelo COBIT

Processo avaliado como o 2º mais importante do modelo

Quadro 7 Garantir a segurança de sistemas

Asseguração da Segurança de

Sistemas (DS5) Guldentops et al. (2002); Gerke e Ridley (2006) – Modelo COBIT

Processo avaliado como o mais importante do modelo

Quadro 7 Garantir a integridade e

validade de dados Gestão de Dados

(DS11)

Guldentops et al. (2002); Gerke e Ridley

(2006) Processo avaliado como o 4º

mais importante do modelo

Quadro 6 Auditoria interna de TI

Donaldson (1990 apud Turnbull, 1997) - Governança Corporativa

Monitoramento Hawley e Williams (1996 apud Turnbull,

1997) Governança Corporativa Controle NIST (2002) – Gestão de riscos Controle Avaliação e

Monitoramento de Controles Internos (ME2)

COSO (1994), BIS (1998) Controle interno OCDE (2004), BIS (2006) – Governança

Corporativa Estrutura, incentivos,

objetivos estratégicos Promoção de

Governança de TI

(ME4) Meirelles et al. (2004), Albertin e Albertin (2005), Pinochet et al. (2005), Weill e Ross (2006) – Governança Corporativa e Governança de Tecnologia da Informação

Responsabilização, decisão

Fonte: O autor, a partir da revisão teórica

O Quadro 14 contém a relação dos oito processos de governança de TI selecionados, sendo os seis primeiros processos de tecnologia da informação, propriamente, e os dois últimos, processos de controle.

O primeiro processo do Quadro 14, denominado “Avaliação e Gestão de Riscos de TI”, é intrínseco ao contexto desta pesquisa. Mostra-se relevante na maioria dos princípios do Basiléia II para gestão do risco operacional, conforme Quadro 6 (p. 50), e para a gestão corporativa de riscos, conforme os princípios nº 4 (avaliação de risco) e nº 8 (estrutura para controle e mitigação de risco) do Quadro 8 (p. 52).

A seleção do processo “Gestão de Projetos” fundamenta-se na análise de cenários de TI, conforme o Quadro 7 (p. 51), que demonstra a necessidade de assegurar a gerência de projetos de TI para reduzir as probabilidades de falhas em projetos de sistemas, e

conseqüentemente, de riscos operacionais. Os estudos de Guldentops et al. (2002) e Gerke e Ridley (2006) mostraram que este processo é visto como importante no modelo COBIT.

Já a seleção do processo denominado “Gestão de RH de TI” é baseada na própria definição de risco operacional, conforme BIS (2004) e BACEN (2006). O componente humano é um fator que agrega risco às operações de um processo de negócio, seja diretamente ou no suporte às operações, como é o caso dos profissionais da área de TI.

Por sua vez, o processo “Asseguração da Continuidade de Serviço” é salientado no princípio nº 7 (planos de contingência e continuidade de negócio) do Basiléia II, conforme Quadro 6 (p. 50) e também na análise de cenário referente a rompimento de serviços de TI, conforme Quadro 7 (p. 51). A evidência da importância deste processo para a governança de TI é corroborada nas pesquisas de Guldentops et al. (2002) e Gerke e Ridley (2006).

Segundo essas pesquisas, o processo “Asseguração da Segurança de Sistemas” foi avaliado como o mais importante do COBIT. A importância da segurança de sistemas também é levantada na análise de cenários do Quadro 7, em que atividades não autorizadas em sistemas ou a possibilidade de mau uso de informações sigilosas são fontes de riscos operacionais, demonstrando falha ou inadequação na segurança de sistemas.

Da mesma forma, o processo “Gestão de Dados” foi considerado importante por auditores e profissionais de TI. No Quadro 7, a garantia da integridade e da validade de dados em sistemas é fundamental para a eficiência da automatização, não permitindo resultados indesejados em função de falhas nas transações realizadas. Transações envolvendo recursos financeiros devem ser íntegras, não podendo ocorrer parcialmente, e devem ter seus dados armazenados em meios adequados e disponíveis.

A importância da implementação de controles para a mitigação de riscos levou à seleção do processo “Avaliação e Monitoramento de Controles Internos” para a pesquisa.

A redução da probabilidade de uma ameaça valer-se de uma vulnerabilidade em um sistema é realizada por meio de medidas de controle, conforme Figura 7 (p. 44). O monitoramento de controles internos, atividade típica de auditoria, é salientado no segundo princípio do Basiléia II (Quadro 6, p. 50). Em COSO (1994) e BIS (1998) encontra-se que o processo de controle interno tem a eficácia e eficiência operacional como um de seus objetivos. Turnbull (1997)

consolida conceitos de governança corporativa, os quais apontam para a necessidade de monitoramento e controle para o alcance dos objetivos organizacionais. Portanto, esses atributos são da mesma forma relacionados à eficácia da governança de TI.

Finalmente, a inclusão no modelo conceitual do processo “Promoção de Governança de TI” está apoiada em OCDE (2004) e BIS (2006), que denotam a necessidade de desenvolvimento de uma estrutura para o estabelecimento de objetivos estratégicos, de recursos e incentivos adequados para a governança corporativa. Nessa direção, a governança de TI deve procurar o alinhamento estratégico para contribuir no alcance de objetivos da empresa, especificando os direitos decisórios e atribuindo responsabilidades, segundo Meirelles et al. (2004), Albertin e Albertin (2005), Pinochet et al. (2005) e Weill e Ross (2006).

O modelo conceitual proposto para este estudo é apresentado na Figura 15.

Figura 15 – Modelo conceitual proposto (o autor, a partir da revisão teórica) GOGOVVEERRNNAANNÇÇAA DDEE TTEECCNNOOLLOOGGIIAA DDAA IINNFFOORRMMAAÇÇÃÃOO

Avaliação e Gestão de Riscos de TI Gestão de Projetos

Gestão de RH de TI

Planejamento e Organização

Monitoramento e Avaliação

MAMATTUURRIIDDAADDEE PAPARRAA MIMITTIGIGAAÇÇÃÃOO

D DOO R RIISSCCOO OPOPEERRAACCIIOONNAALL

Avaliação e Monitoramento de Controles Internos Promoção de Governança de TI

Continuidade de Serviço Segurança de Sistemas de TI Gestão de Dados

Entrega e Suporte O

Orrggaanniizzaaççããoo ddee AAllttaa CCoonfnfiiaabbiilliiddaaddee

Nesta pesquisa, as variáveis independentes são os processos de governança de tecnologia da informação, seus processos de controles e o contexto de alta confiabilidade, e a variável dependente é a maturidade para a mitigação do risco operacional.

Gil (1999) vê a existência de relações simétricas, assimétricas e recíprocas entre variáveis. Neste estudo o modelo indica a existência de uma relação assimétrica entre governança de TI em um ambiente de alta confiabilidade e maturidade para mitigação do risco operacional. Isto é, o modelo teórico captura a influência entre as variáveis.

A investigação teve abordagem predominantemente qualitativa, e conforme observa Creswell (2003), neste tipo de estudo o modelo pode servir como um guia para a pesquisa e questões a serem examinadas. A parte quantitativa do estudo adotou a estatística descritiva e a análise de freqüências para a investigação da contribuição dos processos de TI na mitigação de riscos operacionais. Para a comparação entre dois grupos de riscos operacionais identificados, foi realizado o teste não-paramétrico U de Mann Whitney, ao nível de confiança de 95%.

Contudo, não foi alvo de verificação empírica a força das relações causais. Assim, verificou-se o estabelecimento de relações entre as variáveis, porém não foram usadas medidas estatísticas para compreender as correlações entre elas.