efagundes.com

Tech & Energy Think Tank

Think tank independente com foco em energia, tecnologia e tendências globais. Análises para apoiar decisões estratégicas com visão de impacto.

Assine a Newsletter no Linkedin

Autor: Eduardo Fagundes

  • TI, auditorias e a fraude no Banco Panamericano

    Em novembro de 2010, os jornais noticiaram mais uma fraude bancária desta vez envolvendo o banco Panamericano, pertencente ao Grupo Silvio Santos e com participação de 49% da Caixa Econômica Federal. O rombo foi estimado em R$2,5 bilhões, o Banco Central e o Grupo Silvio Santo jogaram a responsabilidade nas empresas de auditoria. Segundo os jornais, a fraude acontecia na venda de financiamentos a outras instituições, recebi os valores, usava os valores para fazer mais financiamentos. Essa prática ilícita fez inflar o patrimônio da financeira e propiciar mais bônus para os diretores. Aparentemente, a fraude seria simples de ser evitada e detectada pelas auditorias internas e externas do Panamericano. Ora, o sistema de gestão financeira controla o número de contratos de financiamentos. A venda de financiamentos para outros bancos deve gerar uma receita evidenciada por um lançamento contábil com origem e aprovada pela direção da financeira. Se o sistema fosse integrado à baixa do número dos financiamentos seria automática. Como provavelmente os sistemas não são integrados, as auditorias deveriam fazer um cruzamento entre os lançamentos contábeis e seus impactos em outros sistemas. A fraude aconteceu dentro da financeira, pois quando o Banco Central cruzou os dados dos financiamentos verificou a duplicidade dos contratos. Ou seja, os outros bancos e financeiras fizeram os devidos lançamentos contábeis baseados em documentos gerados nas transações com o Panamericano. Desta forma, é injustificável que as auditorias que participaram do processo não tenham detectado a fraude. Infelizmente, esses casos são repetitivos no mundo inteiro. O evento mais recente e famoso foi o do banqueiro americano Bernard Lawrence “Bernie” Madoff que utilizou uma velha prática ilegal de pirâmide financeira e, também, as auditorias não detectaram a fraude. Mas afinal por isso acontece?

    Para começar temos que entender como funciona os contratos com as auditorias. Todas as empresas de capital aberto são obrigadas a contratar empresas de auditoria. A Comissão de Valores Mobiliários (CVM) no Brasil obriga um rodízio de auditorias externas nas empresas a cada período de cinco anos para evitar conivências entre o contratante e o contratado. As auditorias devem ser reconhecidas pela CVM para haver lastro legal nas auditorias. Normalmente, as auditorias são contratadas com base em horas trabalhadas para um determinado escopo de serviço. Para adequar custo e obrigação legal o escopos de serviço é reduzido ao máximo. Os auditores utilizam um mapa de auditoria com um roteiro de trabalho e coleta de evidências. Se os auditores não tiverem um perfil investigativo situações que fogem ao roteiro passam despercebidas. Em casos onde são identificados problemas as auditorias negociam horas adicionais para estender as investigações.

    Empresas que não usam sistemas integrados de gestão são mais suscetíveis a fraudes, pois os dados são migrados de um sistema para outro através de programas e as inconsistências são tratadas manualmente. Integrações mais recentes são realizadas através de SOA, porém são caras e complexas. Em outras palavras, o potencial de fraude está diretamente relacionado com a falta de integração dos sistemas de informação das empresas. Esse deveria ser um parâmetro para definir o escopo das auditorias e, consequentemente, o número de horas de cada projeto. Isso, provavelmente, motivaria as empresas a investirem mais na integração dos sistemas. Um efeito direto da integração de sistema é a melhoria dos controles internos e a simplificação dos processos organizacionais.

    Felizmente, depois de eventos como esse do Panamericano os órgãos regulatórios reagem e aperfeiçoam os mecanismos de controle. Vamos esperar que esse episódio crie mecanismos de autoregulação entre as auditorias e motive as empresas a investirem mais na integração dos sistemas de informação.

  • Gestão do Outsourcing

    Outro dia assisti um debate sobre os desafios dos CIOs no Brasil. Um dos pontos discutidos foi a gestão do outsourcing. As opiniões estavam divididas, um grupo de CIOs afirmava que a gestão era tranquila com pequenos ajustes para adequar as estratégias da empresa e outro grupo afirmava que a gestão de outsourcing era a tarefa mais difícil da função devido ao baixo nível de profissionalismo dos prestadores de serviço. No decorrer do debate deu para perceber que o nível de maturidade das empresas estava diretamente ligado aos comentários sobre a gestão do outsourcing. Empresas com maior maturidade a gestão é tranquila, empresas de baixa maturidade a gestão é problemática.

    Os problemas começam na origem. Empresas de baixa maturidade acreditam que o outsourcing é um instrumento de redução de custos com aumento significativo da qualidade do serviço. Empresas de alta maturidade entendem que o outsourcing é um instrumento estratégico que deve produzir mais eficiência nos processos de negócios e que a redução de custos é relativa aos resultados obtidos.

    Empresas de baixa maturidade não conseguem elaborar uma solicitação de serviços detalhada e focada em resultados com métricas definidas. Elas elaboram propostas de serviços genéricas, não definem critérios de avaliação e os papeis e responsabilidades entre contratante e contratado. Como sempre a expectativa é maior que o serviço prestado o conflito é permanente, culminando invariavelmente com a quebra do relacionamento entre as partes.

    Na prestação de serviços não existe mágica. Como tratamos com pessoas temos que levar em conta os aspectos motivacionais, crescimento profissional, aumento de renda e reconhecimento. Como os serviços de outsourcing são normalmente táticos e operacionais os níveis de motivação caem com o passar do tempo. Uma forma de manter a equipe motivada é fazer um turnover planejado, como a da seleção de voleibol masculina do Brasil. O turnover também resolve as questões do crescimento profissional do pessoal, aumento de renda e reconhecimento. Entretanto, em empresas de baixa maturidade o turnover é considerado um desserviço do prestador de serviço. Ainda, exigem o congelamento dos salários do pessoal e quanto ao reconhecimento… afinal são terceiros e fazem o que está no contrato.

    Em empresas de alta maturidade as solicitações de serviços são detalhadas e refletem as necessidades do negócio. Os contratos contemplam processos de melhoria contínua com os prestadores de serviços. Os mecanismos de melhoria contínua asseguram a aderência dos serviços prestados com os negócios da empresa. Essa simbiose transforma o prestador de serviço em um verdadeiro parceiro estratégico e de longo prazo.

    Entretanto, não podemos isentar os maus prestadores de serviços que na busca de novos contratos topam qualquer coisa. Eles acreditam que depois do contrato fechado conseguirão administrar os conflitos. Minha experiência mostra que as chances de sucesso dessa estratégica são limitadas. A melhor alternativa é trabalhar para educar o cliente apresentado as melhores práticas de gestão de serviços.

    Fica a sugestão de se fazer uma auto avaliação antes de criticar o prestador de serviços e buscar alternativas para resolver os conflitos de forma duradoura.

  • Data center Outsourcing

    O outsourcing de datacenters é inevitável para a maioria das empresas. Existem algumas premissas que devem ser atendidas pelas empresas para atender as boas práticas de gestão de TI e negócios. O tema continuidade de negócios faz parte dos fundamentos de qualquer empresa e, por conseqüência, o DRP do datacenter. Um tema relativo as boas práticas de gestão de TI são os ambientes de processamento: desenvolvimento, testes, homologação e produção. Embora importantes, as empresas não implementam essas práticas por questões de custos e seu impacto no preço final do produto. Para vencer a concorrência global em suas varias facetas (defasagem do câmbio, mão de obra barata, nossos altos impostos, etc) é necessário reduzir custos a patamares mínimos. Ai vem a velha pergunta: Dá para operar o datacenter sem backup site?; Dá para usar o ambiente de desenvolvimento para teste e homologação?; A empresa não tem verba para investimentos em TI, dá para prolongar a vida dos servidores por mais um ano?; etc. Nessa hora o pessoal de TI virá herói. Trabalham 16 horas por dia e ficam com a sensação que carregam a empresa nas costas. Quando chega uma auditoria é um stress para justificar que as práticas utilizadas estão em conformidade. Os relatórios de auditoria apontam para várias situações de não-conformidade e aí são elaborados os planos de ação para resolver os problemas de auditoria. Na maioria dos casos o planos de ação são para melhorias e não resolvem o problema. A pergunta é o que o gerente de TI deve fazer?

    1. A solução de outsourcing é a primeira coisa que vem a cabeça. Livre-se desse abacaxi.
    2. Agora chegou a solução definitiva: Cloud Computing. Epa! É necessário converter alguns sistemas para o ambiente de cloud… não tem dinheiro.
    3. O que fazer com os ativos do datacenter próprio?
    4. É muito caro! Conseguimos operar com a metade do preço. Bem… nossos servidores são antigos. Usamos desktops como servidores. ITIL? Só no ano que vem… com sorte.
    5. Queremos o SLA de 5 noves (99,999%). Puxa! Custa tudo isso? Será que eu preciso?

    Essa situação mostra a baixa maturidade de gestão das áreas de TI e uma visão operacional da TI nas empresas. É necessário fazer um trabalho de avaliação de riscos da TI e mostrar seu viés estratégico para o negócio. Desta forma, capturar recursos para operar usando boas práticas de gestão de TI.

  • Estudo mostra baixa maturidade na gestão de TIC

    A Accenture e IDC publicaram um estudo que mostra o baixo nível de maturidade na gestão de infraestrutura de TIC no Brasil. A área de Delivery é a que obteve a menor pontuação, seguidas por segurança e suporte. Esse estudo demonstra a baixa percepção de riscos da TIC da alta gerência das empresas. Como a maioria das empresas encara a TIC como áreas operacionais e táticas, os investimentos ficam limitados aos recursos necessários para a implantação de sistemas para os negócios e pouco investimento para a melhoria dos processos internos de TIC. Alinhado com a escassez de mão de obra qualificada que produz excesso de trabalho e acumulo de responsabilidades o cenário não poderia ser diferente. Infelizmente, esse relatório pode deixar preocupados os investidores externos que enxergam altos riscos nos negócios quando as áreas de TIC tem baixa maturidade de gestão. A boa noticia do estudo é que mostra que os investimentos na área de gestão cresceram de 2009 para 2010, principalmente na área de inovação em TIC.