Embed Size (px)
Citation preview
FACULDADE DE ECONOMIA E FINANÇAS IBMEC PROGRAMA DE PÓS-GRADUAÇÃO E PESQUISA EM ADMINISTRAÇÃO E ECONOMIA
DISSERTAÇÃO DE MESTRADO PROFISSIONALIZANTE EM ADMINISTRAÇÃO
BENEFÍCIOS DA IMPLEMENTAÇÃO DE SISTEMAS DE INFORMAÇÃO: UM ESTUDO DE CASO DA
IMPLANTAÇÃO DE UM SISTEMA PARA
GERENCIAMENTO DE CONTROLES INTERNOS
AALLFFRREEDD JJOOHHNN BBAACCOONN
Orientador: Prof. Dr. VALTER MORENO JR
Rio de Janeiro, 28 de junho de 2012.
“BENEFÍCIOS ORGANIZACIONAIS DA IMPLEMENTAÇÃO DE SISTEMAS DE INFORMAÇÃO: UM ESTUDO DE CASO DE IMPLANTAÇÃO DE SISTEMA DE
INFORMAÇÃO CORPORATIVO”
ALFRED JOHN BACON
Projeto de Dissertação apresentada ao curso de Mestrado Profissionalizante em Administração como requisito parcial para obtenção do Grau de Mestre em Administração. Área de Concentração: Administração Geral
ORIENTADOR: PROF. VALTER MORENO JR.
Rio de Janeiro, 28 de junho de 2012.
“BENEFÍCIOS ORGANIZACIONAIS DA IMPLEMENTAÇÃO DE SISTEMAS DE INFORMAÇÃO: UM ESTUDO DE CASO DE IMPLANTAÇÃO DE SISTEMA DE
INFORMAÇÃO CORPORATIVO”
ALFRED JOHN BACON Projeto de Dissertação apresentada ao curso de Mestrado Profissionalizante em Administração como requisito parcial para obtenção do Grau de Mestre em Administração. Área de Concentração: Administração Geral
Avaliação: BANCA EXAMINADORA
Professor DR. VALTER DE ASSIS MORENO JR. (Orientador) Instituição: Ibmec-RJ Professor DR. LUIS AUTRAN FLÁVIO MONTEIRO GOMES Instituição: Ibmec-RJ ______________________________________________________________________Professor DR. CLÁUDIO PITASSI Instituição: Estácio de Sá Rio de Janeiro, 28 de junho de 2012.
FICHA CATALOGRÁFICA
Bacon, Alfred John. Benefícios organizacionais da implementação de sistemas de informação: um estudo de caso da implantação de sistema de informação corporativo/ Alfred John Bacon – Rio de Janeiro: Faculdades Ibmec, 2012 Dissertação de Mestrado Profissionalizante apresentado pelo Programa de Pós-Graduação em Administração das Faculdades Ibmec, como requisito parcial necessário para a obtenção do título de Mestre em Administração. Área de Concentração: Gestão das Organizações. 1. Sistemas de Informação. 2. Petrobras. 3. Benefícios Organizacionais
DEDICATÓRIA
Dedico com, todo carinho, a Delma, minha esposa e firme companheira, pelo incentivo e dedicação, além da paciência demonstrada, e aos meus filhos David e Andréia, motivo de muita alegria para minha vida.
AGRADECIMENTOS
Agradeço a meu Deus pela vida e pela oportunidade que me foi dada nesse
Mestrado em Administração.
Agradeço aos meus pais pelos valores, pela dedicação que sempre me deram e
pelo esforço em sempre me dar o melhor possível em termos de oportunidades de
ensino.
Agradeço à Petrobras pela oportunidade que me foi dada nesse Mestrado em
Administração.
Agradeço aos meus gerentes na Petrobras Pedro de Araújo Gauziski Figueredo e
Paulus Van der Ven, por terem acreditado em mim.
Agradeço ao Professor Valter de Assis Moreno Jr. pela atenção que me dedicou
durante a elaboração dessa dissertação.
Agradeço aos amigos e colegas que me acompanharam neste caminho.
RESUMO
Esse estudo trata da forma de identificação dos benefícios organizacionais com a
implantação de sistemas de informação corporativos, com um estudo de caso da
implantação do sistema SAP GRC Process Control na Petrobras. A necessidade desse
tipo de estudo se demonstra cada vez mais atual, diante da dificuldade que muitos
gestores de departamentos de informática ou tecnologia da informação têm em
demonstrar de forma clara os benefícios dos investimentos em sua área de atuação. Este
fato acaba condenando muitos gestores de TI a um ciclo contínuo de cortes de
orçamentos e, em seguida, reclamações por dificuldades organizacionais em tratar as
informações de negócio. Há diversos estudos acadêmicos com modelos de análise
desses benefícios, os quais são analisados nesse estudo, sendo que são escolhidos os
dois modelos que mais se aprofundam na questão, com a proposta de um modelo
integrativo baseado nos dois. A pesquisa desenvolvida tem como metodologia o estudo
de caso participativo, sendo aplicadas entrevistas junto a vários dos envolvidos no uso
do sistema implantado, de modo a identificar se de fato ocorreram benefícios para a
organização e se a forma de concretização desses benefícios se identifica com os
construtos identificados no modelo integrativo proposto. As conclusões da pesquisa
indicam uma aderência aos construtos encontrados na literatura e podem apoiar muitos
gestores na montagem de casos de negócio para embasar seus projetos de investimento
de modo levar a TI de suas empresas a estar alinhada estrategicamente ao negócio e
atendendo de forma eficiente e eficaz.
Palavras-chave: Benefícios, recursos, desempenho, integração, informação, projetos,
sistemas, processos, infraestrutura.
SUMMARY
This study tries to identify the organizational benefits that can be obtained with
enterprise information systems, based on a Case Study of the SAP GRC Process Control
implementation project at Petrobras. The need for this kind of study is all the more
important nowadays, with the difficulty much of IT management has to show the
benefits that justify the continued investment in IT projects. This fact ends up
condemning IT management to a series of budget cuts, followed by bad performance
reviews, due to the difficulty in maintaining acceptable service levels in dealing with
business information. There many academic papers with analysis models of how these
benefits can be verified, which are reviewed in this study, two of which are chosen for a
deeper study, with an integrative model proposed that contemplates both models. The
research conducted in this study is based on the participative case study, with a
questionnaire used to interview several of those involved in the use of the system at
Petrobras, so as to identify if the expected benefits did in fact occur and if they came to
be as a result of the constructs identified in the integrative model proposed. The
conclusions of this study do suggest an adherence to the constructs found in the relevant
literature and may help IT management in preparing business cases for their investment
projects so as to make sure that IT in these companies is strategically aligned to the
business and fulfilling its need in an efficient and effective fashion.
Key-words: Benefits, resources, performance, integration, information, projects,
systems, processes, infrastructure.
LISTA DE FIGURAS
Figura 1 – Modelo DeLone e McLean de Sucesso de Sistemas de Informação.......................................................................................................................9
Figura 2 - Modelo Atualizado de DeLone e McLean de Sucesso de Sistemas de Informação.....................................................................................................................11
Figura 3 – Papel do Observador na Avaliação de Sucesso ou Eficácia de um Sistema............................................................................................................................15
Figura 4 – Avaliando um Sistema de Informação que Apóia um Ciclo ou Processo de Negócio.......................................................................................................................16
Figura 5 – Modelo a priori de Impacto de um Sistema de Informação....................19
Figura 6 – Modelo de Mensuração de um Sistema de Informação...........................20
Figura 7 – Arcabouço conceitual para avaliação de sistemas de informação..........22
Figura 8 – Modelo de Valor de Negócio da TI............................................................23
Figura 9 – Modelo de Fatores OBES que afetam os Benefícios Organizacionais de Sistemas Corporativos...................................................................................................34
Figura 10 – Modelo integrativo dos Modelos de Melville et al (2004) e Seddon et al (2010)...............................................................................................................................41
Figura 11 – Definição de escopo da certificação de Controles Internos...................51
Figura 12 – Processo de certificação da Seção 404, relativo aos Controles Internos...........................................................................................................................52
Figura 13 – Metodologia ASAP....................................................................................57
Figura 14 – Equipe do Projeto......................................................................................58
2
LISTA DE TABELAS
Tabela 1 – Construtos do Modelo Melville et al. (2004).............................................29
Tabela 2 – Construtos do Modelo OBES de Seddon et al. (2010).............................35
Tabela 3 – Descrição dos Entrevistados......................................................................45
Tabela 4 – Movimento Médio dos Preços das Ações Relativas ao Mercado............49
Tabela 5 – Recursos Tecnológicos de TI, modelo de Melville et al. (2004)...............66
Tabela 6 – Recursos Organizacionais Complementares, modelo de Melville et al. (2004)...............................................................................................................................68
Tabela 7 – Recursos e Processos de Parceiros de Negócio, modelo de Melville et al. (2004)...............................................................................................................................70
Tabela 8 - Vencendo a Inércia Organizacional, modelo de Seddon et al. (2010).....73
Tabela 9 – Grau de Alinhamento Funcional, modelo de Seddon et al. (2010).........75
Tabela 10 – Processos de Negócio e Otimização, modelos de Melville et al. (2004) e Seddon et al. (2010)........................................................................................................76
Tabela 11 – Otimização de Processos, modelo de Seddon et al. (2010).....................78
Tabela 12 – Integração, modelo de Seddon et al. (2010)............................................80
Tabela 13 – Melhoria no Acesso à Informação, modelo de Seddon et al. (2010).....81
Tabela 14 – Benefícios Organizacionais, modelo de Seddon et al. (2010).................84
3
SUMÁRIO
1. INTRODUÇÃO............................................................................................................1
1.1 – Contextualização......................................................................................... 1
1.2 – Formulação do Problema........................................................................... 5
1.3 – Objetivos...................................................................................................... 5
1.4 – Relevância.................................................................................................... 6
2 – REFERENCIAL TEÓRICO.................................................................................... 8
2.1 – Introdução...................................................................................................8
2.2 – Modelo Delone e McLean (1992, 2003) para mensuração do sucesso e impacto de Sistemas de Informação nas Organizações.................................... 9
2.3 – Crítica de Seddon ao modelo Delone e McLean.....................................12
2.4 – Modelo de Alter com visão do contexto do Processo ou Ciclo de Negócio................................................................................................................ 14
2.5 – Modelo de Gable et al. para mensuração do impacto de Sistemas de Informação.........................................................................................................17
2.6 – Modelo de Dias para Avaliação Técnica de Qualidade de Sistemas de Informação com o uso de Métricas...................................................................21
2.7 – Modelo de Melville et al. (2004) de Valor de Negócio da TI..................23
2.8 – Modelo de Seddon et al. (2010) para mensuração de Benefícios Organizacionais resultantes da implantação de projetos de Sistemas Corporativos (Enterprise Systems).................................................................. 33
2.9 – Modelo Integrativo....................................................................................38
3 – METODOLOGIA.................................................................................................... 42
3.1 – Coleta de Dados......................................................................................... 43
3.2 – Análise dos Dados..................................................................................... 45
4 – IMPLANTAÇÃO DO SAP GRC PROCESS CONTROL NA PETROBRAS...47
4.1 – Introdução.................................................................................................47
4.2 – O Projeto de implantação e o processo resultante da Certificação Sarbanes-Oxley..................................................................................................50
4.3 – Documentação dos Controles Internos para a Sarbanes-Oxley...........54
4
4.4 – Projeto de Migração do MIC para o GRC Process Control.................55
5 – ANÁLISE DOS RESULTADOS DA PESQUISA................................................62
5.1 – Introdução.................................................................................................62
5.2 – Recursos de TI..........................................................................................62
5.3 – Recursos Organizacionais Complementares.........................................66
5.4 - Recursos e Processos de Negócio de Parceiros.......................................68
5.5 – Vencendo a Inércia Organizacional........................................................71
5.6 – Grau de Alinhamento Funcional.............................................................73
5.7 – Mudanças nos Processos de Negócio.......................................................75
5.8 – Otimização de Processos..........................................................................77
5.9 – Integração..................................................................................................78
5.10 – Melhoria no Acesso à Informação.........................................................80
5.11 – Desempenho dos Processos....................................................................82
5.10 – Benefícios Organizacionais....................................................................85
6 – CONCLUSÃO..........................................................................................................88
REFERÊNCIAS BIBLIOGRÁFICAS........................................................................92
ANEXO I – QUESTIONÁRIO DAS ENTREVISTAS..............................................98
1
1 – INTRODUÇÃO
1.1 - Contextualização
Há um reconhecimento geral de que a Tecnologia da Informação (TI) é muito
importante para a sobrevivência e o sucesso das empresas (BHARADWAJ, 2000).
Porém, não há ainda um consenso quanto à forma de se ligar TI com o sucesso
financeiro das organizações (BHARADWAJ, 2000). Há na literatura um debate quanto
à melhor maneira de se medir o sucesso da implantação de um sistema de informação
em determinada organização, no sentido em que ela realmente consiga auferir ganhos,
sejam financeiros ou não-financeiros (DELONE e MCLEAN, 1992, SEDDON, 1997,
SEDDON et al., 1999, ALTER, 1999). Esta discussão é importante quando se verifica
que os orçamentos de TI das organizações tem crescido, chegando a um valor global
estimado em US$ 3,4 trilhões em 2010, com um aumento de 5,3% em relação ao valor
de investimentos em 2009 (GARTNER, 2010).
Os gastos em TI, diante de outras iniciativas organizacionais que competem pelos
mesmos recursos, têm sido crescentemente questionados pelos executivos de negócios
(GABLE et al., 2008). Os resultados dos investimentos em TI, em termos de melhorias
de processos, redução de custos, aumento de participação no mercado e outras métricas
semelhantes, têm sido motivo de preocupação de muitos estudiosos do assunto,
justamente para poder responder a estes questionamentos (IRANI, 1999; GABLE et al.,
2008).
Por outro lado, apesar de tipicamente haver um processo formal de aprovação de
grandes projetos de Sistemas de Informação (SI) de âmbito corporativo, por conta do
2
elevado nível de investimento requerido, raramente ocorrem avaliações pós-
implementação e, mesmo quando ocorrem, estas muitas vezes carecem de metodologia
ou sistemática, resultando em avaliações que deixam a desejar quanto à sua
credibilidade (GABLE et al., 2008). O resultado é um baixo nível de compreensão, com
embasamento acadêmico, quanto aos benefícios eventualmente gerados pela
implantação de SI corporativos e do valor que agregam ao negócio.
Para Carr (2003), a TI estaria chegando ao ponto de se transformar em simples
commodity, assim como ocorreu em outras épocas com a luz elétrica e o transporte
ferroviário. Dentro desta linha de pensamento, durante algum tempo a TI poderia até ter
trazido algumas vantagens competitivas aos pioneiros que souberam tirar proveitos dos
benefícios gerados. Com sua comoditização, a TI passaria a ser algo que deve ser
tratado assim como a energia elétrica, essencial para a maioria das empresas e
indústrias, mas que, por si só, não resulta em vantagem competitiva sustentável para
quem a adquire. Como para a energia elétrica, há riscos específicos que necessitam de
tratamento na estratégia da empresa (por exemplo, são necessários cuidados para não
haver quedas nos sistemas que afetem os negócios). A preocupação maior dos
executivos de TI, de acordo com esta visão, deveria estar voltada para a redução de
custos e na mitigação de riscos que podem impactar negativamente o negócio.
Muitas pesquisas acadêmicas se contrapõem ao posicionamento de Carr (2003), com
resultados que mostram a obtenção de vantagens com o aproveitamento dos resultados
gerados por sistemas de informação bem planejados, dentro de um alinhamento
estratégico organizacional (MELVILLE et al., 2004). A completa apropriação das
vantagens depende, no entanto, de fatores organizacionais que nem sempre estão
presentes nas empresas, o que, por si só, pode diferenciar os resultados da adoção da TI
em cada caso (MELVILLE et al., 2004).
Vários autores (LOVEMANN, 1994; ROACH, 1987, 1989, 1991; STRASSMANN,
1990) investigaram a relação entre investimentos em TI e a produtividade econômica
das empresas, constatando o que ficou conhecido como o “paradoxo da produtividade”.
Tal paradoxo reflete a conclusão de que não haveria conexão entre investimentos em TI
e o nível de produtividade da empresa, indústria ou até da economia como um todo
3
(DEDRICK et al., 2003). Porém, uma série de pesquisas posteriores, motivadas até por
conta deste chamado paradoxo da produtividade, o qual não condizia com a realidade
que muitos observavam, constatou que os estudos iniciais pecaram pelo uso de amostras
muito pequenas e por adotarem metodologias com baixa confiabilidade científica.
Pesquisas posteriores (BRYNJOLFSSON, 1993, 1996; BRESNAHAN, 1999;
BRYNJOLFSSON e HITT, 1995, 1996, 1998; OLINER e SICHEL, 2000;
JORGENSON, 2001; JORGENSON e STIROH, 2000; BOSWORTH e TRIPLETT,
2000; COUNCIL OF ECONOMIC ADVISORS, 2001), por adotarem metodologias de
pesquisa mais refinadas e bases de dados mais abrangentes e confiáveis, concluíram que
há impactos positivos significativos tanto não só na empresa, como também na
economia. Além disso, esses estudos mostram que o grande período de crescimento
econômico ocorrido no final da década de 1990 foi devido, em grande parte, aos
investimentos em TI e ao crescimento da Internet.
Os resultados destas pesquisas mais recentes (BRYNJOLFSSON, 1993, 1996;
BRESNAHAN, 1999; BRYNJOLFSSON e HITT, 1995, 1996, 1998; OLINER e
SICHEL, 2000; JORGENSON, 2001; JORGENSON e STIROH, 2000; BOSWORTH e
TRIPLETT, 2000; COUNCIL OF ECONOMIC ADVISORS, 2001, KOHLI e
DEVARAJ, 2003) confirmam haver uma relação clara entre a aplicação de sistemas de
informação e produtividade geral das empresas e que os investimentos em TI resultam
em retornos marginais brutos superiores a investimentos não-TI.
Dedrick et al. (2003), em outra pesquisa, observaram a existência de variações entre
empresas diferentes, o que, segundo concluíram, pode ser atribuído a diferentes níveis
de investimento em TI ou em diferentes capacidades de absorção das vantagens
provenientes dos investimentos em TI, dependendo das características de cada empresa
individual. Conforme Dedrick et al. (2003), práticas gerenciais e investimentos
complementares também ajudam a explicar as diferenças encontradas no nível de
absorção dos benefícios gerados pelos investimentos em TI.
Dedrick et al. (2003) postulam ainda que TI não é simplesmente uma ferramenta para
automatizar processos existentes (e portanto, por conseqüência, simplesmente aumentar
a produtividade), mas, de forma muito mais importante, é um habilitador de mudanças
4
organizacionais que podem, estas sim, resultar em aumentos de produtividade. Estes
pesquisadores colocam ainda que as organizações nem sempre conseguem capturar os
efeitos que a priori deveriam ser positivos, pela implantação de sistemas de informação,
por não estarem aptos ou preparados para efetuar as mudanças organizacionais
requeridas para o pleno aproveitamento dos resultados da implantação dos novos
sistemas de informação.
Vale ressaltar que Kohli e Devaraj (2003), numa meta-análise de dados coletados em 66
pesquisas empíricas conduzidas entre 1990 e 2000 no nível de empresa, mostraram que
o tamanho da amostra, a fonte de dados (se primário ou secundário), a indústria em que
a pesquisa é conduzida e as variáveis dependentes empregadas influenciam a
possibilidade de se encontrarem resultados positivos na organização com a aplicação de
TI. Ao mesmo tempo em que esta pesquisa encontra respaldo na literatura analisada no
sentido de que a TI realmente traz resultados positivos na organização, também
demonstra que os critérios adotados no estudo destes benefícios dependem da forma
com a pesquisa é conduzida, de modo a orientar futuras pesquisas neste campo.
Oh e Pinssoneault (2007) analisaram a questão das vantagens estratégicas da aplicação
da Tecnologia da Informação, enfocando os três objetivos estratégicos normalmente
associados a empresas de manufatura, a saber, redução de custos, melhorias de
qualidade e crescimento da receita. Os pesquisadores verificaram então como a
estratégia da TI, analisada com base no portfólio de aplicativos em uso nas empresas
pesquisadas, suportava a implementação destes objetivos estratégicos nas empresas
analisadas. O estudo tinha como meta comprovar qual a melhor base teórica para esta
análise, se a teoria contingencial ou a teoria baseada em recursos, e, quanto a isto,
concluiu-se que as duas teorias são complementares. Porém, ao mesmo tempo, o estudo
consegue mostrar uma relação entre alinhamento de TI com o objetivo estratégico de
redução de custos, mas pouca relação entre alinhamento de TI com o objetivo
estratégico de crescimento da receita. De qualquer forma, Oh e Pinssoneault (2007)
indicaram que de forma geral há uma relação entre a aplicação de TI nas organizações
com o alcance dos objetivos estratégicos da organização, principalmente no que diz
respeito à estratégia de redução de custos, contanto que a TI esteja alinhada
estrategicamente ao negócio.
5
1.2 – Formulação do Problema
Conforme já foi colocado, há um reconhecimento geral da importância da TI no
contexto do sucesso das organizações. Porém, há muita dificuldade quanto à definição
do contexto e dos condicionantes para que ocorram benefícios organizacionais quando
da aplicação da TI nas organizações. Resta, portanto, definir os fatores que influenciam,
moderam ou condicionam os efeitos positivos da implantação de sistemas de
informação corporativos nas organizações, de forma que a TI agregue efetivamente
valor ao negócio. A melhor compreensão destes fatores poderá auxiliar os gestores de
negócio e de TI nas decisões de investimento em sistemas de informação, de forma a
garantir o sucesso quanto aos benefícios pretendidos.
1.3 - Objetivos
Esta pesquisa avalia a adequação de dois modelos recentemente propostos na literatura
para explicar a forma como investimentos em TI agregam valor ao negócio. Para tanto,
será desenvolvido um estudo de caso de implantação de sistema de informação
corporativo na Petrobras. Com base na análise dos construtos propostos nos dois
modelos escolhidos, será analisada a aderência dos dados da pesquisa aos modelos, de
forma a responder aos questionamentos acima quanto aos fatores determinantes dos
benefícios organizacionais gerados pela implantação de sistemas de informação
corporativos.
Além desta análise, a pesquisa prevê a proposição de ações de gestão no sentido de
fomentar um ambiente que facilite a apropriação dos benefícios organizacionais da
aplicação de TI, com base na teoria e amparado nos resultados do estudo de caso.
O estudo de caso de implantação de um sistema corporativo (Enterprise System) na
Petrobras terá por base uma pesquisa de campo baseada em entrevistas, para validação
dos benefícios organizacionais. O foco será a implantação do sistema de informação
SAP GRC Process Control, que prevê a documentação e automação do processo de
Certificação dos Controles Internos da Petrobras perante a Lei Sarbanes-Oxley e a
6
Norma CVM 480/2009. A certificação em si, como projeto, já foi objeto de estudo
desenvolvido por Almeida (2010). O projeto de implantação do referido sistema foi
pioneiro no Brasil.
1.4 – Relevância
O resultado desta pesquisa poderá apoiar organizações em futuros processos de análise
de implantação de sistemas novos ou migrações para novas versões de sistemas já em
uso, de modo a poder melhor fundamentar a justificativa econômica de tais projetos,
reduzindo o desgaste para os gestores da área de negócio e de Tecnologia da
Informação. Na medida em que se consegue verificar o sucesso (ou não) da implantação
de um sistema de informação em determinada organização, de forma sistemática, e, ao
mesmo tempo, se consegue verificar como a implantação de determinado sistema de
informação contribui para o sucesso da organização, através da entrega de valor
(SMITH e MCKEEN, 2003), é possível elaborar uma sistemática mais robusta de
justificativa dos investimentos em TI, os quais, conforme já colocado, tem recebido
muitas críticas por parte dos executivos das áreas de negócio.
A visão simplista de vantagem competitiva pela simples aquisição de tecnologia,
conforme a análise vista em algumas publicações (CARR, 2003), tem que ser
substituída por uma visão de iniciativas estratégicas do negócio que dependem da
aplicação de sistemas de informação (PICCOLI e IVES, 2005). Iniciativas como, por
exemplo, a integração das áreas de negócio, possibilitada pela implantação de um ERP;
a reengenharia dos processos de negócio, a partir de uma análise sistemática baseada em
visões estruturadas, por meio de sistemas de informação; o gerenciamento do
relacionamento com clientes; a implantação de negócios eletrônicos; ou iniciativas de
gestão sobre a cadeia de suprimentos são exemplos de mudanças organizacionais para
alcançar novos níveis de competitividade no mercado (PICCOLI e IVES, 2005).
Quando bem fundamentadas as justificativas perante a direção das respectivas
organizações, tais iniciativas terão maiores chances de serem aprovadas e de alcançarem
os pretendidos sucessos na implantação.
7
Os modelos teóricos avaliados nesse estudo, de acordo com os próprios textos que os
descrevem, foram pouco analisados em situações reais de negócio, em particular no
Brasil. Avaliações empíricas quanto à sua validade em diversos contextos
organizacionais, assim como em culturas diferenciadas, como é o caso do Brasil, e com
soluções de TI diferenciadas, como é o caso analisado nesse estudo, tanto são
necessárias, em termos de melhor entendimento dos processos envolvidos, como podem
contribuir para o aperfeiçoamento ou, até mesmo, descarte dos referidos modelos.
Por outro lado, esta pesquisa poderá apontar novas oportunidades de análise dessas
questões no ambiente acadêmico, com outros levantamentos empíricos, de forma a
formar uma visão mais robusta e científica do processo de agregação de valor para o
negócio a partir da aplicação de sistemas de informação.
8
2 – REFERENCIAL TEÓRICO
2.1 – Introdução
A simples implantação de sistemas de informação não gera automaticamente resultados
positivos para o negócio. Para que haja sucesso na sua implantação, é necessário que
haja alinhamento estratégico entre as iniciativas de TI e a visão estratégica do próprio
negócio. Tendo como base a visão baseada em recursos ou RBV (Resource-Based
View), pesquisadores identificaram diversos recursos de TI que potencialmente podem
gerar vantagens competitivas para a organização (BHARADWAJ, 2000). De acordo
com Bharadwaj (2000), os fatores de lucro analisados num período de quatro anos, de
1991 a 1994, para as empresas líderes de uso de TI, conforme classificados anualmente
pela publicação Information Week, foram significativamente superiores em comparação
com um grupo de empresas utilizado como controle. Desta forma, é possível verificar
que existe um potencial de melhoria de resultados para as empresas que investem mais
em TI. Porém, existe a dificuldade de saber se os sistemas entregues pela TI estão de
fato gerando os benefícios previstos, com uma efetiva geração de valor (SMITH e
MCKEEN, 2003). Considerando assim que há potenciais vantagens competitivas
quando da implantação de Sistemas de Informação de forma alinhada com a estratégia
do negócio, é importante avaliar o impacto e o sucesso da implantação de um Sistema
de Informação específico, dentro do contexto de uma organização e do contexto mais
específico dos processos de negócio impactados ou influenciados pela implantação do
mesmo.
A partir de diversas pesquisas já realizadas que abordam esta questão, serão analisados a
seguir alguns modelos que tem sido propostos por pesquisadores, começando pelo
9
modelo mais largamente citado e criticado por pesquisas posteriores, até chegar a dois
modelos que aparentemente tem maior capacidade de explicar os fenômenos associados
a um sistema de informação corporativo em termos de agregação de valor ao negócio.
2.2 – Modelo Delone e McLean (1992, 2003) para mensuração do sucesso e impacto
de Sistemas de Informação nas Organizações
Embora haja muitas publicações sobre as tecnologias emergentes, como SOA, ERPs,
CRMs, Cloud Computing e discussões sobre novas formas de administração da TI,
como, por exemplo, o uso de outsourcing, poucas pesquisas tem se dedicado a formas
de mensuração da eficácia e sucesso da TI nas organizações (SEDDON et al., 1999).
Uma das primeiras pesquisas a estruturar uma forma sistematizada de análise do sucesso
de sistemas de informação, proposto por Delone e McLean (1992), o modelo descrito na
Fig. 1, se tornou a base de muitas pesquisas posteriores, que estenderam o trabalho
original ou sugeriram modificações no modelo. Dez anos mais tarde, os próprios autores
(DELONE e MCLEAN, 2003), revisaram sua proposta inicial, defendendo-se de
diversas críticas publicadas desde o seu primeiro artigo. Em sua opinião, seu modelo
continuava válido diante de todas as pesquisas posteriores. Além disso, com base nas
estatísticas, seu artigo original continuava sendo um dos mais citados nas publicações
científicas.
Fig. 1 – Modelo DeLone e McLean de Sucesso de Sistemas de Informação
[DELONE e MCLEAN (1992) Fig 2, pg. 87]
As principais conclusões da primeira pesquisa (DELONE e MCLEAN, 1992), conforme
a revisão efetuada dez anos depois (DELONE e MCLEAN, 2003), foram que:
10
1. A natureza multidimensional e interdependente do sucesso de Sistemas de
Informação requer muito cuidado quanto à definição e a mensuração de cada
aspecto de cada variável dependente.
2. A seleção das dimensões e medidas de sucesso deve considerar os objetivos e o
contexto de investigações empíricas, mas quando possível, devem se basear em
processos de mensuração provados e testados.
3. Apesar da natureza multidimensional e contingencial do sucesso dos sistemas de
informação, é importante tentar reduzir significativamente as diferentes métricas
adotadas para mensurar o sucesso dos sistemas de informação de modo a
facilitar a comparação dos resultados encontrados em diferentes processos de
medição.
4. É necessário haver mais pesquisa de campo, a qual precisa incorporar métricas
de impacto organizacional.
5. Finalmente, “o modelo de sucesso proposto requer mais desenvolvimento e
validação antes de ser usado como base de seleção de métricas de sucesso de
implantação de sistemas de informação” (DELONE e MCLEAN, 1992, p.88).
Em outras palavras, os próprios autores (DELONE e MCLEAN, 1992) reconheceram a
necessidade do aprofundamento das pesquisas no campo da análise do sucesso na
implantação de sistemas de informação.
Na revisão efetuada dez anos após a pesquisa inicial, os autores propõe um modelo
ligeiramente alterado, conforme mostra a Fig. 2. Neste modelo, fazem uma distinção
entre a “Intenção de Uso do Sistema” e o “Uso do Sistema”. Além disso, “Impacto
individual” e “Impacto Organizacional” foram substituídos por “Benefícios Reais”, que
podem ser positivos ou negativos.
11
Fig 2 - Modelo Atualizado de DeLone e McLean de Sucesso de Sistemas de Informação
[DELONE e MCLEAN (2003) Fig 3, pg. 24]
No modelo atualizado (Fig. 2), os autores separam o aspecto “qualidade” em três
dimensões, quais sejam, “qualidade do sistema”, “qualidade da informação” e
“qualidade do serviço”, sendo que julgam que cada uma destas dimensões tem impactos
diferenciados sobre o “uso” e a “satisfação do usuário”.
Quanto à questão de se entender bem o aspecto “uso” de um sistema de informação, os
autores propõem uma alternativa, “intenção de uso”, que pode ser aplicado em algumas
circunstâncias. De qualquer forma, os autores colocam que o “uso” de um sistema,
embora seja obviamente o precursor da “satisfação do usuário”, será bastante afetado e,
portanto, impactado pela “satisfação do usuário”.
Como resultado do “uso” de um sistema e da “satisfação do usuário”, ocorrerão
“benefícios reais”, que poderão ser positivos ou negativos. No caso de resultarem
benefícios positivos, é de se esperar que o “uso” e a “satisfação do usuário” serão
afetados positivamente, daí a indicação da realimentação no diagrama proposto. Da
mesma forma, se os “benefícios reais” forem negativos, a realimentação será negativa,
fazendo com que “uso” e “satisfação do usuário” apresentem valores abaixo da
expectativa, o que, do ponto de vista do administrador ou gestor da organização, pode
gerar a necessidade de melhorar ou substituir o sistema de informação.
12
2.3 – Crítica de Seddon et al. (1999) ao modelo Delone e McLean (1992)
Quando se consideram diferentes atores dentro da organização, as consequências do uso
da TI podem ser vistas de formas distintas. De acordo com Seddon (1997, p. 248)
“Sucesso de Sistemas de Informação é ... descrito como um juízo de valor efetuado por
um indivíduo, do ponto de visto de um dos interessados”. Nesta visão, é necessário
considerar qual é o interessado, se um indivíduo, se determinado grupo dentro da
organização, se uma organização como um todo, ou se uma nação ou região geográfica,
sendo que, para cada um destes interessados, aspectos diferentes do sistema de
informação poderão ser o foco de maior interesse. Dessa forma, antes de se analisar o
sucesso de um sistema de informação, é necessário definir o ponto de vista adotado na
análise.
Ao se avaliar o sucesso da implantação de sistemas de informação, deve-se responder às
seguintes perguntas sobre o processo de mensuração do desempenho organizacional
(CAMERON e WHETEN, 1983):
1. De que ponto de vista a eficácia está sendo considerada?
2. Qual o domínio da atividade? (quais os papéis e as competências mais
importantes na organização, quais as demandas externas)
3. Qual o nível da análise? (individual, subunidade, organização, população, social)
4. Qual o propósito da avaliação?
5. Qual a visão temporal? (curto prazo, longo prazo)
6. Qual é o tipo de dado utilizado (objetivo ou de percepção)
13
7. Quais os referenciais para julgamento da eficácia? (Uma organização se
comparando com outra, uma organização se comparando com um benchmark de
mercado, comparação com alvos organizacionais pré-definidos, desempenho
passado da organização)
De acordo com Seddon et al. (1999), é possível se combinar as perguntas 1 e 3 numa só
dimensão, chamada de stakeholder (ou parte interessada). As partes interessadas podem
ser (GROVER et al., 1996): (1) usuários, (2) alta administração, (3) pessoal de TI, e (4)
entidades externas. Porém, outros pesquisadores propõem uma lista de pontos de vista
modificada e ampliada (SEDDON et al., 1999): (1) um observador independente que
não é um interessado direto; (2) o indivíduo que quer ter melhores resultados; (3) o
grupo, que também quer melhorar seu desempenho; (4) os gerentes ou proprietários que
querem que a organização melhore; e (5) um país que quer que sua sociedade, como um
todo, melhore.
Seddon et al. (1999) também ressaltam que é necessário considerar que aspecto ou
aspectos de TI se pretende analisar, como:
1. Um aspecto específico de projeto de TI (algoritmo, linguagem de query ou
interface do usuário);
2. Um aplicativo de TI específico;
3. Algum tipo de Sistema de Informação (ex.: algum tipo qualquer de GDSS, um
data warehouse, etc.);
4. Todos os aplicativos de TI utilizados por uma organização;
5. Algum aspecto metodológico de desenvolvimento de sistemas (reengenharia,
SOA, etc.); ou
6. Uma função TI (ou sua área de gestão) dentro de uma organização.
14
O cruzamento das partes interessadas listadas acima com os aspectos de TI a serem
analisados, resulta numa matriz 5 x 6, ou seja, com 30 diferentes possibilidades de
análise. Seddon et al. (1999) identificaram na sua revisão de literatura exemplos para 23
das 30 possibilidades de ocorrência. Do total de 200 estudos analisados, apenas 22
analisaram o caso de um aplicativo específico, sendo que destes, cinco foram da
perspectiva de um observador independente, onze do ponto de vista individual e seis do
ponto de vista dos gerentes ou proprietários.
Para Seddon et al.(1999), ao contrário de Delone e McLean (1992), a diversidade de
medições na análise dos resultados da aplicação de TI não é um problema. Pelo
contrário, a diversidade de critérios de medição ajuda a avaliar melhor o impacto e a
eficácia de um sistema para as diferentes partes interessadas. A matriz acima
mencionada pode ajudar a identificar a melhor abordagem a ser adotada, em função do
grupo de interessados considerado.
Pode-se, portanto, entender os estudos de Seddon e colegas como complementares ao
trabalho anterior de DeLone e McLean (1992), aumentando a visão de análise de
sucesso de implantação de sistemas de informação, por considerarem também o ponto
de vista dos interessados.
2.4 – Modelo de Alter (1999a, 1999b) com Visão do Contexto do Processo ou Ciclo
de Negócio
Alter (1999b) publicou uma Carta ao Editor em conjunto com a pesquisa de SEDDON
et al.(1999), tendo como base um trabalho em que propõe uma teoria sobre a influência
dos SI nos processos de negócio (ALTER, 1999a). Sua proposta ressalta a importância
de se observar sistemas de informação no contexto de negócio em que são inseridos,
dado que, sem o sistema, o ciclo de negócio não funciona, enquanto que por outro lado,
sem o ciclo de negócio, o sistema de informação deixa de ter qualquer valor. Assim, não
se pode analisar o valor de sistemas de informação sem considerar o ambiente de
negócio para o qual foram projetados, estando ambos intrinsecamente associados.
15
De acordo com esta visão, é necessário separar o desempenho do sistema da avaliação
da eficácia do sistema, ou seja, um sistema pode na realidade funcionar de modo
tecnicamente perfeito, com excelentes tempos de resposta e relatórios e telas muito bem
construídas, mas não gerar necessariamente bons resultados práticos, por não apoiar de
forma correta ou otimizada o processo de negócio para o qual foi projetado.
A figura 3 a seguir mostra um observador que avalia um sistema e seu desempenho e,
assim, o sucesso de sua implantação correspondendo à visão de Seddon et al.(1999)
(ALTER, 1999).
Já a figura 4 representa a necessidade de se avaliar o sucesso da implantação de um
sistema por meio do ciclo ou processo de negócio que o sistema pretende apoiar, dado
que o SI não pode ser avaliado independentemente do processo de negócio e vice-versa.
De acordo com esta visão, a avaliação do sucesso da implantação precisa considerar os
impactos positivos ou negativos no processo ou ciclo de negócio. Como é mostrado na
Figura 4, há uma certa sobreposição do ciclo de negócio e do sistema de informação,
dado que nem todo o ciclo de negócio será necessariamente executado através do
sistema de informação, assim como alguns aspectos do sistema de informação talvez
não sejam diretamente associados ao processo ou ciclo de negócios.
Fig 3 – Papel do Observador na Avaliação de Sucesso ou Eficácia de um Sistema
[ALTER, 1999, Fig 1, pg 44]
16
Fig 4 – Avaliando um Sistema de Informação que Apóia um Ciclo ou Processo de Negócio
[ALTER, 1999b, Fig 2, pg 47]
De acordo com Alter (1999b), é claro que, embora haja uma associação entre o processo
ou ciclo de negócio e o sistema de informação, há uma precedência ou importância
maior do processo de negócio, dado que o sistema de informação existe para servir o
negócio e não ao contrário. O autor, após analisar os modelos propostos por Delone e
McLean (1992), e todos os comentários e contribuições feitas por Seddon et al.(1999),
conclui que tais pesquisas deixaram de considerar a relação entre o ciclo ou processo de
negócio e o sistema de informação em seus modelos de mensuração do sucesso da
implantação de SI. Alter propõe então as seguintes indagações:
• Qualidade do sistema: o que está sendo medido é a qualidade do sistema de
informação ou do ciclo de negócio melhorado pelo sistema de informação? Será
possível ter um sistema de informação de alta qualidade dentro de um processo
de negócio de baixa qualidade?
• Qualidade da informação: Esta é medida em termos das demandas do ciclo ou
processo de negócio, ou em termos da informação per si, independente de ser ou
não utilizada pelo negócio?
17
• Uso da informação: Os usuários têm a opção voluntária de usar ou não as
informações geradas, ou existe um processo de negócio altamente estruturado
que requer que todos os usuários trabalhem de forma semelhante, a partir das
informações geradas pelo sistema? Como exemplo, podemos citar a introdução
de um sistema ERP, não sendo possível realizar as tarefas dos processos de
negócio e efetivamente trabalhar na organização sem usar o sistema ERP e a
informação por ele fornecida.
• Satisfação do usuário: A satisfação do usuário tem a ver com aspectos do
sistema de informação, ou com aspectos do processo de negócio?
• Impacto individual: A maioria dos aspectos de impacto individual tem a ver com
o processo de negócio, ou com o sistema de informação?
• Impacto organizacional: Como considerar o impacto organizacional de um
sistema sem considerar o processo de negócio? É mais significativo analisar o
impacto do processo de negócio alterado pela implantação do sistema.
Observa-se, portanto, a necessidade de analisar o processo ou ciclo de negócio em
conjunto com o sistema de informação, para que seja possível concluir algo sobre a sua
eficácia ou sucesso. Assim, deve-se analisar, em conjunto com os aspectos técnicos do
sistema, os impactos e as mudanças no processo de negócio. Esta visão não invalida o
modelo estendido proposto por DeLone e McLean (2003), considerando o aspecto do
ponto de vista do interessado, como proposto por Seddon et al.(1999), mas serve como
uma extensão do modelo, para que as medidas de sucesso considerem também a
realidade do processo de negócio no qual o SI é inserido, para atender requisitos
específicos dos usuários.
2.5 – Modelo de Gable et al. (2008) para mensuração do impacto de Sistemas de
Informação
Gable et al.(2008, p. 381), tomando como base o modelo de DeLone e McLean (1992),
propuseram uma definição do impacto de um sistema de informação “como a medida,
18
num instante de tempo, dos benefícios líquidos do Sistema de Informação, como
percebido pelos grupos de usuários-chave”. A partir de diversas análises e extensões
efetuadas em relação ao modelo original de DeLone e McLean (1992) e separando os
aspectos tecnicamente específicos de Tecnologia da Informação dos aspectos de
Sistema de Negócio, os autores elaboraram um modelo a priori com quatro dimensões
básicas:
• Impacto individual: extensão com que o sistema de informação influenciou a
aptidão e a eficácia de usuários-chave;
• Impacto organizacional: extensão com que o sistema de informação promoveu
melhorias nos resultados e nas habilidades organizacionais;
• Qualidade da informação: qualidade das saídas do sistema de informação,
especificamente as apresentadas em telas e em relatórios;
• Qualidade do sistema: medida do desempenho do sistema de informação do
ponto de vista técnico e do ponto de vista do desenho da solução de TI.
O modelo (Fig. 5) não se propõe a relacionar estas dimensões entre si, mas as apresenta
como construtos formadores de um construto multidimensional, “Impacto do Sistema de
Informação”. Tais dimensões são utilizadas para avaliar o impacto de um sistema em
determinado instante de tempo, na forma em que foi implementado, numa dada
organização, para verificar se o efeito foi efetivamente positivo ou negativo.
Os elementos considerados em cada uma das quatro dimensões são identificados na Fig.
5, a seguir.
19
Fig 5 – Modelo a priori de Impacto de um Sistema de Informação
[GABLE et al, 2008, Fig 6, pg 390]
Os autores operacionalizaram os construtos do modelo e validaram as escalas
correspondentes, concluindo que podem ser utilizadas para a avaliação do Impacto de
um Sistema de Informação. Em seguida, os construtos foram organizados numa rede
nomológica para testar relações de causalidade, conforme mostrado na Figura 6. Os
autores chamam a atenção para a temporalidade das medições, que poderá alterar as
direções dos caminhos definidos na rede e, portanto, as conclusões da análise.
A Figura 6 mostra que os impactos, tanto individual como organizacional, da satisfação
ou uso de um sistema de informação, mediante a interação com as habilidades e práticas
de TI, resultarão em melhorias na qualidade do sistema e da informação gerada, o que
por sua vez resultará em maior satisfação e uso pelos indivíduos e, portanto, na geração
de benefícios para a organização.
20
Fig 6 – Modelo de Mensuração de um Sistema de Informação
[GABLE et al, 2008, Fig 7, pg 395]
É interessante observar que embora as pesquisas de Alter (1999a e 1999b) não sejam
diretamente citadas no trabalho de Gable et al.(2008), sua visão de separação entre os
aspectos técnicos do sistema e o ambiente ou processo de negócio é considerada e
validada pelos testes realizados.
21
2.6 – Modelo de Dias (2002) para Avaliação Técnica de Qualidade de Sistemas de
Informação
A necessidade de avaliar objetivamente a qualidade de sistemas de informação, do
ponto de vista dos usuários finais, motivou Dias (2002) a elaborar o arcabouço
conceitual mostrado na Figura 7. O arcabouço sugere que a aceitação de um sistema
pelos seus usuários diretos e indiretos depende basicamente dos seguintes fatores:
• Valor adicionado, percebido pelos usuários, resultante do uso da informação
gerada pelo sistema, considerando os aspectos do custo e da importância da
informação no processo decisório.
• O uso do SI, que está diretamente relacionado com a utilidade da informação e
usabilidade do sistema. A utilidade considera o conteúdo, no que tange a
abrangência e funcionalidade. A usabilidade considera a facilidade de uso,
considerando a interface com o usuário, a operacionalidade e a flexibilidade do
sistema. O uso do SI também precisa contemplar a obrigatoriedade de uso por
falta de opção. Se o uso não é obrigatório, este pode ser considerado uma função
direta da satisfação de usos anteriores, ou seja, a medição do uso pode ser um
indicativo direto da satisfação do usuário.
• Custo, numa visão do nível de investimento realizado pelos usuários durante a
utilização do sistema. Esta variável tem dois componentes ou visões: a do
usuário final, que gasta algum tempo de trabalho aprendendo a utilizar o novo
sistema (ou seja, horas de trabalho gastas com treinamento) e a da função TI,
que aloca analistas e programadores, seja para o desenvolvimento, seja para a
implantação de um sistema adquirido como pacote, além dos custos de hardware
e software.
• A confiabilidade, que está diretamente relacionada com a qualidade, que se
desdobra nos fatores eficiência, tempestividade e satisfação do usuário.
22
Fig 7 – Arcabouço conceitual para avaliação de sistemas de informação
[DIAS, 2002, Fig 1, pg 3]
Dias (2002) discute cada um dos aspectos incluídos em seu arcabouço, com sugestões
de métricas e metodologias para sua aplicação, de modo a tornar objetiva a avaliação de
sistemas de informação. Isto permite que as organizações tenham uma visão clara
quanto ao sucesso da implantação de um SI, tomando como base os dados levantados, e
permitindo inclusive a comparação objetiva de diversas implantações, de modo que se
possa entender melhor o que contribui mais ou menos para o sucesso de tais iniciativas.
É importante observar que diversos aspectos propostos por Dias (2002) constam nos
modelos sugeridos por DeLone e McLean (1992, 2003), embora estes não sejam
citados. O que tanto DeLone e McLean (1992, 2003), como Seddon et al.(1999) e Alter
(1999) não consideraram foram os fatores Custo e Valor Adicionado, que, na realidade,
podem contribuir positivamente na avaliação de sistemas de informação, dado que
nenhuma implantação pode de fato desconsiderar os fatores econômicos de custo-
benefício. Por outro lado, Dias (2002) busca analisar formas de mensuração de sucesso
de sistemas de informação olhando o sistema como entidade a parte, o que se contrapõe
23
a todas as visões dos diversos pesquisadores citados, em que os benefícios têm que ser
verificados e medidos nos processos de negócio, e não em função de aspectos técnicos
do sistema de informação em si.
2.7 – Modelo de Melville et al. (2004) de Valor de Negócio da TI
Melville et al. (2004) elaboraram um modelo de geração de valor para o negócio
advinda de investimentos em TI, baseado na Visão Baseada em Recursos (VBR) ou
Resource-Based View (RBV). A RBV parte de uma visão holística dos fatores que
influenciam a geração de resultados positivos no desempenho organizacional, a partir da
aplicação de recursos organizacionais, tecnológicos e humanos.
Fig 8 – Modelo de Valor de Negócio da TI
[MELVILLE et al., 2004, Fig 1, pg 293]
24
A pesquisa de Melville et al. (2004) foi baseada numa revisão de 202 trabalhos
acadêmicos publicados sobre o valor da TI para o negócio. Os autores buscaram
sintetizar as conclusões anteriormente geradas para estruturar melhor o conhecimento já
adquirido e facilitar a continuidade de futuras pesquisas, a partir de novas proposições
por eles definidas.
Os autores reconhecem que há uma certa ambigüidade em relação ao que seriam as
linhas de pesquisa sobre o valor da TI para o negócio, dada a variedade de
conceitualizações adotadas pelos pesquisadores, o que torna difícil a comparação e
integração das diversas conclusões. Portanto, eles primeiramente propuseram uma
terminologia, delimitaram o escopo de sua pesquisa e fizeram uma revisão das teorias e
paradigmas e das modelagens adotadas nos estudos anteriores. A seguir, Melville et al.
(2004) elaboraram seu Modelo Integrativo de Valor de TI para o Negócio,
fundamentado na perspectiva RBV.
Os autores identificaram cinco conceitualizações básicas de geração de valor: (1) a
visão da TI como ferramenta ou seja, algo que seus desenvolvedores constroem para
determinado fim, e que, presumivelmente, cumpre suas funções conforme definidas,
gerando o valor previsto; (2) a visão da TI por aproximação ou substituição (proxy
view), em que a TI é estudada por fenômenos associados, como seu valor financeiro de
implantação, visão adotada por muitos pesquisadores; (3) a visão conjunta (ensemble
view), que analisa a interação das pessoas e da tecnologia, tanto durante o
desenvolvimento como no seu uso; (4) a visão computacional, que analisa TI do ponto
de vista técnico, em termos de algoritmos e programas, que não tem muita
aplicabilidade para uma visão do valor de negócio da TI; e (5) a visão nominal, em que
TI aparece apenas como coadjuvante de um processo maior de melhoria organizacional,
sem, no entanto, ter nenhum papel fundamental na adição de valor ao negócio.
A partir destas visões, Melville et al. (2004) acham necessário rever a conceitualização
da TI, propondo eles mesmos uma nova visão, de modo a facilitar o avanço dos estudos
e das pesquisas sistemáticas relacionadas com o valor da TI para o negócio. Eles
conceituam o valor da TI para o negócio como sendo:
25
“...os impactos da Tecnologia da Informação no nível dos processos intermediários e no nível
organizacional como um todo, incluindo tanto os impactos em melhoria de eficiência, como de
vantagens competitivas”. (p. 287)
O Modelo Integrativo do Valor da TI para o Negócio, conforme proposto por Melville
et al. (2004), parte do princípio de que as pesquisas têm seguido diversos paradigmas
teóricos para a análise da contribuição da TI para o Negócio, baseados na Teoria
Microeconômica, na Teoria da Organização Industrial e nas Perspectivas Sociológica e
Sócio-Políticas. Os autores consideram que estes paradigmas levaram a uma série de
pesquisas desintegradas, cujos resultados muitas vezes são até sobrepostos. O modelo
proposto pelos autores tenta integrar e analisar todas as complexidades associadas à
aplicação da TI nas organizações e os impactos nos resultados organizacionais.
Foi adotada a perspectiva RBV, que tem seus fundamentos intelectuais na Teoria da
Competição Imperfeita, na Teoria da Competição Monopolística e na Teoria do
Crescimento da Empresa (MELVILLE et al., 2004). Conforme os autores, esta visão
tem sido utilizada com sucesso para examinar as implicações em termos de eficiência e
vantagem competitiva para a aplicação de determinados recursos empresariais, como
empreendedorismo, cultura e rotinas organizacionais. Os autores acham que a mesma
visão é útil para analisar os resultados da aplicação de Tecnologia da Informação no
contexto organizacional, em termos de resultados obtidos. Também facilita fazer
paralelos entre a aplicação da Tecnologia da Informação e outros recursos
organizacionais.
Melville et al. (2004) concluem que:
(1) TI causa impacto sobre os resultados organizacionais através dos processos
de negócio intermediários;
(2) outros recursos organizacionais, como, por exemplo, práticas de trabalho,
interagem com a TI, como mediador ou moderador, para que a organização
alcance seus objetivos;
26
(3) o ambiente externo influencia a geração de valor pela TI; e
(4) é importante desagregar os componentes da TI de forma a analisá-los de
forma mais estruturada.
Resumindo, se a TI correta for aplicada dentro dos processos de negócio corretos, o
resultado será uma melhoria de processos de negócio e, por conseguinte, dos resultados
da organização, estando esta melhoria condicionada a investimentos complementares
nas práticas de trabalho e na estrutura organizacional, e sendo influenciada pelo
ambiente competitivo.
Conforme sintetizado na Tabela 1, o modelo proposto por Melville et al. (2004)
considera os seguintes construtos:
Firma focal – Primeiro domínio de análise, a firma focal é a organização que adquire e
aplica o recurso de TI. Dentro da firma focal, o valor de negócio de TI é gerado pela
aplicação de Recursos de TI e de Recursos Organizacionais Complementares dentro dos
processos de negócio. A aplicação de Recursos de TI e dos Recursos Organizacionais
Complementares podem melhorar os processos de negócio ou até habilitar novos
processos, resultando assim em impactos no desempenho organizacional (Brynjolfsson
e Hitt, 2000). O domínio da firma focal engloba os recursos de TI (capital físico, capital
humano de pessoal de TI), os recursos organizacionais complementares (capacidade
organizacional de absorver mudanças provocadas pela introdução de novos processos
habilitados pela TI), processos de negócios, desempenho dos processos de negócio e
desempenho organizacional.
Recursos de TI – Para melhor sintetizar os Recursos de TI, Melville et al. (2004)
classificam inicialmente os recursos da firma como capital físico, capital humano e
capital de recursos organizacionais. A partir de uma classificação feita por Barney
(1991), os recursos de capital físico de uma firma incluem equipamentos, plantas,
localização geográfica, acesso a matéria prima e tecnologia física, da qual faz parte o
Recurso Tecnológico de TI. O Recurso Tecnológico de TI inclui tanto hardware
27
(estrutura tecnológica e serviços compartilhados na organização), como software
(aplicativos de negócio, como sistemas de venda e sistemas de gestão contábil).
O segundo tipo de recurso da firma é o capital de recursos humanos, onde é possível
encontrar o segundo componente de Recursos de TI, no caso, o Recurso Humano de TI.
Conforme Bharadwaj (2002), Dehning e Richardson (2002) e Ross et al. (1996), o
Recurso Humano de TI inclui tanto o componente de capacidade de gestão, como o
componente de perícia técnica em TI. Como perícia técnica de TI, podemos citar a
capacidade de análise e programação no desenvolvimento e integração de sistemas,
assim como na manutenção de sistemas já existentes. Por outro lado, a capacidade
gerencial inclui a capacidade de identificar os projetos adequados, de prover os recursos
necessários para seu desenvolvimento e implantação, e de liderar equipes, motivando-as
e direcionando-as para que os resultados sejam alcançados, de acordo com os requisitos
e dentro das limitações financeiras e de cronograma.
Recursos Organizacionais Complementares – Normalmente, a boa aplicação de TI nas
empresas é acompanhada de mudanças organizacionais significativas (Brynjolfsson e
Hiit, 2000; Brynjolfsson et al., 2002; Cooper et al., 2000), inclusive mudanças de
normas, políticas e regras, estruturas organizacionais, práticas de trabalho e até cultura
organizacional. Quando há uma sinergia entre TI e outros recursos da firma, estes são
chamados de Recursos Organizacionais Complementares.
Processos de Negócios – De acordo com Davenport (1993, p. 5), um processo de
negócio “é o ordenamento específico das atividades de trabalho ao longo do tempo e do
espaço, com um início, um fim e entradas e saídas claramente identificadas”. Pela
perspectiva da teoria do RBV, processos de negócio providenciam o contexto no qual se
pode examinar o locus da exploração direta dos recursos (MELVILLE et al., 2004).
Conforme Melville et al. (2004), uma determinada empresa executa um conjunto
numeroso de processos de negócios de modo a atingir seus objetivos estratégicos, o que
cria um conjunto de oportunidades para a aplicação de TI de modo a otimizar processos
de negócio e o desempenho organizacional. Ademais, segundo Straub e Watson (2001),
numa organização habilitada pelo uso de tecnologia baseada na internet, TI não somente
pode ajudar a otimizar processos individuais, mas também habilitar sínteses de
28
processos e integração que vence barreiras físicas e organizacionais (BASU e
BLANNING, 2003).
Desempenho – No contexto do estudo de Melville et al. (2004), desempenho inclui
tanto o desempenho dos processos de negócio como o desempenho organizacional
como um todo. No primeiro caso, Melville et al. (2004) apontam uma série de medidas
associadas com a melhoria de eficácia operacional em processos de negócio específicos,
como melhora na qualidade dos projetos e melhorias no giro de estoque. Por outro lado,
o desempenho organizacional denota os impactos de desempenho agregado na
organização habilitados por TI, com métricas relacionadas a redução de custos, aumento
de receita e vantagens competitivas.
Ambiente Competitivo – Melville et al. (2004) afirmam que a firma focal opera num
ambiente competitivo, o qual tem dois componentes: características da indústria e
parceiros de negócio. As características da indústria incluem o grau de concorrência,
regulação, mudança tecnológica, velocidade do negócio, e outros fatores que afetam a
forma pela qual a TI, ao ser aplicada no negócio, pode agregar valor (DEVARAJ e
KOHLI, 2003; HILL e SCUDDER, 2002; JORGENSON et al., 2003; KETTINGER et
al., 1994; KRAEMER et al., 2000). Por outro lado, quando a TI avança além das
fronteiras da firma, os processos de negócio, recursos de TI e recursos não-TI dos
parceiros de negócio passam a ter um papel importante na geração de valor pela
aplicação de TI na firma focal.
Macro-Ambiente – A camada final do modelo integrativo proposto por Melville et al.
(2004) é o macro-ambiente em que a firma focal opera, que inclui fatores relacionados
com as características do país. (ex. apoio e regulamentação governamental sobre
desenvolvimento e aplicação de TI nas empresas, disponibilidade de talentos de TI,
infra-estrutura de informação, a existência ou não de culturas de TI e informação).
29
Tabela 1 - Construtos do Model o I. FIRMA FOCAL Recursos de TI Recursos Tecnológicos de TI (RTTI) Recursos Humanos de TI (RHTI)
Infraestrutura: tecnologia e serviços de tecnologia compartilhados na organização. Perícia tecnológica: programação, integração de sistemas, desenvolvimento de bancos de dados, etc. Perícia gerencial: colaboração com Unidades de Negócio e organizações externas, planejamento de projetos.
Recursos Organizacionais Complementares
Recursos organizacionais complementares a TI, categorias que incluem recursos físicos fora da TI, recursos humanos fora da TI, e recursos organizacionais, inclusive a estrutura organizacional, políticas e normas, práticas de trabalho, cultura, etc.
Processos de Negócio Atividades subjacentes nos processos que agregam valor (transformando entradas em saídas). Logística de entrada, manufatura, vendas, distribuição, serviços para os clientes, etc.
Desempenho Desempenho dos Processos de Negócio Desempenho Organizacional
Eficiência operacional de processos de negócio específicos, medidas que incluem serviços prestados aos clientes, flexibilidade, recolhimento de informação e gestão de ativos. Desempenho organizacional geral, inclusive produtividade, eficiência, lucratividade, valor de mercado, vantagem competitiva, etc.
II. AMBIENTE COMPETITIVO Características da indústria Fatores da indústria que influenciam a forma com que TI é
aplicada dentro da firma focal de modo a gerar valor para o negócio, inclusive competitividade, regulamentação, velocidade dos negócios, etc.
Recursos de parceiros de negócio e processos de negócio relacionados
Recursos de TI e não-TI e processos de negócios de parceiros de negócios como fornecedores e clientes.
III. MACRO-AMBIENTE Características do País Fatores macro que influenciam a aplicação de TI e a geração de
valor de negócio pela TI, inclusive grau de desenvolvimento, infraestrutura básica, educação, investimento em pesquisa e desenvolvimento, taxa de crescimento populacional, cultura, etc.
Tabela 1 – Construtos do Modelo Melville et al.
[MELVILLE et al., 2004, Tabela 1, pg 295]
30
Baseado no Modelo Integrativo de Análise do Valor da TI para o Negócio, Melville et
al. (2004) definiram diversas proposições:
1A – O recurso de TI, tanto tecnológico como em termos de perícia humana, cria
valor econômico para a empresa focal, conferindo eficiências operacionais que
variam em magnitude e tipo, dependendo do contexto tecnológico e
organizacional.
1B – Perícia humana em TI, em complemento a recursos tecnológicos de TI,
pode criar vantagens competitivas temporárias que estão por trás de diferenças
entre resultados alcançados por empresas diferentes.
2A – Certos recursos organizacionais são complementares aos recursos de TI na
geração de valor de TI para o Negócio para a empresa focal. A existência e a
magnitude da complementaridade de quaisquer instâncias destes recursos variam
de acordo com os contextos organizacional e tecnológico.
2B – Quanto mais os recursos raros de uma organização que sejam difíceis de
imitar e que não tenham substitutos forem complementares aos recursos de TI,
maior o grau de vantagem que a empresa focal pode alcançar e manter uma
vantagem competitiva.
3A – As características da indústria moderam a habilidade das empresas em
aplicar TI para melhoria organizacional e também de capturar os benefícios
pretendidos.
3B – Quanto maior a concorrência em determinada indústria, maior o grau com
que as empresas conseguem alcançar aumentos de eficiência pela aplicação de
TI.
31
3C – Quanto maior a concorrência em determinada indústria, menor o grau com
que as empresas conseguem se apropriar dos benefícios de aumento de eficiência
e alcançar um aumento de lucratividade pela aplicação de TI.
4A – Os recursos de TI e os recursos não-TI e os processos de negócios de
parceiros conectados eletronicamente influenciam a habilidade da empresa focal
de gerar e capturar melhorias de eficiência organizacional através da aplicação
de TI.
4B – Quanto maior o poder da empresa focal em relação a seus parceiros de
negócio conectados eletronicamente através de sistemas de informação inter-
organizacionais, maior será a parcela de valor agregado que poderá alcançar pela
implantação desses sistemas.
5A – O ambiente externo macro influencia o grau em que as empresas
conseguem aplicar TI para melhorias organizacionais.
5B – A infra-estrutura de telecomunicações – que é um recurso complementar e
co-especializado junto com o recurso de TI – modera o valor econômico de um
sistema de informação inter-organizacional para a empresa focal e para seus
parceiros de negócio. O grau de moderação depende do contexto organizacional
e tecnológico.
Concluindo, de acordo com Melville et al. (2004), há várias linhas de pesquisa que
buscam relacionar a aplicação de TI com resultados organizacionais, muitas das quais
com premissas e metodologias divergentes. A falta de integração resultou em
ambigüidades e debates sobre princípios básicos, alguns dos quais até extrapolam a
comunidade de pesquisas de gestão de TI.
A análise de Melville et al. (2004) responde diretamente a este desafio, com um
acúmulo de conhecimento sobre o valor da TI para o negócio, através da integração das
idéias propostas nas diversas linhas de pesquisa que fundamentaram o estudo
conduzido, com uma visão integrativa, proposta esta que os autores consideram como
32
sendo inovadora. O estudo integrou pesquisas quantitativas empíricas que endereçam o
chamado paradoxo da produtividade, pesquisas conceituais e empíricas que avaliam as
implicações em termos de vantagens competitivas pela aplicação de TI, e pesquisas
empíricas qualitativas sobre resultados de impacto na performance pela aplicação de TI,
em um só framework conceitual de valor de TI para o negócio.
No final da pesquisa, Melville et al. (2004) reconhecem que a TI é valiosa e que oferece
um leque de benefícios em potencial, desde uma maior flexibilização e melhorias de
qualidade, até a redução de custos e aumentos de produtividade. Sua análise reconhece
que as vantagens competitivas decorrentes de Recursos Tecnológicos e de Recursos
Humanos de TI são de curta duração. Quanto aos mecanismos pelos quais o valor é
atingido, os autores colocam que o alto grau de complexidade conduz a um conjunto de
sinergias dependentes do contexto de combinações de TI e de outros recursos
organizacionais, inclusive de práticas de trabalho, iniciativas de mudanças, a própria
estrutura organizacional e a condição financeira da organização. Os autores também
constataram que, quanto mais rarefeitos e de mais difícil substituição forem estes
recursos, mais provável será que se alcance vantagens competitivas sustentáveis.
Quanto ao ambiente externo, Melville et al. (2004) concluem que as características de
determinadas indústrias (ex. regulamentação forte), podem limitar o valor da TI para o
negócio. Por outro lado, outros aspectos da indústria, como, por exemplo, uma mudança
tecnológica acelerada, podem habilitar os líderes a alcançar e manter os benefícios de
seus investimentos em TI. Também foi identificado que, no caso de relações de poder
em que a empresa focal já tem uma posição vantajosa em relação a seus parceiros, o
investimento em sistemas de informação inter-empresas pode reforçar a relação de
poder, de modo que a empresa com maior poder alcance resultados melhores do que as
empresas com menor poder.
33
2.8 – Modelo de Seddon et al. (2010) para mensuração de Benefícios
Organizacionais resultantes da implantação de projetos de Sistemas Corporativos
(Enterprise Systems)
Constatada a existência de muitas empresas que são atualmente usuárias de sistemas
integrados de gestão (SIG) ou ERP, ou de sistemas corporativos de tamanho e peso
equivalente, sendo que nem todas auferiram as vantagens que normalmente se associa a
este tipo de implantação, Seddon et al. (2010) analisaram estudos de caso de empresas
clientes de um dos sistemas líderes de ERP no mercado e elaboraram um modelo de
fatores de Benefícios Organizacionais de Sistemas Corporativos, ou, em inglês,
Organizational Benefits from Enterprise Systems (OBES). A pesquisa teve como
objetivo responder à pergunta: “Quais são os fatores-chave que explicam a variação nos
benefícios organizacionais gerados com a implantação de sistemas corporativos
(enterprise systems)?”
Seddon et al. (2010) apresentam, justificam e conduzem um teste preliminar do modelo
OBES. Este modelo foi sintetizado a partir de uma análise de literatura e depois
avaliado com base em 126 apresentações de empresas clientes da SAP, empresa líder
em sistemas corporativos, em duas conferências mundiais desta empresa, (SAPPHIRE
USA), em 2003 e 2005. A contribuição do estudo de Seddon et al. (2010) é um modelo
multi-projeto de fatores que afetam os benefícios organizacionais pela implantação de
sistemas de gestão corporativa, combinado com evidências de que o modelo
aparentemente é confirmado pelas evidências colhidas a partir dos dados coletados.
Uma das conclusões de Seddon et al. (2010) é que, conforme visto na experiência de
muitas empresas usuárias, a implantação de um sistema corporativo não é um projeto
fechado, como poderia se pensar a princípio, com início, desenvolvimento, go-live e
produção (e eventual desativação, pela substituição por um sistema mais atualizado). Na
realidade, é comum ocorrerem uma sucessão de projetos de melhoria e de atualizações,
com implantações sucessivas de módulos e funcionalidades adicionais, representados
no modelo proposto como um conjunto de Projetos Corporativos de Grande Porte para a
Melhoria Organizacional em Curso.
34
Fig 9 – Modelo de Fatores OBES que afetam os Benefícios Organizacionais de Sistemas Corporativos
[SEDDON et al., 2010, Fig 1, pg 307]
O modelo OBES de Seddon et al. (2010) inclui os construtos descritos na Tabela 2.
35
Tabela 3 - Definições dos fatores no modelo OBES Fator Definição
Benefícios organizacionais pelo uso de sistemas, pela perspectiva da alta administração
Esta variável dependente do modelo OBES é uma medida abrangente dos benefícios pela aplicação de aplicativos baseados em TI. Os benefícios, que podem ser avaliados tanto em termos de projetos individuais como em termos do investimento total em sistemas corporativos, tem a ver com a (1) coordenação e execução mais rápida e precisa dos processos, inclusive no que diz respeito à conectividade com parceiros de negócio nas duas pontas do supply chain e (2) maior acurácia e visibilidade nos dados organizacionais, o que resulta em processos organizacionais com maior grau de controle, utilização de ativos otimizada, e melhores processos decisórios. Estes benefícios variam ao longo do tempo.
Modelo de curto prazo - variáveis independentes que tem resultados diferenciados para cada projeto
Atendimento a requisitos funcionais Verifica o grau de atendimento do pacote do sistema corporativo (ES) aos requisitos funcionais para a operação eficaz e eficiente da organização. Dizer que os requisitos funcionais são atendidos pelo sistema equivale a dizer que (1) os processos suportados pelo sistema corporativo são eficientes e eficazes para a organização e (2) o software ajuda as pessoas da organização a executar suas tarefas de trabalho. O grau de atendimento aos requisitos funcionais é verificado projeto a projeto. Os requisitos funcionais não tem a ver com a capacidade ou o desejo das pessoas utilizarem o sistema, o que é medido pelo próximo fator.
Capacidade de vencer a inércia organizacional
A capacidade de vencer a inércia organizacional verifica o grau em que os membros da organização foram motivados a aprender a usar o sistema, a efetivamente aceitar e usá-lo. Durante a implantação inicial e durante os subsequentes projetos de upgrade, deve haver considerável esforço de gestão de mudanças, treinamento e suporte de modo a vencer a inércia organizacional. Este fato é conceitualmente medido projeto a projeto.
Modelo de longo prazo - variáveis independentes:
Integração Integração de sistemas de informação significa a unificação de processos, sistemas, e/ou dados de múltiplos sistemas de informação baseado em computadores, não necessariamente restritos à mesma organização. De acordo com Ross et al (2006, pp 27-28), "a integração unifica os esforços das unidades organizacionais através de dados compartilhados. Este compartilhamento de dados pode ser entre processos que habilitam o processamento transacional ponta-a-ponta, ou então pode abranger diversos processos que permitem que uma organização apresente uma única interface para seus clientes... o maior desafio da integração é normalmente em relação aos dados."
Otimização de processos Otimização de processos busca melhorar a eficiência e a eficácia dos processos organizacionais, de modo a melhor suportar os objetivos estratégicos. Ao trabalhar com clientes-chave, construindo software que ajuda as empresas clientes a padronizar e otimizar seus processos, os fornecedores de sistemas corporativos oferecem a estes clientes o acesso a conjuntos padronizados de "melhores práticas" provenientes de outras organizações líderes de mercado. Porém, os sistemas corporativos permitem a customização para atender a requisitos locais específicos.
Melhoria no acesso à informação Melhoria no acesso à informação tem a ver com tudo que é feito no sentido de fornecer informação relevante, tempestiva e precisa (inclusive informação anteriormente invisível) para os tomadores de decisão da organização.
Projetos corporativos de grande porte para melhoria organizacional em curso
O conjunto de projetos corporativos de grande porte para melhoria organizacional em curso é uma medida da quantidade e extensão dos investimentos dos principais projetos de melhoria nos negócios que uma organização implantou para melhoria e extensão do seu sistema corporativo. Os principais projetos de melhoria dos negócios são aqueles que resultam em mudanças na forma com que os negócios são conduzidos (ao contrário de investimentos em infraestrutura, por exemplo, os quais são invisíveis à organização). Exemplos incluem a implantação de um sistema CRM após a implantação de um ERP, um upgrade do ERP que resulta em mudanças e otimizações nos processos de negócio ou um novo sistema de datawarehousing. O conjunto de projetos corporativos do modelo OBES estão representados na Figura 8.
Tabela 2 – Construtos do Modelo OBES
[SEDDON et al., 2010, Tabela 1, p. 307-308]
36
As hipóteses que foram testadas por Seddon et al. (2010) foram:
H1 – Quanto maior o grau de alinhamento funcional de cada projeto de
implementação de sistemas corporativos, maiores os benefícios do uso dos
sistemas.
H2 – Quanto maior o sucesso em vencer a inércia organizacional em cada
projeto de implementação de sistemas corporativos, maiores os benefícios do
uso dos sistemas.
H3 – Quanto maior a integração habilitada pelos sistemas corporativos, maiores
os benefícios do uso dos sistemas.
H4 – Quanto maior o esforço para otimização dos processos pela implementação
de sistemas corporativos, maiores os benefícios do uso dos sistemas.
H5 – Quanto maior for o nível de melhoria no acesso à informação pela
implementação de sistemas corporativos, maiores os benefícios do uso dos
sistemas.
H6 – Quanto maior for o investimento em projetos em curso de melhoria
organizacional pela implementação de sistemas corporativos, maiores os
benefícios do uso dos sistemas.
A análise conduzida por Seddon et al. (2010) indicou haver suporte empírico para as
hipóteses acima listadas. Os autores chegaram às seguintes conclusões:
1. As organizações investem em sistemas corporativos para ajudar a
executar seus processos de negócio de forma mais eficiente.
Funcionalidade do software (H1), integração (H3) e otimização de
processos (H4) foram aspectos discutidos com muita freqüência nas
apresentações analisadas nos dois eventos.
37
2. Duas grandes dificuldades enfrentadas pelas organizações em projetos de
sistemas corporativos são a necessidade de vencer a inércia
organizacional (H2) e ter um go-live com sucesso.
3. Organizações investem em sistemas corporativos para obter melhorias
nas informações para processos decisórios (H5). Vários comentários
colhidos nas apresentações mostram ser este aspecto uma fonte muito
importante de benefícios organizacionais.
4. A propriedade de sistemas corporativos, que inclui a aquisição,
implantação e manutenção destes sistemas, normalmente envolve uma
série de projetos paralelos em curso (H6).
Apesar de a pesquisa de Seddon et al. (2010) se basear em apresentações de clientes de
um único fabricante de software ERP (a SAP), os autores concluíram que embora possa
ter havido um viés positivo em favor do fabricante, o que tenderia a reduzir a validade
dos dados colhidos, as apresentações continham muita riqueza de detalhes sobre os
projetos, por parte de representantes de grandes empresas. Por conta do seu
posicionamento independente como clientes de grande porte, estes tiveram a
oportunidade de colocar com muita franqueza pontos fracos dos sistemas e dificuldades
encontradas no desenvolvimento dos projetos. Com isto, Seddon et al. (2010) acreditam
que as evidências colhidas nas Conferências SAPPHIRE promovidas pela SAP são
válidas para gerar um melhor entendimento dos benefícios da implementação de
sistemas corporativos.
38
2.9 – Modelo Integrativo
Podemos concluir, com base na literatura acadêmica pesquisada, que a aplicação da
Tecnologia da Informação nas organizações tem o potencial de gerar benefícios
importantes, tanto operacionais, quanto estratégicos. Diversas pesquisas claramente
contradizem o chamado paradoxo da produtividade, indicando que, na realidade, há uma
relação positiva entre investimentos em TI e produtividade geral das empresas. Porém,
não há ainda consenso sobre o processo de geração dos benefícios específicos
provenientes da implementação de um sistema de informação. Há diversos estudos que
apontam efetivamente para a geração de vantagens competitivas, embora não de forma
sustentável, com a implantação de Sistemas de Informação, sendo que quanto maior o
alinhamento funcional do sistema com os requisitos do negócio, maiores os benefícios
alcançados.
O modelo originalmente proposto por DeLone e McLean (1992) continua sendo a base
de muitas pesquisas, que procuram estender os seus conceitos e consolidar as relações
entre os seus construtos. Os outros artigos pesquisados nesta revisão de literatura
complementam o trabalho original de DeLone e McLean (1992), confirmando que há
possibilidade de obtenção de vantagens competitivas na implantação de Sistemas de
Informação e que há várias formas de medir os impactos resultantes. No entanto, o
referido modelo é limitado no que diz respeito a uma visão da interação entre o Sistema
de Informação implantado e o impacto nos processos de negócio. Seu foco está mais
nos aspectos de aceitação pelo usuário, uma vez que o maior uso do sistema
supostamente resultaria em benefícios organizacionais, não se analisando os impactos
de mudanças ou melhorias nos processos de negócio. Por conta destas limitações, este
modelo foi adotado para subsidiar o estudo de campo realiado na presente pesquisa.
Conforme colocado por Seddon (1997), é necessário entender que perspectiva será
adotada na avaliação dos benefícios de um SI: a do usuário final, a do grupo gerencial
em que o sistema foi implantado, ou a da administração ou dos proprietários da
empresa. Normalmente, numa avaliação empresarial, a perspectiva será a da
administração, que é quem toma as decisões quanto ao investimento. Porém, a avaliação
39
do usuário e do grupo ou unidade gerencial também é importante, dado que a falta de
aceitação de um novo sistema de informação pelos usuários finais ou pelos níveis
gerenciais poderá afetar o uso apropriado do sistema, que é um dos fatores de sucesso
apontado por diversos autores pesquisados.
O modelo proposto por Melville et al. (2004) deixa claro que há diversos
condicionantes internos e externos que podem afetar positiva ou negativamente o
alcance dos benefícios organizacionais da aplicação de TI nas organizações. Em termos
gerais, Melville et al. (2004) reconhecem que a TI é valiosa e que oferece um leque de
benefícios em potencial, desde uma maior flexibilização e melhoria de qualidade, até a
redução de custos e aumentos de produtividade.
Há diversas propostas de mensuração dos resultados de iniciativas de TI, como as dos
artigos de Dias (2002) e Gable et al. (2008), assim como há diversos modelos que
podem servir de base para a definição dos construtos a serem analisados num estudo de
caso específico. A partir deles, é possível avançar no sentido de realizar pesquisas
baseadas em modelos estruturados de mensuração dos impactos de Sistemas de
Informação, adotando métricas testadas, de modo a apoiar as organizações quanto ao
melhor entendimento dos benefícios alcançados (ou não) pelos seus respectivos
investimentos. Porém, os modelos de mensuração por métricas descritas neste capítulo
não contemplam o contexto de negócio da organização e como os Sistemas de
Informação interagem com os processos de negócio de forma a gerar valor para a
empresa. Deste modo, não foram considerados como base para o estudo de caso
conduzido nesta pesquisa.
Dado o exposto acima, os modelos escolhidos para serem avaliados empiricamente no
presente trabalho foram os de Melville et al. (2004) e de Seddon et al. (2010).
Considerou-se que o primeiro modelo é o mais abrangente entre os modelos estudados,
em termos de visão de benefícios organizacionais, provendo uma visão clara de
contexto do negócio e dos seus processos. O segundo modelo, mais atual, integra muito
das análises e modelos de outros pesquisadores, porém com uma visão mais detalhada
do contexto dos processos de negócio. Embora ambos os modelos proponham
construtos específicos e relações causais para explicar os impactos da TI nos processos
40
de negócio e na geração de valor agregado, pode-se, na realidade, identificar uma
complementaridade entre eles, na medida em que o primeiro tem uma visão muito mais
abrangente do contexto da organização, contemplando inclusive o ambiente externo,
enquanto que o segundo adota uma perspectiva mais próxima e detalhada dos projetos
de implantação de Sistemas de Informação e de suas particularidades.
Propôs-se aqui, dessa forma, avaliar empiricamente um modelo integrativo construído a
partir dos modelos de Melville et al. (2004) e de Seddon et al. (2010), e não os dois
modelos separadamente. Por um lado, vários dos construtos contemplados no modelo de
Seddon et al. (2010) permitem um maior detalhamento do construto “processo de
negócios” do Modelo de Melville et al. (2004), descrevendo como a implantação de
sistemas de informação corporativos influencia os processos organizacionais, por
conseguinte melhorando seu desempenho. Por outro lado, o construto associado a
benefícios organizacionais incluído no Modelo de Seddon et al. (2010) pode ser visto
como uma agregação dos construtos “desempenho dos processos de negócio” e
“desempenho organizacional” do Modelo de Melville et al. (2004). A figura 10 sintetiza
a integração dos dois modelos proposta neste trabalho.
41
Fig. 10 - Modelo integrativo dos Modelos de Melville et al. (2004) e Seddon et al. (2010)
[proposto pelo autor]
42
3 – METODOLOGIA
Esta pesquisa pretendeu avaliar, segundo a ótica dos modelos propostos por Melville et
al. (2004) e Seddon et al. (2010), os benefícios da implantação do sistema corporativo
SAP BusinessObjects GRC Process Control na Petrobras. A análise teve por base dados
qualitativos sobre a experiência pessoal de vários dos envolvidos no projeto,
representando o principal patrocinador, a equipe de desenvolvimento, os
administradores e os usuários finais. No caso específico do sistema GRC Process
Control, o processo de negócio em foco é o de certificação dos controles internos
perante a Lei Sarbanes-Oxley de 2002.
Optou-se por adotar como metodologia o estudo de caso único exploratório, dado que a
presente pesquisa trata de um caso representativo de implantação de um sistema
corporativo numa empresa de grande porte, caso este único no Brasil envolvendo o
GRC Process Control, até então. Esta metodologia permite a captura das circunstâncias
e das condições em que o sistema foi implantado e permite colher lições que suportem
um processo de aprendizado para outras organizações, no que se refere à tomada de
decisões sobre investimentos em sistemas de informação, especificamente no que tange
à avaliação dos benefícios organizacionais resultantes.
O estudo de caso é indicado como metodologia de pesquisa quando se examinam
acontecimentos contemporâneos, porém sem que seja possível manipular
comportamentos relevantes (YIN, 2005, p. 26). O estudo de caso, quando comparado
com pesquisas históricas, conta ainda com a observação direta dos acontecimentos que
estão sendo estudados e também com entrevistas das pessoas neles envolvidas,
buscando responder às questões “como” e “por que” (YIN, 2005, p. 26). Conforme Yin
43
(2005, p. 32): “Um estudo de caso é uma investigação empírica que investiga um
fenômeno contemporâneo dentro do seu contexto da vida real, especialmente quando os
limites entre o fenômeno e o contexto não estão claramente definidos”. Como exposto
na revisão de literatura, uma das dificuldades de se analisar os impactos organizacionais
resultantes da implantação de sistemas de informação corporativos é justamente a
definição dos limites entre o sistema de informação e os processos de negócio e o
contexto organizacional direta ou indiretamente afetados.
3.1 – Coleta de Dados
A análise dos benefícios organizacionais teve por insumo dados coletados em
entrevistas semi-estruturadas, documentação do projeto e observação participante junto
às áreas envolvidas na implantação e uso do sistema, aproveitando a experiência de
participação pessoal do autor como coordenador da área de negócio que conduziu o
projeto.
Conforme Yin (2005, p. 116), “uma das mais importantes fontes de informações para
um estudo de caso são as entrevistas”. De acordo com o mesmo autor, as entrevistas de
um estudo de caso exigem que o pesquisador aja em dois níveis ao mesmo tempo:
satisfazendo as necessidades de sua linha de investigação enquanto, de forma
simultânea, passa adiante questões “amigáveis” e “não-ameaçadoras” em suas
entrevistas espontâneas. Deste modo, é comum que as entrevistas para o estudo de caso
sejam conduzidas de forma espontânea, permitindo ao pesquisador “indagar aos
respondentes-chave tanto os fatos relacionados a um assunto quanto pedir as opiniões
deles sobre determinados eventos” (YIN, 2005, p. 117).
A observação participante é uma modalidade especial de observação em que o próprio
pesquisador não é um observador passivo (YIN, 2005, p. 121). Em vez disso, o
pesquisador pode assumir uma variedade de funções dentro de um estudo de caso e
pode participar dos eventos que estão sendo estudados: “inclui-se nesses papéis para
estudos ilustrativos em bairros e organizações... trabalhar como membro da equipe em
uma organização” (YIN, 2005, p. 121). A observação participante cria oportunidades
únicas, como, por exemplo, no sentido do acesso amplo aos detalhes do processo
44
ocorrido dentro da organização, além de permitir a observação da realidade por dentro
da organização. Ao mesmo tempo apresenta problemas, como, por exemplo, a possível
introdução de vieses (YIN, 2005, p. 122). Quanto se utiliza a observação participante, é
importante considerar um equilíbrio entre as oportunidades criadas e os possíveis
problemas (YIN, 2005, p. 123). Para tanto, foi adotada a triangulação entre os dados
relatados pela observação participante, levantados nas entrevistas com os stakeholders,
e obtidos na documentação do projeto. Também buscou-se o feedback dos entrevistados
sobre as conclusões geradas a partir de suas entrevistas, de forma a confirmar a visão
final obtida pelo pesquisador.
As entrevistas foram conduzidas com 26 stakeholders (ou partes interessadas),
incluindo uma parcela significativa dos gestores e os administradores do sistema, que
são da área de negócios, ou seja, não são especialistas de TI. Os stakeholders foram
escolhidos de modo a representar de forma abrangente a visão da Administração ou do
patrocinador do projeto, responsável pelo processo de negócio da certificação SOX. A
predominância de coordenadores de processos de controles internos e gestores de
auditoria interna reflete a sua maior interação com o sistema no dia a dia da certificação
Sarbanes-Oxley. Alguns gestores de processos também foram entrevistados, porém sua
percepção do sistema e dos eventuais benefícios era mais limitada por conta de
utilizarem o sistema apenas eventualmente, para inserir as informações pertinentes à
certificação. Os entrevistados estão listados na tabela 3, a seguir. A primeira coluna da
tabela apresenta os códigos utilizados no próximo capítulo para indicar as fontes dos
trechos ilustrativos incluídos no texto.
45
Código Área da Empresa DescriçãoAU1 Auditoria Interna Gerente de processos de auditoria (testes SOX)AU2 Auditoria Interna Gestor de processos de auditoria (testes SOX)AU3 Auditoria Interna Gestor de processos de auditoria (testes SOX)AU4 Auditoria Interna Gestor de processos de auditoria (testes SOX)AU5 Auditoria Interna Gestor de processos de auditoria (testes SOX)AU6 Auditoria Interna Gestor de processos de auditoria (testes SOX)AU7 Auditoria Interna Gestor de processos de auditoria (testes SOX)CI01 FINCORP/CI - Controles Internos Coordenador de processos de SOXCI02 FINCORP/CI - Controles Internos Coordenador de processos de SOXCI03 FINCORP/CI - Controles Internos Coordenador de processos de SOXCI04 FINCORP/CI - Controles Internos Coordenador de processos de SOXCI05 FINCORP/CI - Controles Internos Coordenador de processos de SOXCI06 FINCORP/CI - Controles Internos Coordenador de processos de SOXCI07 FINCORP/CI - Controles Internos Coordenador de processos de SOXCI08 FINCORP/CI - Controles Internos Coordenador de processos de SOXCI09 FINCORP/CI - Controles Internos Suporte do sistema dentro de controles internosCI10 FINCORP/CI - Controles Internos Coordenador de processos de SOXCI11 FINCORP/CI - Controles Internos Gerente controles internosCI12 FINCORP/CI - Controles Internos Gerente controles internosCI13 FINCORP/CI - Controles Internos Gerente controles internosCI14 FINCORP/CI - Controles Internos Gerente controles internosFIN1 Financeira-Contábil Gerente - Gestor de processos SOX na área financeiraFIN2 Financeira-Contábil Gerente - Gestor de processos SOX na área financeiraFIN3 Financeira-Contábil Gerente - Gestor de processos SOX na área financeiraTIC1 TI Gestor de processos na TICTIC2 TI Gestor de processos na TIC
Tabela 3 – Descrição dos Entrevistados
[Elaborada pelo autor]
3.2 – Análise dos Dados
Concluída a coleta dos dados nas entrevistas, observação participante, e documentação
do projeto, foi efetuada uma análise de aderência dos mesmos em relação à visão
integrada dos modelos teóricos de Melville et al. (2004) e Seddon et al. (2010), que foi
delineada no final do capítulo 2.
A partir da transcrição das entrevistas, os trechos significativos relacionadas com cada
um dos construtos foram buscados nas respostas. Depois, estes trechos foram separados
quanto à sua relação com os construtos em análise e catalogados de acordo com uma de
várias dimensões encontradas, de modo a poder identificar o que os entrevistados
manifestaram em termos de opiniões relacionadas com os construtos, dentro de várias
possíveis dimensões. Por exemplo, no caso em que se perguntou quanto a impactos com
a implantação do GRC Process Control, houve alguns que responderam que não viram
nenhum impacto, enquanto que outros manifestaram terem visto uma grande melhoria
no processo de certificação. Com esse trabalho, buscou-se identificar as vantagens e o
46
valor agregado percebido pelos entrevistados com a implantação do Sistema de
Informação, assim como os fatores influenciadores que geraram estas mesmas
vantagens, sendo estas estratificadas de acordo com os construtos dos modelos. Assim,
além de se avaliar a relação dos dados coletados com os construtos em si, foram
avaliados também os inter-relacionamentos especificados nos modelos teóricos. Vale
ressaltar que alguns dos fatores influenciadores identificados no estudo de caso
extrapolaram os construtos dos modelos escolhidos, resultando na extensão ou proposta
de modificação destes mesmos construtos. Trechos das entrevistas foram integrados à
narrativa do capítulo 5 para subsidiar a apresentação dos resultados da análise.
47
4 – IMPLANTAÇÃO DO SAP GRC PROCESS CONTROL NA PETROBRAS
4.1 – Introdução
A Petrobras, por força da lei Sarbanes-Oxley, promulgada pelo Congresso Norte-
Americano em 30 de julho de 2002, aplicável a todas as empresas que se financiam no
mercado de capitais norte-americano, viu-se na necessidade de documentar, avaliar e
testar seus controles internos, de modo a poder assinar uma declaração formal sobre a
existência e eficácia dos mesmos, o que passou a se chamar certificação Sarbanes-Oxley
(SOX) (ALMEIDA, 2010, p. 7). Esta declaração passou a fazer parte integrante do
relatório financeiro anual arquivado junto à Securities and Exchange Commission ou
SEC, conhecido com Form-20F, como parte das obrigações das empresas com ações no
mercado norte-americano, relativas às informações a serem prestadas aos investidores.
Além da assinatura dos representantes da empresa, há a necessidade de um parecer
independente sobre a existência e eficácia dos controles internos, com a assinatura dos
auditores independentes.
A empresa está sujeita a severas penas, caso se venha a descobrir posteriormente que as
informações prestadas na certificação SOX são falsas. No caso em que a declaração se
mostrar falsa, mas não houver dolo por parte dos declarantes, existe a previsão de pena
de reclusão de até 10 anos e multa pessoal de até US$ 1 milhão. No caso em que se
descobrir que a declaração é falsa e houver dolo por parte dos declarantes, a pena de
reclusão prevista é de até 20 anos e a multa pessoal, de até US$ 5 milhões, conforme a
Sarbanes-Oxley Act of 2002, seção 906.
48
Há relatos na literatura de empresas que tiveram ressalvas em suas certificações e que
sofreram redução no seu valor de mercado como consequência. Como as ressalvas tem
que ser divulgadas junto com os relatórios financeiros das empresas, é relativamente
fácil avaliar o impacto de ressalvas no valor das ações das empresas. Ashbaugh-Skaife
et al. (2009) analisaram as publicações sobre deficiências declaradas em relatórios
financeiros das empresas, coletadas pela consultoria de investimentos Glass, Lewis &
Co entre novembro de 2003 e setembro de 2005 para, a partir de uma amostra inicial de
1053 empresas que efetivamente declararam fraquezas de controle, escolher 162
empresas que se encaixavam em seus critérios de análise do impacto de declaração de
fraquezas de controle no custo de capital. Após um estudo analítico, sua conclusão geral
é que empresas com declarações de fraquezas de controles tiveram um aumento de
custo de capital. O mesmo estudo mostrou que as empresas que, após declararem
fraquezas de controle, implantaram planos de remediação, com sucesso, que mitigaram
os riscos apontados pelas fraquezas nos controles, voltaram ao mesmo custo de capital
anterior.
A Tabela 4 apresenta os resultados de outro estudo conduzido pela consultoria de
investimentos Glass, Lewis & Co., que mostra a queda do valor acionário de empresas
que publicaram diferentes tipos de ressalva em suas declarações financeiras (CFO,
2005).
49
Tabela 4 – Movimento Médio dos Preços das Ações Relativo ao Mercado
[CFO – How Markets Punish Material Weaknesses,
visto no site http://www.cfo.com/article.cfm/4197475, em 10/06/2012]
Tang et al. (2012) fizeram um estudo sobre empresas que apresentaram relatórios
financeiros anuais com ressalvas em relação à seção 404 da Lei Sarbanes-Oxley. Nele, é
analisada a influência de declarações de fraquezas materiais no valor atribuído em
Credit Default Swap (CDS), instrumento financeiro geralmente negociado por
investidores no mercado de renda fixa (obrigações) para especular ou fazer hedging,
caso uma empresa incorra em descumprimento de sua dívida (risco de crédito). Os
autores concluem que a expectativa de recuperação de créditos no mercado de CDS é
menor por parte dos negociadores desses títulos para o caso de empresas com
declarações contendo fraquezas materiais. Isto pode ser entendido como um aumento do
custo de capital para as empresas que incorrem em declarações financeiras com
fraquezas materiais ou deficiências de controle interno.
A partir do exemplo de empresas que tiveram que publicar seus resultados financeiros
com ressalvas, é possível inferir que há um valor de negócio para uma empresa em
50
poder publicar seus relatórios financeiros anuais sem declarar nenhuma ressalva1 ou
fraqueza material2. Isso porque seu valor no mercado de capitais fica fortalecido, o que
permite que a empresa alavanque os financiamentos necessários para programas de
investimento e crescimento.
4.2 – O Projeto de implantação e o processo resultante da Certificação Sarbanes-
Oxley
O projeto pelo qual a Petrobras iniciou a certificação anual de seus Controles Internos
foi objeto da pesquisa de Almeida (2010). Em seu trabalho, o autor explica a natureza
do controle interno e a necessidade de documentar detalhadamente os processos de
negócios, os riscos de fraude ou erro nas demonstrações financeiras associadas a estes
processos, os objetivos de controle e os controles internos estabelecidos pela
Administração para mitigá-los.
Na prática, os controles internos estão distribuídos em todas as áreas da empresa e em
diversos níveis hierárquicos da mesma. Alguns destes controles são automatizados em
sistemas de informação, conforme mostrado na Fig. 11.
1 Ressalva – declaração de deficiência ou fraqueza nos seus controles internos 2 Fraqueza Material – declaração de deficiência de controle que abre a possibilidade de um erro material no relatório financeiro, o qual, dependendo do caso, pode requerer uma republicação do mesmo relatório.
51
Fig 11 – Definição de escopo da certificação de Controles Internos
[IT Governance Institute, 2006, Fig 4, pg 29]
Como demonstrado na Fig. 11 como já era prática na maioria das empresas no processo
de auditoria contábil do balanço, foi necessário estabelecer um processo de priorização
dos controles internos com maior impacto na organização. Para tanto, adotou-se o
critério de materialidade, pelo qual se estabelece um patamar financeiro mínimo,
baseado em algum fator do próprio plano de contas da empresa, e então se identificam
todos os processos de negócio cujas contas de balanço ultrapassam o patamar mínimo,
chamado de nível de materialidade (IT GOVERNANCE INSTITUTE, 2006). O
processo da certificação SOX, inclusive este mapeamento do escopo, está demonstrado
na Fig. 12.
52
Fig 12 – Processo de certificação da Seção 404, relativo aos Controles Internos
[ZACHARIAS, 2006, Fig 1, pg 45]
Alguns processos de negócio, embora de per si não façam parte de contas do balanço,
também são inclusos na certificação, por oferecerem riscos específicos. Esse é o caso
dos sistemas de informação que suportam os processos de negócio objeto da certificação
e os processos gerais de TI que por sua vez suportam estes sistemas de informação.
Também há processos de negócio na empresa com risco específico, como o
Contencioso ou Jurídico e o processo de Segurança, Meio Ambiente e Saúde.
Para todos esses processos de negócio identificados como relevantes para o processo de
certificação na Petrobras, assim como nas outras empresas que realizaram uma
certificação de controles internos, foi necessário mapear as suas diversas etapas e os
respectivos subprocessos, identificar os riscos de fraude ou erro nas demonstrações
financeiras e então mapear e documentar os controles internos estabelecidos pela
Administração. Uma vez documentados os controles internos, os gestores dos processos
de negócio tiveram que avaliar os desenhos de seus controles internos, no sentido de
verificar se os controles internos, como desenhados, efetivamente mitigavam os riscos
identificados nos processos de negócio. No caso de controles identificados como
ineficazes, foi necessário estabelecer um processo de correção, chamado de plano de
remediação.
Após a avaliação dos controles internos como eficazes, a auditoria interna efetuou testes
independentes de eficácia, para poder fundamentar a assinatura dos representantes da
53
empresa no processo de certificação. Novamente, havia a possibilidade de resultados
ineficazes nos testes, e, por conseguinte, a necessidade de se efetuar planos de
remediação para correção dos controles. Após a conclusão dos planos de remediação, a
auditoria interna teve que testar de novo os controles, verificando sua eficácia após os
planos de remediação.
Toda a atividade efetuada pela Administração foi repassada para a auditoria
independente, que teve então a oportunidade de aproveitar parte dos resultados ou então
efetuar novos testes de eficácia dos controles.
Enfim, o processo de certificação dos controles internos incluiu uma série de atividades
que envolveram muitos gestores de processos de negócio, para que fosse possível
chegar à etapa final, que é o sign-off propriamente dito, quando o Presidente e o
Diretor-Financeiro assinaram a declaração sobre a eficácia dos controles internos da
empresa.
Diante do exposto, foi necessário estabelecer um processo de negócio complexo para
que os representantes legais da empresa pudessem, no final do exercício fiscal, assinar a
declaração chamada de certificação SOX sem receio de estarem correndo riscos quanto
a eventuais punições por declarações não-fundamentadas. Esse processo, conforme
descrito acima, envolveu uma grande quantidade de gestores da empresa e uma grande
movimentação de informações sobre processos de negócio, riscos de fraude ou erro nas
demonstrações financeiras, objetivos de controle e controles internos.
A implantação da certificação anual dos controles internos requereu, na imensa maioria
das empresas, o apoio de consultorias em riscos e auditoria, para que se pudesse
inclusive obter uma visão das melhores práticas de controles. Os projetos de adoção
representaram uma oportunidade de aprendizado e internalização do conhecimento
técnico associado. Na Petrobras, o processo de negócio da certificação SOX foi
compreendido como algo novo e complexo, tendo-se requerido o aporte de
conhecimento específico de uma consultoria especializada. O projeto de implantação
desse processo de negócio da certificação SOX envolveu muitos órgãos e gerências e
até diversas subsidiárias da Petrobras no Brasil e no exterior.
54
Desde o início, estava claro, portanto, para a equipe responsável pela implantação da
certificação SOX no Sistema Petrobras que havia a necessidade de se ter um sistema de
informação para centralizar e apropriar toda a documentação e automatizar os processos
envolvidos. Havia ainda um claro indicativo por parte da Diretoria da Petrobras no
sentido de maximização do conhecimento adquirido, para evitar a necessidade de
contratações adicionais de consultorias para as certificações posteriores. Esse indicativo
demonstrou a importância de se buscar uma ferramenta de documentação do processo
que permitisse uma boa gestão do conhecimento, uma forma de manter vivo o
conhecimento adquirido das consultorias, com facilidade de consulta e uso futuro pelos
gestores de negócio.
4.3 – Documentação dos Controles Internos para a Sarbanes-Oxley
Curiosamente, embora a Sarbanes-Oxley Act of 2002 tivesse com meta principal
aumentar a confiança dos investidores na integridade dos relatórios financeiros, muitas
das empresas que tiveram que implantar a certificação por força da legislação adotaram
inicialmente processos de documentação baseados em programas de computador com
baixa integridade e confiabilidade, como planilhas Microsoft Excel. A equipe da
Petrobras responsável pela certificação SOX entendeu que a gestão da documentação
em planilhas dispersas na organização seria um risco muito grande para a integridade
dos resultados da certificação. Assim, buscou-se uma solução pronta no mercado que
permitisse a documentação integrada e segura de todo o processo da certificação.
A solução de documentação inicialmente adotada, o Management of Internal Controls
ou MIC, da empresa SAP, foi escolhida por oferecer todas as funcionalidades
requeridas, além de ser produto do fabricante do sistema integrado de gestão (SIG) ou
Enterprise Resource Planning (ERP) adotado pela Petrobras. Acreditava-se na época
que tal opção permitiria futuras evoluções no sentido de integração com o próprio
sistema ERP da empresa, uma vez que a maior parte dos processos de negócio
envolvidos na certificação SOX tinha seus dados processados dentro do sistema SAP
implantado na Petrobras em 2004. Além disto, muitos dos controles internos estavam
automatizados também dentro do ERP, de modo que a integração futura entre este
sistema e o sistema de documentação da SOX era claramente um alvo a ser perseguido.
55
A Petrobras conseguiu implantar e usar plenamente o MIC na sua segunda certificação
SOX, ocorrida no início de 2008, para o ano fiscal de 2007. Na primeira certificação, foi
adotada uma solução desenvolvida internamente, chamada PRISMA-MIC, apenas para
garantir uniformidade e integridade no processo de documentação dos controles internos
e na certificação. No final da primeira certificação, referente ao ano fiscal de 2006, os
dados do PRISMA-MIC foram carregados no MIC e a assinatura eletrônica do relatório
de certificação (denominada “sign-off”) foi efetuada simbolicamente no sistema pelo
Gerente Geral de Controles Internos. O processo de assinatura eletrônica envolveu a
ação do gestor no sistema “assinando”, através do sistema, uma declaração sobre a
eficácia do desenho do processo e do desenho dos controles sob sua gestão. Neste
procedimento, o gestor, após se autenticar perante o sistema, recebia uma tela em que
constava a relação dos controles e a declaração, com um botão de sistema para registrar
sua ação de sign-off.
A partir da certificação referente ao ano fiscal de 2007, o MIC da SAP, foi utilizado por
todos os gestores. Seu sistema de orquestração ou “workflow” facilitou a interação entre
todos os envolvidos no processo de certificação SOX. No final do processo, os
representantes legais da Petrobras fizeram o sign-off dentro da própria ferramenta. O
MIC já garantia desde então a aderência aos requisitos da Sarbanes-Oxley Act of 2002,
seção 802, que requer que os dados que fundamentam a certificação de uma empresa
permaneçam à disposição de uma auditoria feita pelo Public Company Accounting
Oversight Board - PCAOB ou pela Securities and Exchange Commission - SEC pelo
prazo de sete anos, com garantia de não terem sofrido nenhuma alteração.
Em 2007, a Petrobras foi informada pela SAP de que a sua solução MIC seria
descontinuada em favor de uma nova solução, chamada Governance, Risk and
Compliance Process Control ou GRC Process Control.
4.4 – Projeto de Migração do MIC para o GRC Process Control
O Projeto de Migração do MIC para o GRC Process Control foi iniciado em agosto de
2008, com previsão de entrada em produção (ou go-live) até o início de março de 2009,
já que era necessário ter a ferramenta pronta antes do início do ciclo anual da
56
certificação SOX. Assim, buscou-se evitar qualquer impacto nos usuários decorrente de
mudanças de interface do sistema e da migração de dados no meio do ciclo da
certificação.
A migração para o GRC Process Control objetivou facilitar o acesso aos dados, com
uma interface melhorada para o usuário, quando comparado com a solução anterior,
MIC. Permitiria também o uso de uma nova funcionalidade disponibilizada pela SAP,
chamada de monitoramento contínuo de controles, ou CCM – Continuous Control
Monitoring. Esse conceito, que já era disponibilizado como solução por concorrentes ou
parceiros da SAP, permitia que a Administração monitorasse de forma contínua
determinados dados-mestres no sistema ERP, dados críticos de configuração e até a
execução de determinadas transações3, de modo a identificar de forma tempestiva
possibilidades de erros ou fraudes por parte dos usuários. De acordo com Halliwell
(2007), esse monitoramento, uma vez implantado, permite inclusive substituir diversos
testes de eficácia de controles internos feitos pela Auditoria Interna, requeridos para
fundamentar a certificação, por testes automatizados executados pela mesma
ferramenta, o que reduz o esforço da Auditoria Interna e resulta em aumento de
produtividade. Além disso, ele torna possível que a própria Administração monitore de
forma contínua os controles internos mais críticos automatizados dentro do ERP, o que
está de acordo com o propósito maior da própria Lei Sarbanes-Oxley de 2002.
Toda implantação de sistemas da SAP segue uma metodologia ou sistemática chamada
de ASAP – Accelerated SAP Roadmap, que define e padroniza uma série de etapas no
projeto, conforme mostra a figura 13. Esta sistemática, definida pela própria SAP, visa a
garantia de qualidade dos projetos de implantação de seus sistemas. No caso da
Petrobras, foi solicitado à equipe de consultores da SAP que o Business Blueprint, ou
Plano de Negócios, etapa de definição dos estágios do projeto e dos recursos requeridos,
fosse efetuado antes da autorização para início do projeto, de modo a garantir que este
fosse exequível, dentro da visão dos recursos requeridos e dos recursos disponíveis, de
3 Dados-mestres são conjuntos de dados, como Cadastro de Fornecedores, Planos de Contas, Cadastros de Clientes, muitos dos quais, se manipulados de forma incorreta, podem resultar em lançamentos contábeis com erro ou fraude. Dados de configuração definem comportamentos específicos do sistema ERP, como por exemplo, tabela de limite de alçada, formas de execução de determinadas transações como, por exemplo, a forma de autorização de compras ou vendas. Dados transacionais dizem respeito aos lançamentos ou transações através dos quais as informações das atividades dos processos de negócio são lançadas dentro do ERP (HALLIWELL, 2007).
57
modo a cumprir com a premissa do go-live até 01/03/2009. O Business Blueprint foi
preparado e então submetido à aprovação da equipe da Petrobras, sendo então
demonstrada a possibilidade de se implantar o sistema antes do início do ciclo de
certificação 2009, considerando as necessidades de customização requeridas pela
empresa.
Fig 13 – Metodologia ASAP
[AVILE (2011) - visto no site http://www.avile.com.br/index.php?urlop=sap, em 01/08/2011]
Dentre os requisitos da Petrobras para a implantação do sistema, havia a necessidade de
permitir uma customização para que a Contabilidade da empresa pudesse utilizar o
mesmo sistema, porém com catálogo4 segregado e com algumas funcionalidades
adicionais. Este requisito surgiu por conta da necessidade que a Contabilidade sentiu de
acompanhar seus controles internos com um monitoramento muito mais detalhado do
que o requerido pela SOX, de modo a evitar pontos de auditoria5. Ficou acordado com
os consultores da SAP que essa customização seria realizada após o “go-live” do SAP
GRC Process Control, de modo que o trabalho adicional de programação não
impactasse a data limite de disponibilização do sistema, função do ciclo anual da SOX
da empresa.
Foi montada então a equipe do projeto, com a estrutura mostrada na Fig 14.
4 O Catálogo é a relação de Processos, Subprocessos, Riscos, Objetivos de Controle e Controles, bem como a Hierarquia Organizacional, que são os dados com o qual o sistema opera. 5 Pontos de Auditoria são exceções encontradas pela Auditoria Interna, que requerem ações corretivas por parte dos gestores, e que entram em relatórios que são encaminhadas para o Comitê de Auditoria.
58
Fig 14 – Equipe do Projeto
[desenho do próprio autor]
O projeto contemplou ainda a criação praticamente simultânea do material de
treinamento online (e-Learning). Este material foi considerado pela equipe de
implantação como importante para facilitar o uso do novo sistema pelos usuários, os
quais estavam localizados em unidades geograficamente dispersas. O preparo deste
material dependeu da disponibilização de visões de telas do sistema, preparadas pelos
desenvolvedores, sendo que em alguns casos, houve a necessidade de revisar o material
mais perto do go-live, para garantir que todas as telas e funções apresentadas no
material de treinamento continuava válido. O material foi preparado em português,
inglês e espanhol.
O processo de treinamento online foi considerado importante para evitar a necessidade
de treinamentos presenciais mais caros, dada a necessidade de deslocamentos, e também
para dar maior liberdade aos usuários para tirar eventuais dúvidas de uso do sistema
durante o próprio uso, evitando chamadas de apoio remoto. Este treinamento também
tinha como intuito reduzir a resistência dos usuários à mudança do sistema.
A entrada em produção do GRC Process Control ocorreu em 28 de abril de 2009, sendo
que o atraso se deveu principalmente a falhas do sistema devido a customizações
59
requeridas pela empresa e problemas relacionados com o ambiente de produção. Este
atraso acarretou por sua vez no deslocamento do início do ciclo anual de certificação
dos controles internos, o que foi possível absorver sem impactos maiores no processo.
As novas funcionalidades do GRC Process Control, quando comparado com a
ferramenta anterior (MIC), incluíam:
• a facilidade de o usuário poder trabalhar com várias janelas do sistema
simultaneamente, o que facilitou bastante a navegação dentro do sistema;
• a possibilidade de criação do plano passo a passo de testes de auditoria, o que
anteriormente era efetuado em planilha externa, necessário para planejar as
etapas dos testes de auditoria dos controles para a certificação;
• a possibilidade de testes automatizados dos controles, tanto para o seu
monitoramento contínuo, como para testes de compliance; e
• maior flexibilidade na programação do workflow automatizado do processo de
certificação.
O conteúdo do ambiente de Business Intelligence (BI) da SAP, chamado Business
Warehouse (BW), específico para o GRC Process Control, não ficou pronto junto com a
entrada em produção do sistema transacional. Houve falhas de permissões de acesso e
os problemas somente foram sanados em novembro de 2009. Porém, a necessidade
maior do BW para o GRC-Process Control ocorre justamente mais para o final do ciclo
da certificação SOX, quando os gestores necessitam ver, em relatório gerencial, o
estado dos controles sob sua gestão, para saber se há necessidade de qualquer
intervenção, de modo a evitar que surjam controles ineficazes ou com planos de
remediação incompletos perto do final do ano. Desta forma, os problemas e atrasos
ocorridos com o BW não chegaram a impactar negativamente o processo da
certificação.
60
Em 2009, foram documentados cerca de 90 processos de negócio e cerca de 2000
controles, envolvendo um total aproximado de 800 gestores, atuando em 15 empresas
do sistema Petrobras. Em março de 2010, o processo foi fechado com o sign-off pelos
gestores, ao longo da hierarquia da empresa, até o Presidente e o Diretor Financeiro.
Após a assinatura dos representantes legais da Petrobras, o banco de dados ficou então
bloqueado para quaisquer mudanças, assegurando a manutenção de toda a
documentação pelo prazo legal de sete anos, conforme a seção 802 da Lei Sarbanes-
Oxley de 2002.
Por conta de dificuldades relacionadas com compatibilidade entre o GRC Process
Control e o ambiente do SAP ERP, não foi possível fazer uso dos testes automatizados
ou Monitoramento Contínuo de Controles durante o ano de 2009. Foi necessário
aguardar a implantação de certos pacotes de atualização no SAP ERP. Somente no final
de 2010 foi efetuado um piloto com um conjunto reduzido de testes, incluindo cinco
testes da biblioteca standard6 da SAP, um teste de segregação de funções7 e dois testes
com ABAP Queries (scripts de extração inteligente de dados, programados na
linguagem nativa do SAP, o ABAP – Advanced Business Application Programming) já
utilizados pela Auditoria Interna. O resultado do piloto foi positivo, sendo que foi
possível verificar que o uso dessa funcionalidade do Monitoramento Contínuo de
Controles é relativamente simples, não requerendo conhecimentos de programação.
O uso do Monitoramento Contínuo de Controles tem como objetivo verificar a
existência de transações que indicam tentativa de burlar os controles internos, como, por
exemplo, desdobramento de compras, a mudança não autorizada de configurações
críticas do ERP, e a alteração não autorizada de dados críticos de dados-mestres.
Também é intenção da Gerência Geral de Controles Internos do FINANCEIRO
CORPORATIVO (FINCORP/CI) adotar a mesma ferramenta para a realização de testes
automatizados de controles sobre segregação de funções, usando como ferramenta
adicional o sistema GRC Access Control, outro módulo da mesma suíte GRC da SAP,
6 A ferramenta da SAP é entregue com uma biblioteca standard de 70 testes de controle, que podem ou não ser adequados para determinada organização. 7 Dentro do ambiente do SAP ERP, existe o conceito de se evitar uma concentração de autorizações em um mesmo usuário, de modo que esse possa, sem dividir a responsabilidade com mais ninguém, executar todo um ciclo de negócio. Este conceito é denominado de Segregação de Funções, o que normalmente requer ferramentas automatizadas para seu controle eficaz.
61
já implantado e em uso na Petrobras, mas que permite que os testes sejam realizados de
forma automatizada a partir do Monitoramento Contínuo de Controles do GRC Process
Control, ficando os resultados finais armazenados nesta última ferramenta.
62
5 – ANÁLISE DOS RESULTADOS DA PESQUISA
5.1 - Introdução
O estudo de caso conduzido nesta pesquisa teve por foco a percepção dos diversos
envolvidos na implantação do sistema GRC Process Control do nível de sucesso obtido
e benefícios organizacionais alcançados, e dos fatores que contribuíram para isso. Como
explicado no capítulo 3, os dados analisados foram coletados por meio de observação
participante, em documentos do projeto, e em entrevistas semi-estruturadas (ver Anexo
I). A análise objetivou avaliar o grau de aderência dos resultados empíricos do estudo de
caso aos construtos e relações causais propostas nos modelos de Melville et al. (2004) e
Seddon et al (2010), integrados conforme anteriormente descrito, na seção 2.9.
Este capítulo está estruturado de acordo com os construtos contemplados nos modelos
supracitados. Em cada seção, apresentam-se os resultados pertinentes ao construto
correspondente, juntamente com trechos ilustrativos retirados das transcrições das
entrevistas. Ao final do capítulo, são feitas considerações sobre a aderência dos
resultados à visão integrada dos dois modelos delineada no capítulo 2.
5.2 – Recursos de TI
De acordo com Melville et al. (2004), os recursos de TI podem ser desdobrados em
Recursos Tecnológicos de TI e Recursos Humanos de TI, podendo esta última categoria
ser ainda subdividida em Perícia Tecnológica de TI, envolvendo a capacitação técnica
da equipe de TI na programação, integração de sistemas e desenvolvimento de bancos
de dados, e Perícia Gerencial, que inclui a capacidade de identificar os projetos
63
adequados, de prover os recursos necessários para seu desenvolvimento e implantação,
e de liderar equipes, motivando-as e direcionando-as para que os resultados sejam
alcançados, de acordo com os requisitos funcionais e dentro das limitações financeiras e
de cronograma.
Em quase todas as entrevistas, verificam-se posicionamentos positivos em relação aos
Recursos Tecnológicos de TI. De acordo com CI03, “Não vejo problema em relação à
infraestrutura”, enquanto que CI10 afirmou em relação à TIC (Tecnologia da
Informação e Comunicações, órgão da Petrobras que responde pela TI e
Telecomunicações) que “como provimento de infraestrutura, para operação do sistema
foi suficiente, atendeu e não houve uma descontinuidade dos serviços.” Apenas no caso
de alguns entrevistados, houve a declaração de que, por conta de sua atividade de
trabalho, não tiveram contato direto com a TIC. Em sendo assim, se sentiam pouco à
vontade para dar qualquer declaração sobre as atividades da TIC na implantação do
sistema, como: “Não tive essa sensibilidade, como usuário não tomei conhecimento
sobre a atuação da TIC” [AU03]. Em alguns poucos casos, os entrevistados fizeram
comentários como: “A TIC demorou muito a melhorar em performance, exibição de
relatórios” [CI02], que demonstraram a ocorrência de algumas dificuldades de
desempenho do sistema.
A equipe de suporte à solução, dentro do FINANCEIRO CORPORATIVO / Controles
Internos (FINCORP/CI8), assumiu a tarefa de preparo dos treinamentos e do apoio
técnico direto aos usuários. Alguns usuários apenas tiveram contato com este suporte da
equipe do FINCORP/CI4, como, por exemplo, AU1, que informou que “Sei que tem
todo um suporte, mas o que eu mais utilizei foi a TIC da FINCORP/CI4”. O suporte
interno de FINCORP/CI4 complementou as atividades corporativas da TIC neste
projeto, dando suporte direto aos usuários, solicitando correções à TIC durante os testes
de aceitação e verificando a correção do processo de migração dos dados do sistema
anterior MIC para o GRC Process Control.
8 FINCORP/CI – Financeiro Corporativo/ Controles Internos – área corporativa responsável pela gestão dos controles internos e pelo processo de certificação.
64
Na ocasião da implantação do GRC Process Control, a TIC da Petrobras dispunha de
uma estrutura organizacional com foco no desenvolvimento de sistemas, a qual
efetivamente conduziu o projeto; uma estrutura de gerenciamento de projetos, que
acompanhou a execução do projeto; uma equipe de infraestrutura capacitada no suporte
dos produtos da SAP; e uma equipe de gestão de mudanças. Esse conjunto de
infraestrutura e de recursos humanos de TI, em particular as partes envolvidas
diretamente no projeto, representadas na Fig. 13 do capítulo 4, contribuiu para que o os
objetivos da adoção do GRC fossem alcançados. De fato, várias declarações dos
participantes evidenciam o aspecto Perícia Tecnológica de TI na implantação do
sistema. A seguinte afirmação de CI03 sugere que a participação da equipe da TIC no
projeto foi fundamental para seu sucesso: “E a mudança do MIC para o GRC foi
favorável, porque desde o início a TIC foi envolvida, participou da homologação, dos
testes”. A percepção de CI09 é similar:
“A TIC é fundamental, porque sem a TIC a gente não teria as configurações realizadas de acordo
com as nossas regras porque na primeira parte, que é a parte de implantação, é a TIC que
configura todas as regras lá na SPRO [transação utilizada para configurar o ambiente de um
sistema SAP], nas outras transações”.
Esta visão contrasta com o que ocorreu no projeto anterior, de implantação do MIC,
quando a TIC não foi envolvida da mesma forma, como constata CI03: “Na época do
MIC, a gente teve problemas, porque a TIC não foi envolvida como deveria ter sido.
Ficou uma coisa muito centralizada aqui na gerência”.
A equipe de suporte à solução, dentro do FINCORP/CI4, assumiu a tarefa de preparo
dos treinamentos e do apoio técnico direto aos usuários. Alguns usuários apenas tiveram
contato com este suporte da equipe do FINCORP/CI, como, por exemplo, AU1, que
informou que “Sei que tem todo um suporte, mas o que eu mais utilizei foi a TIC da
FINCORP/CI”. O suporte interno de FINCORP/CI complementou as atividades
corporativas da TIC neste projeto, dando suporte direto aos usuários, solicitando
correções à TIC durante os testes de aceitação e verificando a correição do processo de
migração dos dados do sistema anterior MIC para o GRC Process Control.No que tange
à Perícia Gerencial, os participantes ressaltaram a existência de uma estrutura gerencial
de acompanhamento de projetos na TIC, assim como uma capacidade de interação junto
65
à área gestora do processo de certificação SOX, o que foi positivo na implantação do
sistema GRC Process Control: “A atuação da TI foi boa porque a implantação do GRC-
PC foi tratada como projeto, acompanhado por PMO, teve um bom trabalho de
migração, com interação junto à equipe de Controles Internos” [CI13].
Além das características estruturais da TIC acima mencionadas, havia também naquela
área um conjunto de normas e procedimentos, verificados quanto ao seu cumprimento
por uma certificação ISO9001, que ajudava a garantir resultados mais previsíveis nos
projetos empreendidos. Além disso, a própria certificação SOX exigia que a TIC
mantivesse um conjunto de controles operacionais e gerenciais, os quais eram
autoavaliados e testados anualmente.
A tabela 5 a seguir ilustra os resultados encontrados nas entrevistas, referentes ao
construto “recursos de TI”. A terceira coluna (Qt.) mostra a quantidade de referências a
um dado tópico encontradas nas entrevistas (a mesma entrevista pode incluir mais de
uma referência ao tópico).
Componente Dimensão Qt. Trechos das entrevistas Recursos Tecnológicos de TI (RTI)
Infraestrutura de TI
7 Não vejo problema em relação à infraestrutura [CI03].
Como provimento de infraestrutura, para operação do sistema foi suficiente, atendeu e não houve uma descontinuidade dos serviços [CI10].
Em termos de infraestrutura, acho que tivemos problemas de performance, mas que foram resolvidos posteriormente e entrou no ar atendendo às expectativas [CI14].
Recursos Humanos de TI (RHTI)
Perícia tecnológica de TI
30 Sei que tem todo um suporte, mas o que eu mais utilizei foi a TIC da FINCORP/CI [AU1].
E a mudança do MIC para o GRC foi favorável, porque desde o início a TIC foi envolvida, participou da homologação, dos testes CI03.
A TIC é fundamental porque sem a TIC a gente não teria as configurações realizadas de acordo com as nossas regras porque na primeira parte, que é a parte de implantação, a TIC que configura todas as regras lá na SPRO, nas outras transações [CI09].
66
Perícia gerencial de TI
6 TIC já tem alguns padrões de projetos, de implantações de projetos e esses manuais, esses padrões ajudam a formalizar e a organizar o projeto em si, as fases do cronograma de implantação [AU6].
[A TIC] foi a facilitadora, por conhecer as atividades dentro da Petrobras [CI06].
A atuação da TI foi boa porque a implantação do GRC-PC foi tratada como projeto, acompanhado por PMO, teve um bom trabalho de migração, com interação junto à equipe de Controles Internos [CI13].
Tabela 5 – Recursos Tecnológicos de TI, modelo de Melville et al. (2004)
5.3 – Recursos Organizacionais Complementares
Como explicado no capítulo 4, a Petrobras começou o seu processo de certificação
perante a Lei Sarbanes-Oxley em 2004. Por conta do volume de informações a serem
documentadas, a empresa decidiu buscar uma ferramenta de suporte para tratar essas
informações, optando pelo sistema MIC, da SAP. Ao longo de 2005 e 2006, a equipe
envolvida no projeto foi absorvendo dos consultores especializados contratados os
conhecimentos sobre como realizar a avaliação dos processos de negócio, dos riscos e
dos controles internos associados. Desse modo, quando o sistema MIC ficou pronto, já
haviam sido desenvolvidos e incorporados à organização práticas, conhecimentos,
atitudes e valores compatíveis com o processo de certificação.
Posteriormente, quando se iniciou o projeto do GRC Process Control, já havia sido
estabelecida na empresa uma cultura compatível e favorável à análise de processos,
riscos, objetivos de controle e controles. Esta cultura estava incorporada tanto na equipe
responsável pelo processo de certificação dos controles internos, na Gerência Geral de
Controles Internos, como também na Auditoria e nas áreas de processos de negócios
inseridas no escopo da certificação.
Com apenas uma exceção, todos os entrevistados reconheceram que a existência de
estrutura organizacional, políticas e normas, práticas de trabalho e cultura foram fatores
importantes para a implantação com sucesso do GRC Process Control: “o ambiente de
controle da Petrobras vem se construindo desde 2004. A parte de gestão de atividades
67
de controle ajudou muito na implementação do GRC” [AU7]. De acordo com TIC2, “o
conhecimento da equipe com o MIC, com todo o processo de certificação anterior...
acredito que tenham sido facilitadores para essa mudança e implementação [do sistema
GRC Process Control]”.
Na opinião dos participantes, o fato de a cultura organizacional prevalente na ocasião
ser favorável a práticas de controle interno foi um facilitador da implantação do sistema:
“a cultura já existente de controles internos e a própria ocorrência da certificação SOX
anterior à entrada do Process Control já deu uma condição de assimilação e de uso do
sistema razoável” [CI10]. O participante FIN3 ressaltou a importância da experiência
adquirida nos projetos anteriores para a construção dessa cultura: “O fato de já ter o
MIC implantado, e ter uma cultura de controle já implantada por uma primeira onda do
projeto PRISMA, facilitou tranquilamente a adoção do PC”.
Um dos entrevistados defendeu a importância do conhecimento de gerenciamento de
processos de negócio como facilitador na implantação do GRC Process Control,
especialmente a documentação dos processos que havia sido realizada fora do escopo do
projeto de implantação do próprio GRC Process Control: “[o mapeamento de processos
no ARIS] ajuda. Se você não conhecer nada do processo, você não tem como... Você já
tinha uma coisa desenhada com o MIC, e você teve que redesenhar para se enquadrar
para ficar melhor no novo sistema. Se você não tivesse o processo todo mapeado,
conhecido, você não conseguiria implantar outro sistema ali” [FIN2].
É possível verificar que a existência do conhecimento prévio sobre o processo de
certificação dos controles internos e a experiência prévia com o sistema anterior MIC
facilitaram a implantação do GRC Process Control. Ao mesmo tempo, permitiram que a
organização tirasse maior proveito das vantagens das novas funcionalidades oferecidas
pelo sistema, quando comparado com a situação anterior.
A tabela 6 sintetiza os principais resultados obtidos na pesquisa para o construto
“recursos organizacionais complementares” do modelo de Melville et al. (2004).
68
Dimensão Qt. Trechos das entrevistas Não houve contribuição
1 Não tenho uma resposta positiva para essa questão, porque a minha percepção é que a gente construiu quase que tudo do zero. A gente correu atrás, não teve uma coisa estruturada, pré-existente, que contribuiu [CI08].
Conhecimento do Processo Certificação
24 O ambiente de controle da Petrobras vem se construindo desde 2004. A parte de gestão de atividades de controle ajudou muito na implementação do GRC [AU7].
O conhecimento da equipe da Petrobras sobre o processo como um todo. Acho que isso facilitou [CI07].
O conhecimento da equipe com o MIC, com todo o processo de certificação anterior, acredito que tenham sido facilitadores para essa mudança e implementação [TIC2].
Cultura de Controle Internos
5 A cultura já existente de controles internos e a própria ocorrência da certificação SOX anterior à entrada do Process Control já deu uma condição de assimilação e de uso do sistema razoável [CI10].
O processo da área gerencial de controle interno facilitou a passagem do processo para automatização no Process Control [CI13].
O fato de já ter o MIC implantado, e ter uma cultura de controle já implantada por uma primeira onda do projeto PRISMA, facilitou tranquilamente a adoção do PC [FIN3].
Conhecimento de BPM
1 [O mapeamento de processos no Aris] ajuda. Se vc não conhecer nada do processo, você não tem como... Vc já tinha uma coisa desenhada com o MIC, e você teve que redesenhar para se enquadrar para ficar melhor no novo sistema. Se vc não tivesse o processo todo mapeado, conhecido, você não conseguiria implantar outro sistema ali [FIN2].
Tabela 6 – Recursos Organizacionais Complementares, modelo de Melville et al (2004)
5.4 – Recursos e Processos de Negócio de Parceiros
Embora o modelo de Melville et al. (2004) contemple a possibilidade de interação entre
fatores relacionados a fornecedores, clientes ou parceiros e a adoção de um sistema de
informação, a natureza do processo de certificação dos controles internos, executado
internamente numa organização, sem qualquer troca ou relação com os referidos
agentes, torna essa análise desnecessária no caso estudado. Por conseguinte, foram
consideradas nesta seção apenas as interações entre os efeitos da adoção do GRC no
desempenho do processo de certificação e fatores relacionados aos auditores externos,
que são uma parte interessada nas informações geradas no processo. Não foram
considerados como partes interessadas a SEC – Securities and Exchange Commission e
a CVM – Comissão de Valores Mobiliários, pois estes órgãos apenas criam a
necessidade legal da certificação dos controles internos para aquelas empresas listadas
69
respectivamente nas bolas de valores norte-americanas e na Bolsa de Valores de São
Paulo, com ou sem um sistema de informação.
De acordo com a Lei Sarbanes-Oxley, os auditores externos devem emitir uma
declaração independente sobre os controles internos da empresa. A própria
regulamentação da Lei, efetuada através dos padrões de auditoria emitidos pelo Public
Company Accounting Oversight Board (PCAOB), propõe que os auditores
independentes aproveitem, na medida do possível, os resultados da análise e testes de
eficácia da própria empresa, se estes resultados oferecerem algum grau de
confiabilidade. Desse modo, considerou-se na pesquisa que a qualidade e
funcionalidades da ferramenta utilizada pela Petrobras para armazenar as informações
geradas durante a documentação dos controles internos visando à certificação perante a
Lei Sarbanes-Oxley, assim como a confiabilidade das informações geradas, deveriam
ser de interesse dos auditores independentes contratados pela empresa.
A opinião dos participantes quanto à relação entre a adoção do GRC e a interação com
auditores externos foi dividida. Enquanto alguns acharam que não houve qualquer
impacto da adoção do sistema nesta relação, a maioria afirmou que o uso do GRC teve
influência positiva na confiança gerada junto aos auditores independentes: “[O GRC]
leva o auditor externo a conhecer nossa estrutura de controles internos e a ter confiança
nesse sistema” [AU3]; “Conhecendo essa mudança nessa ferramenta, porque a gente fez
a apresentação para eles, acredito que eles se sentiram mais seguros que a informação
estava legal, estava íntegra, não faltou nada” [CI02].
É importante observar que nem todos os entrevistados mantêm contato direto com os
auditores independentes, dado que estes se reúnem apenas com um grupo seleto das
áreas de controles internos e auditoria interna, nas reuniões de acompanhamento do
processo de certificação. Desse modo, os efeitos do uso do GRC Process Control na
interação com os auditores independentes talvez não sejam do conhecimento de todos os
entrevistados.
Alguns respondentes indicaram que os auditores independentes têm alguma influência
sobre a forma como o GRC Process Control é utilizado na organização: “O uso do
70
GRC-PC é afetado pela questão da administração dos catálogos (que são os cadastros de
processos de negócio, subprocessos relacionados, riscos, objetivos de controles e
controles), quando, por exemplo, os auditores pedem novos processos, ou riscos ou
controles [...] foi afetado pelo fato de ser necessário controlar que controles estavam
dentro do escopo dos auditores, que é menor do que o escopo da administração” [CI13].
Contudo, assim como no caso anterior, não houve consenso sobre esse aspecto.
A tabela 7 reúne os resultados principais obtidos nessa etapa da análise.
Dimensão Qt. Trechos das entrevistas Melhora o relacionamento com os auditores externos
30 Em termos de confiança melhora para o auditor externo, em relação aos controles da empresa; como um sistema integrado acho que melhora [AU2].
Acho que aumenta a confiança, porque tendo uma base integrada é mais fiel [AU6].
Principalmente no quesito de confiabilidade. O fato de você ter um sistema que você consegue centralizar as informações, ser tudo documentado, por exigência da própria SOX, afeta bastante o trabalho deles, porque a qualquer momento podem rastrear a informação que precisa. Os auditores externos veem isso de forma bastante positiva [CI03].
Os processos dos auditores externos alteram o uso do GRC
2 O uso do GRC-PC é afetado pela questão da administração dos catálogos, quando, por exemplo, os auditores pedem novos processos, ou riscos ou controles [CI13].
Também foi afetado pelo fato de ser necessário controlar que controles estavam dentro do escopo dos auditores, que é menor do que o escopo da administração [CI13].
Os processos dos auditores externos não alteram o uso do GRC
2 O uso do SAP GRC não é afetado pelos processos dos auditores externos [AU1].
O GRC-PC não é afetado pelos sistemas dos auditores externos [CI11].
O relacionamento não é alterado
1 Acho que não afeta [CI08]
Tabela 7 – Recursos e Processos de Parceiros de Negócio, modelo de Melvillve et al (2004)
71
5.5 – Vencendo a Inércia Organizacional
De acordo com o modelo de Seddon et al (2010), em muitas implantações de sistemas
corporativos é necessário vencer a inércia organizacional para que os benefícios da
implantação sejam alcançados conforme previsto. Essa inércia faz parte da resistência
natural a mudanças na “maneira de fazer as coisas” que está enraizada numa
organização. De forma geral, a percepção dos participantes foi de que, se houve
resistência à adoção do sistema GRC Process Control, ela foi superada: “Acho que o
grande impacto foi essa questão da efetiva utilização da ferramenta pelos usuários na
companhia. Com o MIC, não se tinha isso plenamente estabelecido, e com o GRC, a
imagem que se tem é que é um sistema que a companhia toda tem acesso, gestores, área
de controle interno, que é a administradora da ferramenta, e a área de auditoria” [AU3].
Para alguns entrevistados, não houve resistência organizacional à implantação do
sistema GRC Process Control: “Pelas experiências que eu tive, [o sistema foi recebido]
de uma forma boa. As pessoas se sentiram mais parte do processo, mais motivadas a
ajudar, a participar mais da parte documental. Não vi resistência por parte dos usuários”
[AU7]. Outros, no entanto, eram de opinião contrária: “Nas unidades operacionais
sempre tinha uma certa resistência. Nas unidades administrativas, por terem mais
controle, davam mais atenção” [AU5].
Alguns participantes apontaram que o treinamento oferecido no projeto foi uma forma
efetiva de reduzir a resistência dos usuários: “Teve um curso logo na entrada do GRC,
mostrando as diferenças em relação ao MIC...” [AU3]; “Em termos de treinamento para
a operação, até por não ter sido uma ruptura grande, acho que o treinamento foi
suficiente” [CI10]. De fato, percebe-se nas entrevistas que houve um esforço de gestão
da mudança ao longo de toda a implantação do sistema, do qual o treinamento foi uma
parte importante: “O impacto maior para o usuário final é que ele tem um pouco mais de
resistência a mudanças. É mais uma responsabilidade nossa, da nossa área, de passar
esse sentimento, de porque vai ser bom mudar” [CI09].
72
Por outro lado, a experiência adquirida com a implantação e uso do MIC parece ter
contribuído para a maior aceitação do GRC Process Control: “No MIC, eu senti mais
resistência dos usuários. No GRC, eu acho que os usuários já estavam mais maduros
com a filosofia da certificação, até mesmo a sistemática da certificação, e a proximidade
do GRC com o MIC, é claro que trazendo muitas inovações, mais facilidades para o
usuário” [CI12]. Houve ainda entrevistados que afirmaram que a resistência
organizacional foi vencida pela inevitabilidade da adoção da nova ferramenta, dado que
não havia outra forma de cumprir a obrigatoriedade da certificação SOX: “A
necessidade quebrou a resistência. É o que a gente tem que fazer, tem que fazer” [AU2].
Na tabela 8, os resultados acima citados são sintetizados e ilustrados com trechos das
narrativas dos participantes.
Dimensão Qt. Trechos das entre vistas Resistência não verificada
13 Não houve resistência, eles adotaram normalmente, porque não tinha alternativa, porque o MIC ia perder o suporte da SAP [AU6].
Pelas experiências que eu tive, de uma forma boa. As pessoas se sentiram mais parte do processo, mais motivadas a ajudar, a participar mais da parte documental. Não vi resistência por parte dos usuários [AU7].
Não houve resistência por parte dos usuários. Acho que o conjunto de fatores envolvidos no processo, de uma maneira geral, adotou bem, recebeu bem o MIC como uma alternativa às planilhas e os e-mails que eram as ferramentas anteriores utilizadas [CI10].
Resistência verificada
9 O MIC causou certa resistência por ser uma ferramenta nova e que obrigou os gestores a criar evidências das atividades de controle [AU1].
O MIC foi um grande choque para todo mundo, no sentido de ter de evidenciar todos os controles e documentar na ferramenta [AU3].
Mas com relação ao GRC houve mais resistência, porque achavam que dava mais um trabalho [CI08].
Treinamento 23 Houve um trabalho, um treinamento específico por parte de controles internos para disseminar a cultura e a utilização para a companhia [AU1].
Em termos da nossa realidade, a gente teve que se adequar, inclusive os treinamentos tiveram que ser refeitos [CI03].
No GRC, conseguimos sucesso em usar ensino à distância, e as demandas de entendimento do sistema foram menores [CI13].
73
Dimensão Qt. Trechos das entre vistas Gestão de Mudanças
4 Houve gestão de mudanças. Houve treinamento virtual [AU6].
O impacto maior para o usuário final é que ele tem um pouco mais de resistência a mudanças. É mais uma responsabilidade nossa, da nossa área, de passar esse sentimento, de porque vai ser bom mudar [CI09].
Experiência anterior
5 Já herdou a cultura positiva do MIC. O processo de aculturamento do gestor melhorou porque ele sabia que era um desenvolvimento, uma melhoria do que já havia [CI06].
Como a gente trabalhava com uma pilha de Excels, e depois foi para o MIC, eu acho que ficou mais fácil, porque ficou tudo documentado [CI05].
Imperativo da mudança
29 A necessidade quebrou a resistência. É o que a gente tem que fazer, tem que fazer [AU2].
Mas, no momento posterior, eu acho que foi tudo bem entendido, que as pessoas realmente tinham que colocar ali o que efetivamente estava acontecendo, e, correu tudo bem [CI01].
Tabela 8 – Vencendo a Inércia Organizacional, modelo de Seddon et al (2010)
5.6 - Grau de Alinhamento Funcional
Segundo Seddon et al. (2010), o grau de alinhamento funcional do sistema implantado
em relação aos requisitos do negócio é determinante para a geração de benefícios
organizacionais. Avaliou-se explicitamente nas entrevistas até que ponto as
funcionalidades e procedimentos inerentes ao GRC Process Control eram aderentes, na
visão dos participantes, às necessidades do processo de certificação perante a Lei
Sarbanes-Oxley da Petrobras. A grande maioria das respostas indicou que o sistema
atendeu plenamente os requisitos associados à certificação: “Acho que [o GRC] tem os
controles básicos e que atende todos os requisitos da SOX” [AU6].
O suporte continuado ao processo de certificação foi destacado por diversos
participantes. O sistema GRC pode ser entendido como um repositório do conhecimento
agregado da organização, adquirido ao longo das atividades de controles internos.
Mesmo diante da substituição eventual de alguns gestores de processos de negócio, um
novo gestor poderia consultar as autoavaliações de anos anteriores e se orientar quanto á
forma de realizar a avaliação de seus processos de negócio, assim como a autoavaliação
dos controles internos correlatos. Um dos participantes ressaltou que, sem o suporte dos
sistemas, “a gente não estaria com cinco certificações” [CI04], o que mostra que as
74
ferramentas MIC e GRC-Process Control, juntas, facilitaram a documentação e gestão
do processo de certificação perante a Lei Sarbanes-Oxley por pelo menos cinco anos
seguidos.
A utilidade das funcionalidades adicionais incluídas no GRC foi também destacada nas
entrevistas: “Tem segregação de função entre quem executa e quem revisa o teste na
auditoria” [AU1]. Contudo, ficou claro a importância de o usuário ter uma atitude
proativa na integração do sistema às atividades que ele ou ela desempenhava no
processo de certificação: “O Process Control nos fez, como organizadores da
certificação, pensarmos; ‘Poxa, porque que tem este campo?’ e então fomos pesquisar,
entender porque tinha aquele campo previsto no sistema, e que, no primeiro momento, a
gente não tinha pensado, em ter aquele tipo de informação” [CI11].
Alguns entrevistados apontaram o que consideravam deficiências funcionais na
ferramenta: “Em termos de eficiência, o sistema continua um pouco pesado, apesar de
ter melhorado em alguns aspectos” [AU5]. Observou-se que foi necessário efetuar
customizações (alterações no programa do aplicativo), o que é relativamente comum em
implantações de sistemas corporativos em organizações grandes e complexas, como a
Petrobras: “Ainda tivemos que fazer algumas customizações [no GRC]” [CI09].
Em suma, pode-se concluir que o sistema atendeu os requisitos funcionais das áreas de
negócio. O grau de alinhamento funcional foi bastante satisfatório, na opinião da
maioria dos entrevistados, contribuindo para a melhoria do processo de certificação na
empresa. A tabela 9 apresenta os principais resultados encontrados na pesquisa, no que
tange ao atendimento de requisitos funcionais.
Dimensão Qt. Trechos das entrevistas Sistema atende os requisitos da certificação
58 Acho que atende. O sistema MIC não era uma ferramenta tão completa como o GRC [AU2].
Com certeza. Acho que tem os controles básicos e que atende todos os requisitos da SOX [AU6].
Atende. Com certeza. Senão a gente não estaria com cinco certificações [CI04].
75
Dimensão Qt. Trechos das entrevistas Segregação de funções entre usuários
2 Tem segregação de função entre quem executa e quem revisa o teste na auditoria [AU1].
Proatividade dos usuários
2 O Process Control nos fez, como organizadores da certificação, pensarmos; “Poxa, porque que tem este campo?” e então fomos pesquisar, entender porque tinha aquele campo previsto no sistema, e que, no primeiro momento, a gente não tinha pensado, em ter aquele tipo de informação [CI11].
Sistema poderia melhorar
12 Em termos de eficiência, o sistema continua um pouco pesado, apesar de ter melhorado em alguns aspectos
CI09 Ainda tivemos que fazer algumas customizações
CI13 Falta uma interação com as ferramentas de desenho de processo (BPM) [AU5].
Tabela 9 – Grau de Alinhamento Funcional, modelo de Seddon et al (2010)
5.7 – Mudanças nos Processos de Negócio
Os modelos de Melville et al. (2004) e de Seddon et al. (2010) incluem construtos que
refletem o impacto das soluções de TI adotadas nos próprios processos de negócio da
organização. A maioria dos entrevistados associou a adoção do sistema GRC Process
Control a mudanças no processo de certificação da Petrobras: “A partir da implantação
da GRC eles tiveram que mudar o modo de agir para colocar uma evidência do
walktrough9 dentro do GRC. Agora tem a evidência de um controle, tem que ter uma
atividade que eu não desempenhava ou desempenhava de outra forma; agora, além de
mudar para atender a SOX, tenho que ter um documento para comprovar a atividade”
[AU1]; “Acho que determinadas áreas tiveram que se adaptar, rever seus processos,
tanto para o MIC como para o GRC. Para se adaptar à sistemática de controle em si”
[CI07].
Observaram-se diferentes percepções das mudanças realizadas. Para parte dos
entrevistados, elas foram positivas: “Claro que é muito mais fácil com o GRC. Facilitou
com certeza. Claro que com certeza absoluta facilitou para o usuário você já ter um
sistema que você sabe que você vai entrar e ali já estão todos os controles, e você sabe
todas as atividades que você vai preencher, responder. Facilitou, com certeza” [AU5].
9 Procedimento de verificação de como o processo funciona e de como o controle interno é executado dentro do processo. Pode ser entendido como um guia passo-a-passo do processo de negócio.
76
Alterações no próprio papel desempenhado pelos funcionários envolvidos no processo,
assim como a forma como viam suas tarefas, foram destacadas: “Acho que mudou
muito na rotina, na visão do empregado em relação à segurança das tarefas críticas que
ele exercia. Com a chegada da SOX, e consequentemente das ferramentas MIC e depois
GRC-PC, deu uma responsabilidade maior para os usuários, e uma visualização, uma
conscientização maior dos usuários” [FIN1].
Outros participantes não perceberam alterações substanciais nos processos de negócio:
“Acredito que não [houve mudanças]. Que eu tenha conhecimento, não. Não em
decorrência de uma ferramenta [o sistema GRC]” [CI03]. Para alguns, houve apenas
automação de tarefas que eram executadas manualmente, e não modificações do fluxo
de trabalho ao longo do processo de certificação: “A mudança que eu vi foi os auditores
passarem a arquivar seus próprios papéis dentro do sistema” [CI01].
Os resultados obtidos na análise dos dados, relacionados à alteração do processo de
certificação, estão sintetizados na tabela 10.
Dimensão Qt. Trechos das ent revistas Não trouxe mudanças nos processos de negócio
16 Não consegui enxergar muita diferença nos processos da auditoria, porque a metodologia era a mesma que a gente já usava [AU3].
Não. No processo de negócios não. [CI09]
Não, com o sistema não houve alterações no processo de certificação [CI11].
O processo passou a ser automatizado na ferramenta
25 Aumentaram as atividades de entrar no sistema e fazer todos os procedimentos no sistema [AU5].
Como a gente colocou as informações todas no GRC-PC, eles se estruturaram melhor [CI05].
Acho que facilitou sim, porque um nível de automação maior facilita e padroniza muita coisa [CI07].
Mudanças no fluxo de trabalho do processo
20 No aspecto de gestores, trazer a responsabilidade aos gestores de toda a companhia, participar das autoavaliações dos controles causou mudança na Companhia [AU3].
Acho que mudou muito na rotina, na visão do empregado em relação à segurança das tarefas críticas que ele exercia [FIN1].
Tabela 10 – Processos de Negócio e Otimização, modelos de Melville et al (2004) e Seddon et al (2010)
77
5.8 – Otimização de Processos
Seddon et al. (2010) destacam a otimização de processos, ou seja, a alteração dos fluxos
de trabalho e informação num processo de forma a maximizar seu desempenho, como
um antecedente da geração de benefícios organizacionais a partir de projetos de TI. Os
autores destacam que a otimização de processos tem por propósito melhorar a sua
eficiência e a eficácia, de modo a melhor suportar os objetivos estratégicos da empresa.
Esse tipo de mudança em processos está normalmente associado a esforços de
padronização e aprimoramento de atividades, inclusive com a adoção de “melhores
práticas” provenientes de outras organizações líderes de mercado.
A otimização do processo de certificação da Petrobras foi evidenciada nas entrevistas
em comentários sobre a possibilidade de integração do sistema de documentação da
certificação SOX, o GRC Process Control, e o próprio ERP da SAP, para a
automatização dos testes de eficácia de controles. Usualmente, esse conjunto de
atividades suportado por funcionalidades de ferramentas computacionais apropriadas
integradas é denominado Monitoramento Contínuo de Controles. É importante observar
que, embora a implantação desse tipo de monitoramento tenha sido inclusive um dos
motivadores da migração para o sistema GRC, não foi possível disponibilizar as
funcionalidades correspondentes durante o projeto de implantação do sistema, conforme
foi observado no capítulo 4. Porém, tanto as equipes de controles internos como a
equipe da auditoria interna da Petrobras estão aguardando a sua disponibilização com
certa expectativa: “A partir do momento que ocorrer o go-live desse sistema, será um
grande avanço” [AU4]. Dentre os benefícios da implantação dessa funcionalidade, está
o ganho de velocidade na atuação sobre eventuais desvios de controles: “Acho que tem
aí um ganho de tempestividade, vai poder agir muito antes do problema se tornar
grande” [CI04]; a redução de custos: “Será excelente, vai diminuir custos de auditoria,
permitir acompanhamento on-line” [CI03]; e o aumento da produtividade: “Acho que
pode resultar num maior ganho de produtividade para a própria companhia. Quanto
maior o nível de automação maior produtividade” [CI07].
Embora a funcionalidade de Monitoramento Contínuo de Controles do GRC Process
Control não tenha sido colocada em produção na época da implantação do sistema, a
78
empresa realizou um piloto no final de 2010 e prevê a sua utilização em diversos
cenários de controles internos ainda em 2012. De forma geral, foi possível constatar que
a adoção do GRC gerou e ainda irá gerar contribuições importantes para o
aprimoramento da eficácia e eficiência do processo de certificação na Petrobras.
A tabela 11 sintetiza os principais resultados correlatos obtidos no presente trabalho.
Dimensão Qt. Trechos das entrevistas Maior rapidez 26 Vai ser interessante se houver a integração e se isso facilitar os
testes, em termos de prazo, de interrupção de prazos, de confiabilidade [AU2].
Vai ser mais rápido. Vai ser on-line [AU6].
Acho que pode resultar num maior ganho de produtividade para a própria companhia. Quanto maior o nível de automação maior produtividade [CI07].
Melhor fluxo de informações
24 Talvez melhore até nossa seleção, parte de escopo, amostra [CI02].
Vai ficar mais preventivo do que detectivo, porque você vai poder corrigir on-line, você não vai precisar deixar passar aquele ano para então poder fazer avaliação no teste anual e descobrir que teve uma ocorrência [CI09].
Acho que o futuro de controles internos e auditoria é automatizar, integrar as informações de controle com o ERP de modo que você tenha informações de prevenção, detecção de irregularidades, o mais cedo possível [CI14].
Tabela 11 – Otimização de Processos, modelo de Seddon et al. (2010)
5.9 - Integração
A integração de informações é um dos objetivos tipicamente definidos para projetos de
implantação de sistemas corporativos. Seddon et al. (2010) a destacam, em seu modelo,
como um fator essencial para a geração de benefícios organizacionais.
A contribuição do sistema MIC e, posteriormente, do GRC Process Control para a
integração das informações se deu de duas formas distintas. Primeiramente, por serem
sistemas únicos, que concentram toda a documentação e as evidências dos processos de
gestão envolvidos numa certificação de controles internos perante a Lei Sarbanes-
Oxley, eles apresentaram claras vantagens quando comparados ao conjunto de
79
ferramentas de automação de escritório (ex., planilhas do MS Excel) utilizado
inicialmente na Petrobras: “Antes do MIC, as informações não estavam concentradas
em nenhuma base de dados. O MIC trouxe o ganho de concentrar todas as planilhas
num só lugar” [AU1]. O gerenciamento de controles internos com sistemas de
automação de escritório tem problemas inerentes, como a falta de garantia de
integridade, e a dificuldade de controle das informações. Foi possível verificar que, com
a implantação do MIC, houve uma melhora na integração das informações e no controle
sobre mudanças não autorizadas: “[a implantação do MIC] teve um impacto
tremendamente positivo. Antes era por planilhas, o que não dá integridade nenhuma
porque qualquer um pode entrar e mexer e alterar. Não tem ‘guardalog’, não tem
restrição de acesso” [CI03].
Em segundo lugar, a solução adotada pela Petrobras tinha funcionalidades específicas
de integração com outras ferramentas da própria suíte GRC e o sistema ERP da SAP
adotado na empresa. Isso permitia que se realizasse testes automatizados de controles
internos, cujos dados ou evidências estavam no sistema integrado de gestão da empresa.
Em sendo assim, havia tanto uma integração das informações relativas à documentação
da certificação, como com outras bases de dados, externas ao GRC Process Control:
“No GRC a gente conseguiu colocar tudo num lugar só, acho que o formato ficou
melhor para os gestores preencher” [CI05].
Tanto um aspecto como outro resulta em ganhos de produtividade, integridade das
informações, confiabilidade do processo de gestão da certificação e, portanto, beneficia
a organização no cumprimento de uma obrigação legal com mais segurança, qual seja, a
da assinatura anual da declaração quanto ao exame e os testes de eficácia sobre os
controles internos: “O Process Control também ajudou, com mais funcionalidades e
relatórios do que o MIC” [CI09]; “A ferramenta facilitou a velocidade da consolidação,
de modo que foi possível prestar contas para o Comitê de Auditoria e para a Diretoria de
forma mais rápida” [CI13].
Apenas dois entrevistados tiveram uma opinião contrária à melhoria da integração das
informações com a implantação do MIC e do GRC Process Control: “Não vejo
mudança neste aspecto” [CI08].Portanto, é possível concluir que a implantação do
80
GRC, assim como de seu antecessor (MIC), contribuiu para melhorar a integração das
informações, o que por sua vez aumentou a confiabilidade e a integridade das
informações em que se baseavam a alta direção da empresa para assinar a certificação
dos controles internos perante a Lei Sarbanes-Oxley.
A tabela 12 resume os resultados obtidos nesta etapa da pesquisa.
Dimensão Qt. Trechos das entrevistas Melhorou a integração das informações
44 Modificou e o GRC também. Melhorou com relação às informações, controles, centralização, visualização, transparência, o quê faz o quê, de quem é responsável pelas atividades [AU2].
Com certeza há vantagens de estar com a informação toda no mesmo local. Para poder gerar relatórios em massa, analíticos; gerar gráficos, decisões, estratégias [CI09].
A implantação do sistema SAP MIC modificou a integração das informações, sem dúvida. Permitiu a reunião dos dados de avaliação de controles, avaliação do desenho de controles e do teste de eficácia dos mesmos [CI10].
Não se verificou mudança na integração das informações
2 Não vejo mudança neste aspecto [CI08].
Acho que não foi o MIC em si [que modificou a integração das informações], acho que foi o Controle Interno [CI05].
Tabela 12 – Integração, modelo de Seddon et al (2010)
5.10 – Melhoria no Acesso à Informação
Um dos antecedentes da geração de benefícios organizacionais, no modelo de Seddon et
al (2010), é a melhoria no acesso à informação, que se manifesta quando o sistema
implantado provê informação relevante, tempestiva e precisa para os tomadores de
decisão. Esse aspecto contempla a interface com o usuário e sua facilidade de uso, a
quantidade e qualidade das informações armazenadas no sistema, e a quantidade e
qualidade dos relatórios oferecidos.
Apenas um dos entrevistados, informou não ter percebido melhoria no acesso à
informação quando da migração do MIC para o GRC Process Control: “Para mim não
mudou, continuo tendo acesso a tudo que preciso, os relatórios, a ver o meu status”
81
[TIC1]. Os demais participantes comentaram que houve mudanças positivas nos
aspectos relativos ao acesso à informação. Por exemplo, a maior facilidade de uso foi
citada em diversas respostas: “O GRC é mais amigável, com relação às telas do MIC”
[CI02]; “Também quanto à extração dos relatórios, os relatórios são mais amigáveis,
visualmente melhores quando comparados ao MIC” [AU5].
A melhoria do acesso à informação pertinente aos propósitos dos usuários também foi
mencionado pelos respondentes: “A gente teve um ganho muito importante em termos
da acessibilidade, da facilidade do acesso” [CI12]; “[O GRC Process Control] facilitou
a visualização e construção de relatórios para controles internos e ajudou o gestor
compreender seus controles internos através de relatórios e facilidades dentro da
ferramenta GRC” [CI06].
De um modo geral, é possível verificar que houve uma melhoria no acesso à informação
após a implantação do GRC Process Control, com a disponibilização de mais
informações relevantes para as atividades de cada usuário, melhor organizadas em telas
e em relatórios. Verificou-se ainda que os usuários entenderam que a navegabilidade na
interface do novo sistema era melhor, gerando ganhos de eficiência da busca de
informações. Os resultados da análise relativos à melhoria ao acesso da informação
estão sintetizados na tabela 13, a seguir.
Dimensão Qt. Trechos das entrevistas O GRC não mudou o acesso à informação
1 Acho que o Acesso à Informação continua igual com o GRC-PC [CI03].
Mais informações disponibilizadas, de forma mais organizada
61 Houve um ganho na forma de acessar todas as informações, por estarem documentadas na mesma base, disponível aos usuários, de acordo com seus perfis (gerentes, etc.) [AU3].
O feedback dos usuários indicou que eles também percebiam a facilidade da navegação, da utilização, da praticidade das abas, em que as informações eram obtidas, o cadastro das melhores práticas e as abas para a avaliação propriamente dita [CI12].
Os superiores hierárquicos passaram a ter acesso à informação do que não está dando certo, um acompanhamento de todos os controles, muito mais tempestivamente do que antes [CI01].
82
Dimensão Qt. Trechos das entrevistas Sistema amigável 25 A interface do GRC-PC era muito mais amigável do a do MIC.
O fato de trabalhar com certos botões e alternando as janelas ao mesmo tempo, facilitava muito ao usuário [AU5].
Houve uma melhora na apresentação, os relatórios ficaram bem mais amigáveis para quem consultava, principalmente os superiores hierárquicos, que não tem muito tempo [CI01].
O MIC tinha uma forma de navegabilidade mais restrita e menos amigável ao usuário [FIN3].
Tabela 13 – Melhoria no Acesso à Informação, modelo de Seddon et al (2010)
5.11 – Desempenho dos Processos
De acordo com o modelo de Melville et al. (2004), para que a adoção de uma solução
de TI gere valor para um negócio, as mudanças introduzidas nos processos da empresa
devem resultar numa melhora do desempenho desses mesmos processos. A maioria dos
entrevistados avaliou que o desempenho do processo de certificação melhorou como
resultado da implantação do GRC Process Control e as mudanças nos fluxos de trabalho
e informação a ela associadas: “[O GRC] é uma ferramenta muito poderosa para te
auxiliar em todo o processo de certificação. Imagino que seria um caos se não tivesse
uma ferramenta assim” [AU1]; “Com o GRC ficou tudo mais fácil. Não dá para
entender como se fazia antes sem o GRC” [AU3].
A maior agilidade do processo de certificação foi um dos benefícios citados: “Com
certeza, o desempenho dos processos [...] mudou como resultado da implantação do
SAP GRC Process Control [...] Acho que o GRC Process Control ficou mais rápido,
principalmente para o pessoal que faz o apoio, que faz o BackOffice, conversando que
essas pessoas, eles entendem que acelerou muito o processo. Acelerando o processo de
BackOffice, certamente melhora para o usuário final também” [CI11]; “O gestor perde
menos tempo para fazer as tarefas, tem uma efetividade maior, não precisa ficar
recorrendo a manuais” [CI03].
83
O melhor desempenho do processo pode ser diretamente associado às várias mudanças
discutidas nas seções anteriores, decorrentes da implantação do sistema GRC Process
Control. Por exemplo, parte do ganho de velocidade percebido pelos usuários parece
estar relacionado à maior facilidade de acesso e tratamento da informação no novo
sistema: “Nós, como usuários, como revisores, também sentimos rapidez, uma melhoria
em termos de rapidez da ferramenta, como também da extração e visualização das
informações, das diversas formas de visualização de relatório, das fases do sign-off, em
que você tem a informação ali, on-line [...] O GRC trouxe aquilo tudo com uma
facilidade e uma agilidade na hora de uma geração e utilização das informações”
[CI12].
Outros pontos importantes destacados pelos entrevistados referem-se à eficácia dos
gestores em atividades de certificação: “O GRC possibilitou aos responsáveis, nas áreas,
pelos controles, uma maior interação nos descritivos dos controles, bem como os planos
de ação, para mitigação. Com uma mesma ferramenta você consegue facilmente
consultar os seus controles, fazer acompanhamento e, para aqueles com algum problema
de eficácia, registrar um plano de ação, acompanhar. Tudo isso representou um ganho
em relação ao sistema anterior” [TIC2]. Além disso, alguns usuários ressaltaram que
foram melhor definidos os papéis, responsabilidade e autoridade dos agentes envolvidos
no processo de certificação, gerando ganhos nas atividades de acompanhamento
gerencial: “A ferramenta ajudou a delimitar claramente a responsabilização na
hierarquia organizacional por processos, riscos e controles” [CI13].
Um pequeno grupo de participantes, no entanto, não percebeu mudanças no
desempenho do processo de certificação em relação ao que se tinha com o sistema MIC:
“Para mim, não senti muita diferença, justamente como validadora da situação atual [do
controle] que o gestor apontou” [CI05]. Outros entenderam que alguns dos benefícios
esperados não foram alcançados, já que nem todas as funcionalidades do GRC Process
Control foram efetivamente exploradas pelos usuários: “O problema é que as pessoas
ainda não utilizam todas as informações que estão no GRC-PC” [CI05]; “Não foi
possível fazer com que os gerentes executivos deixassem de usar o papel, de ver os
documentos em papel, para usar os dashboards ou painéis gráficos da ferramenta”
[CI13].
84
A tabela 14 apresenta os principais pontos destacados pelos participantes da pesquisa
quanto a melhorias no desempenho do processo de certificação.
Dimensão Qt. Trechos das entrevistas Maior eficácia na gestão dos controles
49 Você consegue ver o fluxo do controle de uma forma melhor, mais geral e mais abrangente. Torna toda a questão mais dinâmica e até mais interessante para o trabalho [AU7].
No GRC, como a gente faz tudo dentro do sistema, traz mais segurança para quem está trabalhando [CI02].
A ferramenta ajudou a delimitar claramente a responsabilização na hierarquia organizacional por processos, riscos e controles [CI13].
Logo no início da implantação do MIC, a gente vislumbrou a possibilidade de criar um monitoramento à distância, que hoje está muito mais próximo da realidade do que estava com o MIC-SAP [FIN1].
Maior velocidade 39 Definitivamente o GRC-PC agilizou o desempenho do processo de certificação, porque você tem a figura de um gerente recebendo o ponto e cobrando efetivamente do seu pessoal pela melhoria, faz a coisa andar [CI01].
Acredito que sim, acho que ficou mais rápido, mais dinâmico, o produto ficou mais fácil de identificar direto ao ponto, os controles e suas evidências, os responsáveis e tudo [TIC1].
Heterogeneidade dos efeitos
2 Existem áreas em que há uma forte interação com controles internos, o sistema ajudou a promover a atividade de controles internos, e existem áreas onde controles internos é visto como uma atividade a ser cumprida [CI08].
Você consegue ver diversas áreas que se tornaram muito mais capazes, mais ágeis, no atendimento do controle [AU7].
Não houve mudanças
5 Como testador, auditor, entrar na ferramenta e colocar os dados para os testes não consegui enxergar muita diferença [AU3].
O que mudou foi a entrada de novos processos no escopo. Mas isso já é inerente à mudança de um ano para o outro. Geralmente você sempre inclui mais processos na evolução natural [AU7].
Para mim, não senti muita diferença, justamente como validadora da situação atual [do controle] que o gestor apontou [CI05].
Não, acredito que não [tenha havido mudança no desempenho dos processos] [CI09].
Não me lembro de uma mudança significativa com a entrada do MIC, nem com a passagem para o GRC [CI12].
O uso do GRC ainda não é pleno
2 O problema é que as pessoas ainda não utilizam todas as informações que estão no GRC-PC [CI05].
Não foi possível fazer com que os gerentes executivos deixassem de usar o papel, de ver os documentos em papel, para usar os dashboards ou painéis gráficos da ferramenta [CI13].
Tabela 14 – Benefícios Organizacionais, modelo de Seddon et al (2010)
85
5.10 – Benefícios Organizacionais
Seddon et al. (2010) sugerem que, quando, numa iniciativa de adoção de TI, observam-
se níveis mais altos de alinhamento funcional, integração de informações, otimização de
processos, e acesso a informações, vencendo-se também a inércia organizacional,
aumenta a probabilidade de haver uma geração de benefícios organizacionais efetivos.
No modelo de Melville et al. (2004), o melhor desempenho dos processos
positivamente afetados por recursos de TI e organizacionais complementares media a
influência das mudanças introduzidas naqueles processos na desempenho da
organização como um todo, e, por conseguinte, na geração de valor para o negócio.
Não houve menção direta nas entrevistas à contribuição da adoção do GRC para o
resultado global da Petrobras. No entanto, deve-se ressaltar que nem todos os usuários
do sistema implantado tinham uma clara visão dos benefícios que a certificação SOX
traz para a empresa, que é o foco do processo suportado pelo sistema GRC Process
Control. Embora a adoção do GRC não tenha tido por propósito melhorar diretamente a
produtividade das áreas de negócio envolvidas na certificação, ao promover a
automação do processo de certificação, facilitar o acesso à informação, promover a
integração das informações, entre outros resultados destacados nas seções anteriores, ela
gerou uma melhora do desempenho do processo de certificação, em termos de eficácia e
eficiência. É razoável presumir, então, que a empresa como um todo se beneficiou dessa
melhora, na medida em que obteve sua certificação com menores custos e riscos, e
maior rapidez.
É importante destacar, no entanto, que no dia 24 de agosto de 2009, em reunião do
Comitê Gestor de Controles Internos da Petrobras, coordenada pelo Gerente-Executivo
da Auditoria Interna, ficou registrado em ata o sucesso do go-live do sistema GRC
Process Control, ocorrido em 28 de abril do mesmo ano. Uma vez que essa ata constitui
uma comunicação formal do fato à Alta Administração da empresa, pode-se assumir
que havia expectativas por parte do nível executivo da Petrobras quanto à obtenção de
certos benefícios organizacionais com a implantação do sistema. Considerando que o
nível executivo de uma empresa tem por foco questões que dizem respeito ao negócio
como um todo, e não aspectos mais específicos ligados à operação do dia-a-dia da
86
organização, é plausível assumir que o reporte dos benefícios associados ao go-live para
a alta administração indica que houve, efetivamente, impactos positivos no desempenho
da Petrobras.
Na apresentação realizada no dia 24 de agosto para o Comitê Gestor de Controles
Internos, foram ressaltados os seguintes aspectos das funcionalidades do novo sistema,
como benefícios de sua implantação:
• a possibilidade de criação e atribuição de processos em um mesmo link10;
• a capacidade de atribuição de processos em massa11, a opção de ter catálogos de
objetivos e riscos separados, proporcionando um reaproveitamento de códigos,
quando aplicável;
• a disponibilidade de testes automáticos (scripts) de controles, permitindo o
monitoramento contínuo de controles (CCM);
• a possibilidade de utilização de questionários eletrônicos para facilitar a coleta
de informações junto aos gestores;
• a maior facilidade para criação de novos campos12;
• uma vez inexistindo o agendamento central, a capacidade de agendamento13
direto nas unidades, sendo agora por controle (antes era por unidade) e
possibilitando o agendamento múltiplo de unidades em única vez;
10 A criação de processos e a atribuição de processos a unidades organizacionais anteriormente se faziam como etapas separadas, com links diferentes na ferramenta, o que tornava o processo de administração mais dificultoso. 11 A atribuição de processos a unidades organizacionais anteriormente precisava ser feita processo por processo. Como há unidades com diversos processos simultaneamente associados, a possibilidade de fazer a associação em massa resultou em ganho de desempenho na administração. 12 No sistema anterior, a criação de novos campos era mais difícil, por envolver bastante programação. No sistema novo, a criação ficou bem mais facilitada, por conta do novo ambiente tecnológico. A criação de novos campos muitas vezes é requerida por mudanças nas regulamentações ou por novos procedimentos. 13 Todas as atividades dentro do MIC e do GRC Process Control são orquestradas por workflow, que precisa ser agendado. Na nova ferramenta GRC Process Control, o agendamento ficou facilitado, pois passou a ser possível realizar o agendamento diretamente por controle e não apenas por unidade.
87
• a criação de planos de testes (o que o GRC Process Control chama de testes
manuais) para a Auditoria Interna, com o passo-a-passo do teste e critérios de
amostragem e registro do resultado (eficaz/ineficaz);
• A disponibilização da arquitetura orientada a serviços (Service Oriented
Architecture – SOA) no ambiente SAP (denominada NetWeaver), facilitando a
integração com outras soluções/ambientes de TI da empresa;
• a capacidade de navegação em várias telas ao mesmo tempo; e
• o gerenciamento de versões de arquivos anexos, permitindo um melhor controle
sobre alterações nos documentos de suporte à certificação.
Apesar de o tema de benefícios para a organização como um todo não ter sido abordado
pelos participantes deste estudo, em geral, os resultados da análise dos dados coletados
indicam que a maioria dos entrevistados percebeu que a implantação do sistema GRC
Process Control resultou em ganhos de eficiência e eficácia: “O impacto foi grande, de
forma positiva.” [AU2].
88
6 – CONCLUSÃO
Esta pesquisa pretendeu avaliar, segundo a ótica dos modelos propostos por Melville et
al. (2004) e Seddon et al. (2010), os benefícios da implantação do sistema corporativo
SAP BusinessObjects GRC Process Control na Petrobras. A necessidade de explicar
como os benefícios organizacionais da implantação de sistemas de informação
corporativos podem ser verificados está relacionada com a necessidade cada vez maior
dos gestores de TI de dar satisfação à alta direção de suas empresas sobre a manutenção
de seus orçamentos, muitas vezes elevados, mas necessários, para que a organização
alcance seus objetivos estratégicos. Quando não há essa compreensão dos benefícios, os
gestores são simplesmente pressionados a cada vez mais reduzir seus orçamentos,
enquanto que a organização sofre com os efeitos de uma TI ineficaz em seus resultados.
É possível identificar nos resultados da pesquisa a adequação dos construtos dos dois
modelos estudados, quais sejam, o de Melville et al. (2004) e de Seddon et al. (2010),
pelo menos em relação à maioria dos entrevistados. Os antecedentes propostos nos dois
modelos tiveram, na opinião da maioria dos entrevistados, bastante peso na melhoria no
desempenho do processo de certificação dos controles internos. Não foi possível,
entretanto, verificar o efeito direto dessa melhoria no desempenho geral da empresa,
numa visão mais ampla dos objetivos estratégicos e dos indicadores de desempenho,
dada a natureza preventiva da certificação SOX, no sentido de evitar sanções previstas
em artigos da Lei Sarbanes-Oxley.
A identificação dos fatores influenciadores para que benefícios organizacionais sejam
de fato alcançados com a implantação de sistemas corporativos pode ajudar os gestores
de TI tanto no planejamento de investimentos em sistemas, de modo a que sejam
89
escolhidos sistemas que efetivamente estejam integrados ao modelo de arquitetura
tecnológica adotada pela organização, promovendo assim a integração das informações,
que tenham a capacidade de entregar o alinhamento funcional requerido pelo negócio,
que estejam dentro do universo de conhecimento técnico da equipe de TI e que tenham
a capacidade de melhorar o acesso à informação e otimizar os processos de negócio da
empresa. A equipe gerencial de TI precisa ter a capacidade de gerenciar os projetos de
forma eficaz e deve ter a perícia e o treinamento necessários para tal. Ao mesmo tempo,
os gestores de TI precisam estar conscientes quanto à necessidade de uma boa gestão de
mudança para vencer a inércia organizacional, para garantir que os benefícios
organizacionais sejam atingidos.
Estes fatores influenciadores são todos passíveis de ação gerencial tanto dos gestores de
TI como da alta direção da empresa. Muitas vezes, por exemplo, a otimização de
processos de negócio requer a disposição dos usuários de mudar a sua maneira de
trabalhar, fator este que requer ações firmes de mudança de gestão. A forma em que
essa ação gerencial irá ocorrer vai depender em boa parte do processo de governança
sobre a TI da organização e da capacidade de comunicação da TI dentro da organização
para promover mudanças nos processos de negócio através da implantação de sistemas
corporativos.
Por outro lado, uma vez implantados sistemas de informação corporativos, os gestores
de TI e os responsáveis pela governança da TI podem usar estes modelos para
verificarem se benefícios organizacionais foram de fato alcançados, com base em
fatores de fácil verificação junto à comunidade gerencial e de usuários dos sistemas,
com base nos modelos considerados nesse estudo, em particular o modelo integrativo
proposto com base nos modelos de Melville et al. (2004) e Seddon et al. (2010). Com
isto, esses gestores estarão munidos de instrumentos eficazes para demonstrar a eficácia
dos projetos implantados, assim como outras áreas podem mostrar as vantagens de seus
projetos de investimento em termos de aumento de receita ou redução de reclamações
de usuários.
Há que se observar que o presente estudo se limitou a apenas um sistema de informação
de uso corporativo no qual, dada a natureza do processo de negócio envolvido, é mais
90
difícil estabelecer uma clara relação entre tal iniciativa e a geração de benefícios
financeiros diretos, como já foi explicado. Mesmo assim, pode-se delinear o processo
por meio do qual a iniciativa de adoção do sistema GRC Process Control contribuiu
para a melhoria da eficácia e eficiência do referido processo, além do que, se
considerarmos os estudos de Ashbaugh-Skaife et al. (2009), podemos concluir que a
ferramenta, ao facilitar o processo da certificação evitando, talvez, uma declaração de
fraqueza em controles, motivada por erros na manipulação das informações da
certificação, o custo de capital da empresa não sofreu aumentos inesperados, o que por
si só já é um benefício organizacional claro.
A base de usuários em que se baseou a pesquisa foi limitada dado o fato de que a
maioria dos usuários corporativos faz um uso bastante eventual do sistema, entrando
uma vez por ano para fazer suas atividades previstas na certificação, o que poderia
afetar negativamente os resultados da pesquisa. A maioria dos usuários entrevistados
foram das áreas corporativas de Controles Internos e Auditoria, que são os principais
usuários do sistema. Mas isto limitou a quantidade de entrevistados e, de certa forma, a
qualidade das informações coletadas.
Por outro lado, é de se observar ainda que há outros sistemas de informação com relação
bem mais direta com o desempenho organizacional que poderiam ser estudados, com
uma base de usuários bem maior, e, portanto, dando ensejo para conclusões mais claras
quanto aos fatores que influenciam os benefícios alcançados por sistemas de informação
corporativos. Futuras pesquisas devem ampliar o escopo dos sistemas analisados, de
forma a analisar um universo maior de usuários.
É importante verificar que vários dos construtos estudados, como, por exemplo,
recursos tecnológicos e humanos de TI, integração e melhoria de acesso à informação,
melhoria de processos e capacidade de vencer a inércia organizacional, são na realidade
fatores influenciadores que mantém uma relação estreita com o grau de governança
corporativa sobre os processos de TI.
Desse modo, futuras pesquisas poderiam estender esse estudo de modo a verificar o
relacionamento com o processo de governança corporativa da TI, de modo a entender
91
melhor como uma boa governança corporativa de TI pode influenciar esses construtos
na captação de benefícios organizacionais com a implantação de sistemas corporativos.
Essa linha de pesquisas deve ser do interesse da maioria dos gestores de TI de empresas
de médio e grande porte, dada a dificuldade que normalmente enfrentam em defender
seus orçamentos de investimento. Uma vez tendo instrumentos que podem claramente
relacionar benefícios organizacionais com a implantação dos diversos projetos de
sistemas de informação, fica muito mais fácil para a organização tomar as decisões de
investimento em TI, com base numa visão de benefícios a serem alcançados, os quais
muitas vezes não são diretamente financeiros.
92
REFERÊNCIAS BIBLIOGRÁFICAS
ALMEIDA, L. C. S. S. Projeto de Atendimento à Lei Americana Sarbanes-Oxley:
Desafios e Soluções do Caso Petrobras. Dissertação (Mestrado Profissionalizante em
Administração), Faculdade de Economia e Finanças IBMEC, Rio de Janeiro: 2010.
ALTER, S. A General, Yet Useful Theory of Information Systems. Communications
of the Association for Information Systems. v. 1, Article 13, pp. 1-68. 1999a.
ALTER, S. The Siamese Twin Problem: A Central Issue Ignored by “Dimensions of
Information System Effectiveness” (Letters to the Editor). Communications of the
Association for Information Systems, v. 2, Article 20, pp. 40-60. 1999b.
ASHBAUGH-SKAIFE, H.; COLLINS, D. W.; KINNEY JR, W. R.; LAFOND, R. The
Effect of SOX Internal Control Deficiencies on Firm Risk and Cost of Equity. Journal
of Accounting Research, v. 47, No. 1, March 2009.
AVILE - Gestão de TI - ASAP – Accelerated SAP. Jundiaí, São Paulo: 2010. Visto no
site http://www.avile.com.br/index.php?urlop=sap, em 01/08/2011
BASU, A; BLANNING, R. W. Sythesis and Decompostion of Processes in
Organizations. Information Systems Research, v. 14:4, pp 337-355, 2003
BHARDAWAJ, A. A Resource-Base Perspective on Information Technology
Capability and Firm Performance: An Empirical Investigation. MIS Quarterly. v. 24,
No. 1, pp. 169-196, March 2000.
BHARDAWAJ, A.; SAMBAMURTHY, V.; ZMUD, R. IT Capabilities: Theoretical
Perspectives and Empirical Operationalization. IN: International Conference on
Information Systems (ICIS), pp. 378-385, 1999. Anais… Charlotte, North Carolina:
1999
93
BOSWORTH, B. P.; TRIPLETT, J. E. What’s new about the new economy? IT,
economic growth and productivity. International Productivity Monitor , Washington,
DC. Iss 2, pp. 19-30, Spring 2001.
BRESNAHAN, T. F. Computerization and wage dispersion: An analytical
reinterpretation. Economic Journal: Royal Economic Society Oxford, UK, v. 109,
Issue 456, pp. 390-415, June 1999
BRYNJOLFSSON, E. The productivity paradox of information technology.
Communications of the Association for Information Systems, v. 36 Article 12, pp.
66-77, December 1993.
BRYNJOLFSSON, E. The contribution of information technology to consumer
welfare. Information Systems Research, 7 : 3, pp. 281-300, 1996.
BRYNJOLFSSON, E.; HITT, L. M. Information technology as a factor of production:
the role of differences among firms. Economics of Innovation and New Technology.
pp. 183-99, 1995.
BRYNJOLFSSON, E.; HITT, L. M. Paradox Lost? Firm-level evidence on the returns
to information technology spending. Management Science v. 42, issue 4, pp. 541-558,
1996.
BRYNJOLFSSON, E.; HITT, L. M. Beyond the productivity paradox: Computer are
the catalyst for bigger changes. Communications of the Association for Information
Systems, v. 41 Article 8, pp. 49-55, 1998.
CARR, N. IT Doesn’t Matter. Harvard Business Review. pp 41-49, March 2003.
CFO. How Markets Punish Material Weaknesses. New York, New York: 2005. Visto
em 10/06/2012, no site http://www.cfo.com/article.cfm/4197475.
94
COUNCIL OF ECONOMIC ADVISORS. The annual report of the council of
economic advisors. The Economics of the President. US Government Printing Office.
Washington, DC: 2001.
DEDRICK, J.; GURBAXANI, V.; KRAEMER, K. L. Information Technology and
Economic Performance: A Critical review of the Empirical Evidence. ACM
Computing Surveys, v. 35, No. 1, pp. 1-28, March 2003.
DELONE, W. H.; MCLEAN, E. R. Information Systems Success: The Quest for the
Dependant Variable. Information Systems Research, 3 : 1, pp. 60-95, 1992.
DELONE, W. H.; MCLEAN, E. R. The DeLone and McLean Model of Information
Systems Success: A Ten-Year Update. Journal of Management Information Systems,
v. 19, No. 4, pp. 9-30, Spring 2003.
DIAS, R. Métricas para Avaliação de Sistemas de Informação. Revista Eletrônica de
Sistemas de Informação, v. 1 No 1, pp 1-13, 2002.
GABLE, G.; SEDERA, D.; CHAN, T. Re-conceptualizing Information System Success:
The IS-Impact Measurement Model. Journal of the Association for Information
Systems, v. 9, Issue 7, Art. 1, pp. 377-408, 2008.
GARTNER. Gartner Says Worlwide IT Spending to Grow 5.3 Percent in 2010.
Stamford, Connecticut: 2010. Visto em 18/10/2010, no site
http://www.gartner.com/it/page.jsp?id=1339013.
HALLIWELL, M. Technical Update: Changes to the PCAOB Standard and New SEC
Guidance. Ernst & Young. In: Sarbanes-Oxley Symposium. Anais… Texas: ISACA,
2007.
IRANI, Z. Information Systems Evaluation: Navigating Through the Problem Domain.
Information & Management, Elsevier, v. 40, pp. 11-24, Oct. 2002.
95
IT Governance Institute. IT Control Objectives for Sarbanes-Oxley, Rolling
Meadows, EUA, 2006.
JORGENSON, D. W.; STIROH, K. J. Computers and growth. Economics of
Innovation and New Technology, Cambridge, MA, v. 3, issue 4, pp. 295-316, 1995.
KOHLI, R.; DEVARAJ, S. Measuring Information Technology Payoff: A Meta-
Analysis of Structural Variables in Firm-Level Empirical Research. Information
Systems Research, v. 14, No. 2, pp. 127–145, June 2003.
LOVEMAN, G. W. An assessment of the productivity impact of information
technologies. Informatiom Technology and the Corporation of the 1990s: Research
Studies, pp. 84-110, 1994.
MELVILLE, N.; KRAEMER, K.; GURBAXANI, V. Review: Information Technology
and Organizational Performance: An Integrative Model of IT Business Value. MIS
Quarterly , v. 28, No. 2, pp. 283-322, June 2004.
OH, W.; PINSONNEAULT, A. On the Assessment of the Strategic Value of
Information Technologies: Conceptual and Analytical Approaches. MIS Quarterly , v.
31, No. 2, pp. 239-265, June 2007.
OLINER, S. D.; SICHEL, D. E. The resurrection of growth in the late 1990s: Is
information technology the story? Journal of Economic Perspective, Washington, DC,
v. 14, issue 4, pp. 3 – 22: 2000. Federal Reserve Board.
PICCOLI, G.; IVES, B. Review: IT-Dependent Strategic Initiatives and Sustained
Competitive Advantage: A Review and Synthesis of the Literature. MIS Quarterly , v.
29, No. 4, pp. 747-776, December 2005.
ROACH, S. S. America’s technology dilemma: A profile of the information
economy. Morgan Stanley Special Economic Study. New York: 1987
96
ROACH, S. S. Pitfalls of the new assembly line: Can service learn from
manufacturing? Morgan Stanley Special Economic Study. New York: 1989
ROACH, S. S. America’s technology dilemma: A profile of the information economy.
Harvard Business Review, rev 39, issue 2, pp 82-92, 1991.
Sarbanes-Oxley Act of 2002. US Government Printing Office – (disponível em
http://frwebgate.access.gpo.gov/cgi-
bin/getdoc.cgi?dbname=107_cong_public_laws&docid=f:publ204.107.pdf, visto em
21/07/2011)
SEDDON, P. B. A Respecification and Extension of the DeLone and McLean Model of
IS Success. Information Systems Research, v. 8, No. 3, pp. 240-253, 1997.
SEDDON, P. B.; CALVERT, C.; YANG, S. A Multi-Project Model of Key Factors
Affecting Organizational Benefits from Enterprise Systems. MIS Quarterl y, v. 34, No.
2, pp. 305-328, June 2010.
SEDDON, P. B.; STAPLES, S.; PATNAYAKUNI, R.; BOWTELL, M. Dimensions of
Information Systems Success. Communications of the Association for Information
Systems, v. 2, Article 20, pp 1-60, 1999.
SMITH, H. A.; MCKEEN, J. D. Developments in Practice VII: Developing and
Delivering the IT Value Proposition. Communications of the Association for
Information Systems, v. 11, pp. 438-449, 2003.
STRASSMANN, P. A. The business value of computers: An executive’s guide.
Information Economics Press. New Canaan, CT, USA: 1990.
STRAUB, D. W; WATSON, R. T. Transformational Issues in Researching IS and Net-
Enabled Organizations. Information Systems Research, v. 12:4, pp 337-345, 2001
97
TANG, D. Y.; TIAN, F.; YAN, H. Creditors’ Expected Recovery and Internal
Control Quality: Evidence from Credit Default Swaps. The University of Hong
Kong, Hong Kong: 2012.
YIN, R. Estudo de caso: planejamento e métodos. 3. ed. Porto Alegre: Bookman,
2005.
ZACHARIAS, C. C. Uma análise comparativa das regulamentações existentes para
empresas, bancos e seguradoras, com ênfase na Lei Sarbanes-Oxley. Dissertação
(Mestrado Profissionalizante em Administração), Faculdades Ibmec RJ, Rio de Janeiro,
2006.
98
ANEXO I
Questionário das Entrevistas
99
Questão Modelo Construto/ relação Perfil Resp. Ideal
1 - Esta entrevista está sendo conduzida como parte de uma
pesquisa de Mestrado de Administração sobre a adoção de
sistemas corporativos em empresas, com base no exemplo do
sistema SAP GRC Process Control da Petrobras. Os
entrevistados não serão pessoalmente identificados no texto
resultante, podendo-se apenas citar trechos das respostas, de
modo a corroborar ou não os conceitos que a pesquisa busca
identificar no caso específico desta implantação. Os
respondentes serão apenas identificados em termos de sua
função na estrutura da empresa, como, por exemplo, gerente
da área financeira 1, 2, ou 3, analista de suporte da TI 1, 2 ou
3, ou coordenador de processos da área de controles internos.
Gostaríamos de lembrar que o sistema SAP GRC Process
Control foi implantado em abril de 2009, como sucessor do
anterior sistema MIC, também da SAP. Inicialmente, gostaria
de conhecer suas impressões pessoais quanto à mudança do
sistema MIC para o SAP GRC Process Control.
--- --- ---
100
2 - Como você vê a atuação da TIC nesta mudança de sistema
(MIC para o GRC Process Control), em termos de capacitação
técnica e disponibilidade de infraestrutura para a implantação?
Obs: solicitar exemplos concretos
Melville et al. (2004) Recursos de TI Gerentes/ Coordenadores de
CONTROLES INTERNOS e
AUDITORIA
3 – Que recursos (ex., competências, processos, políticas,
estrutura organizacional) pré-existentes na empresa
facilitaram ou apoiaram a implantação do sistema GRC
Process Control?
Melville et al. (2004) Recursos
Organizacionais
Complementares
Gerentes/ Coordenadores de
CONTROLES INTERNOS,
AUDITORIA, TI, Gestores de
Processos de Negócio
4 - Houve áreas da empresa que sofreram mudanças nos seus
processos por conta da implantação do sistema SAP GRC
Process Control? Quais? Que processos foram (mais)
afetados? Como?
E com a implantação do MIC? Que processos e áreas foram
(mais) afetados? Como?
Obs: solicitar exemplos concretos das mudanças (positivas e
negativas)
Melville et al. (2004)
Seddon et al. (2010)
Processos de
Negócio e
Otimização
Gerentes/ Coordenadores de
CONTROLES INTERNOS,
AUDITORIA, TI, Gestores de
Processos de Negócio
5 – O desempenho dos processos citados acima mudou como Melville et al. (2004) Desempenho do Gerentes/ Coordenadores de
101
resultado da implantação do SAP GRC Process Control? E o
desempenho das áreas da empresa envolvidas?
E com a implantação do MIC? Houve mudanças no
desempenho dos processos e das áreas envolvidas?
Obs: solicitar exemplos concretos das mudanças (positivas e
negativas)
Processo CONTROLES INTERNOS,
AUDITORIA, TI, Gestores de
Processos de Negócio
6 – Até que ponto o uso do SAP GRC Process Control altera o
relacionamento da empresa com seus auditores externos? O
seu uso na empresa é afetado de alguma forma pelos
processos e sistemas desses auditores externos?
Obs: solicitar exemplos concretos (positivos e negativos)
Melville et al. (2004) Recursos de
parceiros de negócio
e processos de
negócio relacionados
Gerentes/ Coordenadores de
CONTROLES INTERNOS,
AUDITORIA
7 - Que impactos a entrada em produção do SAP GRC
Process Control gerou para a Petrobras como um todo,
especialmente quando comparado com a situação quando o
sistema MIC era usado?
E a entrada em funcionamento do MIC? Alterou de alguma
forma o desempenho da empresa?
Seddon et al. (2010) Benefícios
organizacionais
Gerentes/ Coordenadores de
CONTROLES INTERNOS,
AUDITORIA, TI, Gestores de
Processos de Negócio
102
Obs: solicitar exemplos concretos dos impactos (positivos e
negativos)
8 - Como vê o sistema SAP GRC Process Control em termos
de funcionalidades requeridas para o processo continuado de
certificação SOX? O sistema atende os requisitos de
informação e organização do processo da certificação, desde
as auto-avaliações de processos e controles até o “sign-off”
pelos gestores?
E o sistema MIC? Atendia da mesma forma esses requisitos?
Obs: solicitar exemplos concretos
Seddon et al. (2010) Atendimento a
requisitos funcionais
Gerentes/ Coordenadores de
CONTROLES INTERNOS,
AUDITORIA, TI
9 - Como os usuários receberam a implantação do sistema de
apoio à certificação SOX? Por favor, fale sobre essa questão
na implantação do MIC e, depois, na implantação do GRC.
Prompt: Houve resistência? Como foi vencida esta
resistência? Foi bem aceito? O que contribuiu para que não
houvesse resistência?
Obs: solicitar exemplos concretos
Seddon et al. (2010) Capacidade de
vencer resistência
organizacional
Gerentes/ Coordenadores de
CONTROLES INTERNOS,
AUDITORIA, TI, Gestores de
Processos de Negócio
103
10 – A implantação do sistema SAP MIC modificou a
integração das informações, das áreas e/ou processos na
empresa?
E a implantação do SAP GRC Process Control?
Obs: solicitar exemplos concretos das mudanças (positivas e
negativas)
Seddon et al. (2010) Integração Gerentes/ Coordenadores de
CONTROLES INTERNOS,
AUDITORIA, TI
11 - Como a implantação do sistema SAP MIC afetou o
acesso a informações relativas aos controles internos?
E a implantação do GRC Process Control?
Obs: solicitar exemplos concretos das mudanças (positivas e
negativas)
Seddon et al. (2010) Melhoria no acesso à
informação
Gerentes/ Coordenadores de
CONTROLES INTERNOS,
AUDITORIA, TI, Gestores de
Processos de Negócio
12 - Que resultados podem ser esperados do processo
atualmente em curso de integração entre o GRC Process
Control e o ERP, com o propósito de automatizar alguns dos
testes de controles?
Seddon et al. (2010) Otimização de
processos
Gerentes/ Coordenadores de
CONTROLES INTERNOS,
AUDITORIA, TI
104
