A informação é o principal recurso de qualquer organização e com a evolução da tecnologia de informação nas últimas décadas praticamente todas as organizações, seja de pequeno, médio ou grande porte, estão utilizando sistemas informatizados para realizar ao menos seus processos mais críticos em busca de resultados e diferencias de mercado. Com isso as empresas podem se valer destes dados para decidir onde abrir uma filial, onde aumentar os investimentos em marketing ou qual o melhor local para lançar um produto de acordo com características do seu público alvo.
Para instituições financeiras os dados transformados em informações são considerados como um dos maiores ativos, por isso essas organizações têm realizado grandes investimentos em tecnologias e aplicativos através dos anos, a fim de fazer com que essas informações colaborem no momento de uma tomada de decisão estratégica, traçar metas ou outra ação que envolva uma análise de comportamento. Porém não adianta realizar grandes investimentos em ferramentas e tecnologias de ponta se os dados armazenados não têm qualidade para prover as informações no momento correto.
Em um cenário de crise econômica, a necessidade de uma boa governança de TI tem se tornado preocupação primordial nas organizações. O COBIT por sua vez tem como principal prover um modelo de referência para governança e gerenciamento da TI. Auditorias periódicas são cada vez mais necessárias e o COBIT 5: Enabling Processes permite diversas formas de controle e avaliação dos processos de governança e gestão dos processos de TI, porém quando se trata de controles e avaliação da relevância dos dados e informações geradas pelas empresas o COBIT 5 Enabling Processes (Habilitando Processos) possui foco apenas no habilitador Processo, sendo a avaliação da qualidade da informação atrelada a outro habilitador a Informação, sendo assim a ISACA desenvolveu um guia específico da família COBIT para esse habilitador, ou seja, o COBIT 5: Enabling Information que permite um melhor suporte para implementação de controles e avaliação da qualidade e relevância de dados e informações.
Em uma avaliação de auditoria referente a um ambiente analítico de uma instituição financeira, onde o objetivo era prover a instituição um relatório sobre a segurança do ambiente, a qualidade dados e relevância das informações no contexto estratégico da empresa forma aplicados diretrizes do livro COBIT 5 Enabling Information utilizando os critérios de qualidade das informações (intrínseco, contextual e segurança) e suas sub dimensões, conforme imagem abaixo, como base para avaliação, como demonstrado na figura 1.
Figura 1—Objetivos da Informação/Critérios de Qualidade Aplicados à Relevância da Informação
Fonte: Adaptado da ISACA, COBIT 5: Enabling Information, USA, 2012
Em complemento a abordagem tradicional de segurança da informação, que abrange questões de confidencialidade, integridade e disponibilidade, para cobrir alguns critérios de qualidade baseados nas sub dimensões detalhadas no guia COBIT 5: Enabling Information - Information Goals/Quality Criteria que são mais específicos da percepção do usuário, foi utilizado o método de pesquisa survey. O método survey para Mello (2013) “é um método de coleta de informações diretamente de pessoas a respeito de suas ideias, sentimentos, consciência, planos, crenças e de fundo social, educacional e financeiro”1.
Para isso foi planejada uma pesquisa durante a avaliação com perguntas diretamente relacionadas aos critérios de qualidade da informação do COBIT e aplicada às partes interessadas pelos dados em um serviço de adquirência de dados de cartões.
Um serviço de adquirência é um membro registrado das bandeiras de cartões (por exemplo, Visa, Mastercard, etc.). Existe um contrato com os estabelecimentos comerciais para criar e manter contas que permitem a empresa a aceitar cartões de crédito e débito, (ou seja, contas de comerciantes). O serviço de adquirência adicionalmente fornece aos comerciantes equipamentos e software para aceitar cartões, materiais promocionais, atendimento ao cliente e outros aspectos necessários envolvidos na aceitação do cartão. O banco referenciado do serviço de adquirência também repassa os depósitos provenientes das vendas de cartões de crédito e débito para a conta do comerciante.
Primeiramente as perguntas foram direcionadas a um grupo de 15 gerentes e executivos chave de áreas e atribuições diversas em um serviço de adquirência para conhecer um pouco melhor as características dos usuários e as principais formas de obtenção e utilização das informações por eles consumidas com questões referentes a quais ambientes o usuário obtém as informações para seu trabalho e quais ferramentas de extração de dados utiliza. Na segunda etapa o questionário foi direcionado para obter das partes interessadas suas percepções referentes as sub dimensões de qualidade da informação segundo o COBIT 5: Enabling Information, aspectos esses bastante difíceis de obter a uma conclusão apenas com testes tradicionais sem entender o contexto de trabalho do usuário. As perguntas foram de múltipla escolha com 3 (três) respostas (sim, não ou as vezes). A questão central foi “Em sua avaliação, a qualidade das informações disponibilizadas pelo ambiente são”:
- Corretas e confiáveis?
- De fontes verdadeiras e confiáveis?
- Aplicáveis, úteis e suficientemente atualizadas para as tarefas do dia-a-dia?
- Apresentadas de forma simples?
- Disponíveis em símbolos e unidade definidas e claras?
- Facilmente compreendidas?
- Disponíveis quando necessárias?
- Fáceis de manipular e aplicar para diferentes tarefas?
Após a finalização da pesquisa foi aplicado um critério previamente definido onde foi atribuído um parecer de aderente, parcialmente aderente e não aderente para cada uma das sub dimensões dos critérios de qualidade da informação tomando como premissa para o julgamento os resultados dos testes realizados e os resultados obtidos com as respostas da pesquisa realizada e no final geramos um relatório com os principais pontos positivos e pontos de atenção na utilização dos dados pela instituição (figura 2).
Figura 2—Objetivos de Qualidade da Informação Aplicados na Pesquisa
Fonte: F. da Silva Antônio e A. Manotti. Reproduzido com permissão.
Os critérios aplicados nesta avaliação servirão como um ponto de partida para novas avaliações em ambientes analíticos e a cada nova avaliação o refinamento das regras de criticidade de dados e informações serão aperfeiçoados.
A aplicação da pesquisa direcionada aos critérios de qualidade propostos pelo COBIT 5: Enabling Information foi de bastante utilidade possibilitando uma avaliação mais relevante dos dados, informações e comportamento dos usuários gerando um diagnóstico mais detalhado sobre as principais informações utilizadas pela organização em seus estudos e consequentemente maior valor agregado ao negócio.
Felipe da Silva Antonio, COBIT Foundations, CTFL
Profissional há mais de 8 anos nas áreas de Auditoria de Sistemas e Desenvolvimento de Softwares, atuando em instituições financeiras e consultorias de tecnologia nacionais e multinacionais. Pode ser contatado em felipesilva.antonio@hotmail.com.
Alessandro Manotti, CISA, CISM
Profissional há mais de 15 anos na área Auditoria de Sistemas e Segurança da Informação, atuando em instituições financeiras e consultorias no Brasil e Exterior. Pode ser contatado em alessandromanotti@hotmail.com.
Referências
1 Mello, C.; Métodos quantitativos: pesquisa, levantamento ou survey, Aula 09 da disciplina de metodologia de pesquisa na UNIFEI, 2013