Mecanismo de controlo para a frente orientado ao risco como garantia da conformidade da execução de processos de negócio
1. Introdução
São múltiplos os fatores endógenos e exógenos a uma organização que promovem
a necessidade de mudança nos processos de negócio (Laudon & Laudon, 2015), por
exemplo, alterações de requisitos, alterações legais ou tentativas de fraude. Ainda mais se
verifica essa necessidade quando se consideram organizações com operação em suporte
digital. Em resposta a estas múltiplas mudanças, é necessário que as organizações tenham
capacidades nativas de encontrar continuamente soluções inovadoras que adaptem os
seus processos de negócio para assim serem mais eficientes e eficazes. Neste contexto,
a existência de mecanismos que habilitem a tomada de decisões informadas (Weber,
1987; Rocha & Freixo, 2015), ou o mais informadas possível, são uma competência chave
para o sucesso da gestão da organização.
Os processos de negócio assumem um papel duplo de (i) prescrição das restrições de
desenho para uma determinada realidade organizacional, sendo válida num determinado
período de tempo (Hoogervorst, 2009), e (ii) suporte para implementação de sistemas
que operam as ações executadas pelos atores organizacionais. Porém, os atores têm um
papel ativo e autónomo na execução dos processos de negócio, existindo por esta razão um
risco que as prescrições dos processos de negócio não sejam cumpridas em conformidade
com as iniciais. Por exemplo, mesmo existindo uma recomendação da empresa para
obter sempre um registo escrito quando são feitos contactos com os seus clientes, nada
limita a capacidade de um ator em contactar diretamente um cliente, por telefone, sem
deixar qualquer rastro da comunicação efetuada aos restantes atores da organização. O
mesmo exemplo se pode aplicar a execuções de processos de negócio de compra e venda
de produtos, em mercados financeiros, que fiquem desconhecidos para os restantes
atores. Neste segundo exemplo, com potencial para impacto nefasto à organização e à sua
envolvente. Alter (2014) descreve este fenómeno por soluções alternativas encontradas
pelos atores (traduzido originalmente da literatura anglo saxónica como workarounds).
Assim, este artigo identifica como motivação de investigação, a necessidade de conceber
mecanismos de controlo que permitam observar a execução dos processos de negócio,
avaliar a sua adequação de acordo com as prescrições disponíveis e atuar quando
necessário para mitigar os efeitos da não conformidade. Pretende-se que estes mecanismos
de controlo funcionem nos principais componentes de um sistema de informação.
Para demonstração, apresenta-se um estudo de um caso referente à implementação de
um protótipo com funcionalidade de controlo para a frente, no âmbito de uma solução de
monitorização e auditoria contínua de processos de negócio executados exclusivamente
em formato digital, num módulo comercial de um Enterprise Resource Planning (ERP).
Em específico, a questão de investigação colocada por este artigo é a seguinte: como
desenhar e implementar um mecanismo de controlo das situações de não conformidade
em execução de processos de negócio, baseado no conceito de perfil de risco?
Como hipótese este artigo considera o seguinte: é possível identificar e classificar a
ocorrência de riscos em negativos e positivos a partir de um confronto com uma definição
prévia de perfis de risco conhecidos.
A inovação oferecida por este artigo identifica-se pelos seguinte pontos: (i) um
mapa conceptual que sintetiza todos os conceitos e relacionamentos envolvidos no
mecanismo de conformidade da execução de processos de negócio, permitindo que
outros investigadores possam usá-lo como forma de avaliação das suas próprias
implementações, e (ii) demonstração das qualidades, limitações e desafios impostos
pelo mecanismo de controlo para a frente, permitindo a sua implementação otimizada
e prescrevendo controlo por retro alimentação nas situações em que se pretende uma
abordagem de melhoria contínua.
O presente artigo organiza-se da seguinte forma. Na seção 2 apresenta-se o trabalho
relacionado na área de interesse desta investigação. De seguida, a seção 3, introduz
os conceitos de controlo de processos de negócio referenciados ao longo do artigo,
terminando com uma síntese em forma de mapa conceptual para o controlo dinâmico da
operação dos processos de negócio. A seção 4 apresenta o estudo de caso que será usado
para discutir a aplicabilidade do controlo de processos de negócio. De seguida a seção 5,
refere os resultados obtidos pelo esforço de validação e discute a hipótese levantada pelo
artigo. No final, a seção 6 conclui o artigo e identifica trabalho futuro a ser executado
como próximos esforços de investigação nesta área.
2. Trabalho relacionado
Esta seção apresenta o trabalho relacionado com o interesse de investigação deste artigo.
Em primeiro lugar, são introduzidas as propostas para controlo de processos de negócio
usualmente usadas no âmbito da auditoria de sistemas de informação. Em segundo
lugar, os conceitos teóricos associados à gestão do risco.
2.1. Controlo de Processos de Negócio
Diversos sistemas de controlo existem numa organização e muitas perspetivas científicas
e profissionais estão ao dispor de um gestor, como por exemplo, a teoria geral dos sistemas
(Bertalanffy, 1969), o modelo do sistema viável (Beer, 1981), os sistemas baseados em
inteligência artificial (Ling, 2015) e as recentes propostas da governação empresarial
(Hoogervorst, 2009; Hoogervorst & Dietz, 2008). Um exemplo clássico de sistema
de controlo organizacional é o controlo de acessos (Ferraiolo et al., 2001) que tem a
responsabilidade de conceder ou revogar o acesso dos utilizadores aos diferentes artefactos
existentes numa organização. Outro exemplo são as regras de negócio responsáveis por
manter o funcionamento organizacional dentro dos objetivos pré-definidos (OMG, 2016).
Em terceiro lugar, num âmbito mais amplo, a governação empresarial é um exemplo de
controlo onde se especifica as restrições de desenho e as orientações de conceção para
obter os modelos organizacionais desejados (Hoogervorst, 2009).
No contexto industrial mais lato das tecnologias da informação (TI), os esforços
apresentados pelo ITIL (OGC, 2011) consistem num conjunto de boas práticas a aplicar
nas infraestruturas, operação e manutenção de serviços de TI, apresentando uma solução
que prescreve e orienta a operação contínua dos processos de gestão de mudança. Ainda
nesta linha, o COBIT (2007) prescreve um quadro para reforçar a TI com mecanismos
de controlo, utilizando as boas práticas, políticas, procedimentos, práticas e estruturas
organizacionais. O COBIT preenche a lacuna entre os riscos do negócio, as necessidades
de controlo e os aspetos técnicos e tem como objetivo principal identificar e corrigir os
eventos indesejados.
De uma forma mais lata, Guerreiro et al. (2012) definem que a condução da organização
(da literatura anglo-saxónica: organizational steering) está relacionada com a capacidade
de controlar, dentro de um esforço limitado, a operação da empresa no sentido de
cumprir os objetivos desejados sempre que ocorrerem qualquer tipo de alterações ou
perturbações. Mais recentemente, Guerreiro & Tribolet (2013) recorrem à teoria e
metodologia DEMO (Dietz, 2006), para desenhar uma solução ontológica de controlo da
operação dos atores, verificando os modelos prescritos e as observações obtidas.
No contexto específico das instituições financeiras, Delgado & Velthuis (2015)
apresentam uma framework que continuamente alinha a governação empresarial com as
tecnologias de informação. Os autores propõem um ciclo composto por (i) identificação
das iniciativas (Plan), (ii) implementação da melhoria (Do), (iii) monitorizar o processo
implementado (Check) e (iv) melhoria por intermédio de implementações e refinamento
sucessivo de ações (Act). Assim, demonstra-se a aplicabilidade às iniciativas do contexto
financeiro. Contudo, é ainda referido que a solução é não aplicável a outros domínios
que envolvam processos de negócio complexos.
2.2. Gestão do Risco
No âmbito da gestão do risco, é importante a identificação e a avaliação do risco, porque
é a partir da identificação e avaliação que é possível controlar os processos de negócio
com o objetivo de mitigar as suas vulnerabilidades ao risco e reduzir o impacto de
eventuais incidentes.
Perfil de risco é conceito importante na identificação e avaliação do risco. Este é um
conceito introduzido por Denning (1987) no contexto de investigações sobre deteção
de intrusão. Posteriormente, este conceito foi utilizado em contextos organizacionais,
nomeadamente na conceção de soluções de auditoria contínua (Santos, 2009) e mais
recentemente em soluções de identificação, previsão e avaliação de riscos associados
à execução de processos de negócio (Marques et al., 2013b). Nestes últimos estudos,
o conceito de perfil de risco está relacionado com a classificação de diferentes
comportamentos que podem ocorrer na execução de processos de negócio e podem
ser definidos como negativos ou positivos. Os perfis de risco negativos podem ser, por
exemplo, operações incompletas, falha de procedimentos cruciais, inconformidades,
atrasos, inconsistências ou fraudes. Por outro lado, os perfis de risco positivos referem-se a todos os comportamentos de execução considerados válidos e apropriados.
Marques et al. (2013a) desenvolveram e implementaram uma base de dados, com o
objetivo de ser um repositório de perfis de risco, para que possa ser usado como um
conjunto de referências ou modelos de execução de processos de negócio. Este repositório
de perfis de risco foi concebido de forma a que os perfis de risco sejam modelados e
concebidos recorrendo à metodologia DEMO (Dietz, 2006). Este repositório foi
utilizado como módulo de suporte a um sistema de informação de monitorização e
auditoria contínua de processos de negócio, provando ser um elemento essencial para a
averiguação da conformidade da execução de processos de negócio, porque permite que
algoritmos de comparação consigam mapear as operações que estão a ser executadas no
domínio organizacional com as operações que fazem parte dos perfis de risco definidos
no repositório de perfis de risco, e identificar, em tempo de execução, qual o perfil de
risco está a ser seguido pelo processo de negócio, antevendo o desfecho da sua execução
(Marques et al., 2015).
3. Conceptualização do controlo de processos de negócio
Nesta secção apresenta-se uma descrição textual dos conceitos que compõe a solução
para o controlo dinâmico da operação dos processos de negócio, baseando-se em
levantamento de trabalho relacionado. Sempre que necessário recorre-se à exemplificação
com o intuito de clarificar as definições. De seguida, os conceitos são sintetizados por
intermédio de um mapa conceptual e argumentados.
3.1. Actor
Os atores de uma organização são a parte fundamental de uma empresa e estão
organizados em sistemas sociais (Winograd, 1986). Um ator é normalmente associado
a uma pessoa, mas pode também ser uma máquina. Numa empresa podem coexistir
visões individuais e coletivas da mesma realidade (Dietz et al., 2013). Os atores têm
liberdade de ação e agem de acordo com seus propósitos e orquestrações. São, portanto,
autónomos na decisão sobre o que devem fazer de seguida. Algumas partes das tarefas
da empresa pode ser automatizadas por sistemas de software, enquanto outras partes
são realizadas por humanos. Para além disso, um ator executa diversas atividades ao
longo do tempo. Para a realização de uma atividade, um ator cumpre, tacitamente ou
explicitamente, um determinado papel. Realça-se ainda o facto do conceito de utilizador
diferir do conceito de ator porque representa o acesso de um determinado ator a um
determinado sistema de software.
3.2. Modelo e instância de um processo de negócio
Neste artigo estudam-se as organizações orientadas a processos de negócio. Para atingir
este fim, introduzimos o conceito de transação de negócio DEMO (Dietz, 2006) que é
considerado um conceito equivalente. Assim, um modelo de processo de negócio é uma
representação abstrata que permite restringir a liberdade de desenho subsequente de
uma organização num determinado período de tempo (Op’t Land et al., 2009). Por sua
vez também é uma representação relevante para partilhar um entendimento comum
entre diferentes atores organizacionais que tal como referido pelo conceito de ator:
têm diferentes interpretações da mesma realidade. Contudo, um modelo de processo
de negócio não serve para ser operado diretamente pelos atores. É necessário que
os modelos previamente desenhados sejam implementados em sistemas (manuais,
semiautomáticos ou automáticos) e sejam contidos na organização, para que de seguida
possam ser instanciados. Essa instanciação ocorre quando os atores executam as suas
atividades ao longo do dia. Para além disso, as instâncias de processos de negócio vão
revelar a existência real da organização no dia-a-dia. Múltiplas instâncias de processos
de negócio ocorrem concomitantemente numa organização. Exemplificando os conceitos
de modelo e instância de processo de negócio, um modelo de processo de negócio define
quais os papéis de atores que estão envolvidos em cada transição de estado, mas são
posteriormente os atores que especificamente instanciam as transições de estado dos
processos de negócio. Para sistematização desta problemática, Dietz (2006) propõe um
modelo de representação de processos de negócio envolvendo os seguintes três aspetos:
(i) a definição dos papéis dos atores, de forma a especificar quem é responsável por cada
parte do processo de negócio, (ii) a definição de um espaço de transição de estados e
(iii) a definição de um espaço de estados. Do mesmo modo como se pode representar
os modelos de processo de negócio, podem também ser representadas as instâncias
de processos de negócio. Usando uma representação única habilita-se a capacidade
de verificar se alguma das instâncias de um processo de negócio não está a respeitar a
prescrição pelo modelo. Caso ocorra uma não observância do modelo, então as funções
de controlo organizacionais deverão ser invocadas.
3.3. Observação
No contexto do controlo de sistemas dinâmicos, Franklin et al. (2009) referem que “…
um sistema é completamente observável se cada variável de estado do sistema afeta
algumas das saídas. Muitas vezes, é desejável obter informações sobre as variáveis
de estado das medições das saídas e das entradas. Se qualquer um dos estados não
pode ser observado a partir das medições das saídas, o estado é dito não observável e
o sistema não é completamente observável ou simplesmente não observável…”. Assim,
numa organização complexa, uma parte dos estados da operação dos seus processos de
negócio são observáveis enquanto outra parte denomina-se de não observável. Logo,
pode não ser possível obter observações sobre todos os estados da operação dos processos
de negócio. Para além disso, usualmente, os estados do ambiente envolvente também
não são totalmente observáveis. Quando um estado é não observável então as funções
de controlo organizacionais não podem ser executadas de forma totalmente informada.
Contudo, conforme demonstrado por Guerreiro (2014) a observação parcial combinada
com processos de cálculo estocásticos podem potenciar a avaliação do impacto das
decisões de controlo na operação da organização.
3.4. Ação de controlo
Dois tipos de variáveis de controlo existem num sistema: as que são controláveis e as que
não são controláveis. De forma semelhante ao anterior conceito da observação apresenta-se a definição proposta no contexto do controlo de sistemas dinâmicos, Franklin et al.
(2009): “... um processo denomina-se totalmente controlável se cada variável de estado
do processo fôr controlada para atingir um certo objetivo em tempo finito por um
controlo u(t) sem restrições. Se qualquer uma das variáveis de estado for independente
do controlo u(t) isto significa que não há nenhuma maneira de atuar, em tempo finito,
essa variável de estado para o estado desejado. Portanto, esse estado em particular é
denominado de incontrolável. Se houver pelo menos um estado incontrolável, então o
sistema é denominado não totalmente controlável ou simplesmente incontrolável”. No
contexto de estudo dos processos de negócio, uma ação de controlo pode resultar em
uma de duas diferentes possibilidades:
••Ação de controlo sobre as instâncias dos processos de negócio para evitar que as
situações de desvio propositado não comprometam a operação da organização
(também considerado de controlo negativo). Por exemplo, um ator que vê
revogado o seu acesso a um determinado sistema;
••Ação de controlo sobre os modelos dos processos de negócio se for reconhecida
que a situação de desvio representa inovação (também considerado de
controlo positivo). Por exemplo, executar as mesmas atividades, mas de
forma otimizada. Neste caso, uma nova prescrição é incorporada nos modelos
da organização.
3.5. Tempo
Um ciclo de controlo de um sistema é essencialmente composto pela sequência clássica
PDCA proposta por Shewhart (1980): (i) a inteligência para observar um problema
organizacional, (ii) o desenho das potenciais soluções, (iii) a escolha da melhor solução
e (iv) implementação da solução e verificação se satisfaz o cumprimento dos objetivos
pretendidos. Entre as diferentes atividades de controlo ocorrem atrasos no tempo, ou
seja, quando um controlador decide por uma ação de controlo u(t) esta é baseada na
observações do passado y(t-1), y(t-2),… ,y(t-n). Isto significa que quando o controlo u(t)
é acionado pode já não ser válido na realidade operacional do sistema a controlar. Em
termos conceptuais, tudo o que acontece antes da operação dos processos de negócio,
denomina-se ex-ante, e relaciona-se por exemplo, com a prescrição dos modelos dos
processos de negócio. Nesta fase, é necessário fazer estimativas acerca das situações
desconhecidas. Por outro lado, tudo o que sucede depois da operação dos processos
de negócio, denomina-se ex-post, e relaciona-se por exemplo, com a reação necessária
quando algo ocorre de forma inesperada. Por omissão, os processos de decisão sobre
a ação u(t) mais correta a ser tomada considera os modelos ex-ante dos processos de
negócio como referência de controlo a ser seguida.
3.6. Padrão de controlo
O objetivo do controlo é permitir que a operação da(s) instância(s) dos processos
de negócio sejam conduzidas, usando um esforço limitado, para um estado estável
previamente definido pela organização, sendo capaz de reagir às alterações e perturbações
exógenas e endógenas que vão ocorrendo. Conceptualmente, a estabilidade de um sistema
é definida por Kuo (1995) como: “…considerando a resposta de um sistema a entradas
ou perturbações: um sistema que permaneça em estado constante, exceto quando é
afetado por uma ação externa, mas que seja capaz de voltar ao estado constante inicial
logo após essa ação externa ser removida então pode ser considerado estável…”.
Figura 1 – Padrões de desenho de um sistema de controlo. (A) sem controlo, (B) controlo por
alimentação para a frente e (C) controlo por retroalimentação.
Na Figura 1 apresentam-se os padrões clássicos para um sistema de controlo. Na
parte superior, (A), é apresentado um sistema que não é controlado. A perturbação
afeta sempre a saída entregue pelo sistema. Neste modelo, não é possível garantir o
comportamento do sistema de saída. No meio da Figura 1, (B), um padrão de alimentação
para a frente, que mostra que a entrada do sistema muda de acordo com a perturbação.
Assim, a dinâmica específica do sistema não está incluída na ação de controlo. Na
parte inferior da Figura 1, (C), um padrão de controlo de retroalimentação calcula a
entrada do sistema de acordo com o desalinhamento real obtido entre a saída e entrada.
Neste padrão, o cálculo de controlo de atuação toma em consideração a perturbação a
dinâmica do sistema. A saída do sistema depende da perturbação aplicada no sistema e
sobre a própria dinâmica do sistema.
Com estas definições dos padrões de controlo, torna-se agora explícito, que para
obter um sistema de controlo que produza os resultados expectáveis, seja necessária
a disponibilização das capacidades de observação y(t) e de atuação u(t) no sistema
a controlar.
3.7. Mapa conceptual dos conceitos anteriores
Um modelo de processo de negócio é composto por papéis de atores, definição de
estados e transições entre esses mesmos estados. A definição é feita ex-ante. Os modelos
de processos de negócio têm o propósito de representar uma realidade organizacional
e são implementados pelas instâncias de processos de negócio. Os atores são os
responsáveis por executar as instâncias de processos de negócio de acordo com os seus
papéis. Por sua vez, a operação das instâncias é observável permitindo que os sistemas
de controlo organizacionais consumam essa informação e assim possam decidir, de
forma informada, sobre quais são as ações de controlo corretas a tomar em função
dos desalinhamentos identificados. Os sistemas de controlo são desenhados segundo
padrões pré-definidos: alimentação para a frente ou retroalimentação. Por último, as
ações de controlo incidem sobre os modelos de processos de negócio (controlo positivo)
ou sobre as instâncias de processos de negócio (controlo negativo). A ação de controlo
u(t) é executada ex-post e baseia-se nas observações anteriores y(t-1), y(t-2),.., y(t-n).
Quando o desalinhamento identificado é reconhecido como sendo inovador então é
acomodado em novos modelos de processos de negócio que as futuras instâncias irão
implementar. Quando o desalinhamento é reconhecido como prejudicial então as atuais
instâncias de processos de negócio são intervencionadas para correção.
Figura 2 – Mapa conceptual para o controlo dinâmico da operação dos processos de negócio.
4. Apresentação do estudo de caso
Esta secção apresenta um estudo de caso em que se utilizou um protótipo que foi
desenvolvido com o objetivo de oferecer controlo para a frente na execução de processos
de negócio. A abordagem de conceção e desenvolvimento do protótipo foi validada
(Marques, 2014), demonstrando a sua eficácia na monitorização e controlo de processos
de negócio, numa perspetiva de auditoria contínua.
Este protótipo apresenta-se como um módulo independente de qualquer outro sistema
de informação nos quais os processos de negócio possam ser executados (exemplo: ERP).
A única ligação que existe entre o módulo e o contexto organizacional, é a existência
de um conjunto alargado de mecanismos de controlo interno que tem como objetivo a
observação das operações executadas, passíveis de ser observadas. Estes mecanismos
de controlo interno foram concebidos de forma a serem observadas as operações, de
mais baixo nível, que constituem o processo de negócio a ser monitorizado e auditado.
Exemplo destes mecanismos são triggers que observam os dados das bases de dados,
com o objetivo de controlar a inserção de novos dados, assim como a sua atualização
e eliminação.
Para além deste conjunto alargado de mecanismos de controlo interno, o protótipo é
constituído por um repositório que gere os modelos de execução conhecidos, associados
aos processos que se pretendem auditar. Para conceber os modelos de execução é
utilizada a metodologia DEMO, para que de uma forma objetiva e sem ambiguidade
se definam quais as sequências de operações esperadas, quais os intervalos de tempo
mínimos e máximos entre operações, os perfis de utilizadores autorizados a executar
as operações e outras condições de execução. Neste caso, referimo-nos aos modelos
esperados, ou seja, os perfis de risco positivos. Mas este repositório gere também os perfis
de risco negativos conhecidos pela organização, ou seja, as sequências de operações não
desejadas, utilizadores não autorizados, e outras condições não permitidas na execução
dos processos de negócio.
Além disso, um algoritmo compara, em tempo de execução, a informação proveniente dos
mecanismos de controlo interno com os modelos de execução definidos no repositório
de perfis de risco. Desta comparação, resultam os outputs do sistema, nomeadamente,
o grau de conformidade da execução do processo e situações que requeiram atenção por
parte dos utilizadores (por exemplo, verificação de que determinado processo de negócio
está a seguir um perfil de execução negativo ou desconhecido), pois podem significar um
risco potencial para a organização. Estes outputs permitem acompanhar o estado atual
e histórico dos processos de negócio executados ou em execução, e são, essencialmente:
relatórios, interface gráfica e e-mails de alerta.
Este estudo de caso refere-se a uma implementação do protótipo em ambiente
organizacional simulado que envolveu três empresas de setores diferentes durante cerca
de três meses. A implementação decorreu no âmbito da unidade curricular “Simulação
Empresarial” da Licenciatura em Contabilidade da Universidade de Aveiro, na qual os
estudantes criam as suas empresas e simulam um ano de atividade, cumprindo com
todas as obrigações legais a que uma empresa do mesmo setor está realmente obrigada
(Marques, 2014). Este estudo envolveu a observação e monitorização de processos de
negócio exclusivamente executados em formato digital no ERP comercial utilizado
em “Simulação Empresarial”. Os processos de negócio selecionados para o estudo
referem-se a transações comerciais, designadamente, operações relacionadas com
a emissão de documentos e a respetiva autorização, porque são processos de negócio
que estão objetivamente regulados. Portanto, a avaliação de risco, neste estudo, incidiu
essencialmente, na avaliação do incumprimento dessa mesma regulação, nomeadamente,
sequência, validade e alteração de documentos.
5. Validação
Durante o período de estudo, mais de 280 processos de negócio foram monitorizados,
o que equivale à observação de cerca de 1130 operações. Dos resultados obtidos
verifica-se que o sistema concebido é eficaz no controlo para a frente, porque (Marques
et al., 2015):
1. 100% das operações executadas foram observadas;
2. para cada processo de negócio executado, ou ainda em execução, foram
identificados quais os respetivos perfis de execução (positivos ou negativos)
estão a ser observados; no caso da execução do processo de negócio estar a seguir
um perfil de risco não definido, o sistema assinalou o processo como seguindo
um perfil de risco desconhecido;
3. a grande parte dos processos de negócio que seguem perfis de risco positivos
são corretamente identificados (a percentagem de não ser emitido um alerta é
superior ou igual a 99,7% com um nível de significância de 1%);
4. praticamente todas os processos de negócio que seguem perfis de risco
desconhecidos são corretamente identificados (a percentagem de ser emitido
um alerta é superior ou igual a 99,9% com um nível de significância de 1%);
5. 100% dos processos de negócio que seguem perfis de risco negativos foram
corretamente identificados e emitido um alerta.
Referenciando a hipótese inicialmente declarada: “é possível identificar e classificar
a ocorrência de riscos em negativos e positivos a partir de um confronto com uma
definição prévia de perfis de risco conhecidos”, podemos então verificar que o sistema
é capaz de estimar qualitativamente o risco com que um processo foi executado ou está
a ser executado, devido à sua capacidade de identificar, em tempo de execução, os perfis
de risco associados a execução que está a decorrer com base nos perfis de risco definidos
e nos dados recolhidos pelos mecanismos de controlo interno, que permanentemente
observam a base de dados do ERP onde estão a ser executados os processos de negócio.
Além disso, é possível identificar a capacidade de verificar a conformidade de execução
com as regras e políticas definidas para a execução e definidas no repositório de perfis de
risco, e identificar as operações causadoras de irregularidades.
6. Conclusões e Trabalho Futuro
O presente artigo apresenta um mecanismo inovador que permite garantir a
conformidade da execução de instâncias de processos de negócio usando um
mecanismo de controlo para a frente baseado no conceito de perfil de risco. Os
resultados obtidos de um estudo de caso demonstram, por intermédio de cinco
indicadores, que a eficiência na resposta do controlador e a eficácia na separação entre
riscos positivos e negativos é obtida. Contribuindo, desta forma, para uma melhoria
operacional na execução de processos de negócio comerciais implementados por um
ERP, na medida em que o sistema permite avaliar, em run-time, eventuais desvios de
execução, alertando o utilizador para essa situação. Assim, ações fraudulentas podem
ser mais facilmente identificadas, e os erros humanos mais rapidamente corrigidos,
evitando a propagação do erro.
A inovação oferecida por este artigo identifica-se por um mapa conceptual que sintetiza
todos os conceitos e relacionamentos envolvidos no mecanismo de conformidade da
execução de processos de negócio, e pela demonstração das qualidades, limitações e
desafios impostos pelo mecanismo de controlo para a frente.
Comparando esta solução com soluções existentes no domínio da mineração de
processos (traduzido da literatura anglo-saxónica: process mining), Aalst (2011)
enriquece a classificação de situações de risco positivas e negativas com situações que
são consideradas verdadeiras e outras que são falsas. É segundo esta classificação aberto
um espaço de solução maior do que o apresentado por este artigo. A nossa proposta
de controlo para frente de instâncias de processos de negócio permite identificar as
situações positivas e negativas a partir do conhecimento existente sobre perfis de risco,
assumindo que o que é conhecido é verdadeiro e todo o restante é falso. Consideramos
que esta abordagem, usada em exclusivo, pode implicar erros, e assim, como trabalho
futuro é identificada a necessidade de classificar a veracidade ou falsidade de cada um
dos riscos considerados positivos ou negativos. A teoria de Markov aplicada a sistemas
parcialmente observáveis poderá ser uma possível solução para este problema.
Para além deste aspeto, é também identificada a necessidade de investigar mecanismos
de controlo por retroalimentação que permitam incorporar novos riscos na base de
conhecimento de perfis de risco. Ou seja, de acordo com as observações extraídas
da execução das instâncias dos processos de negócio, o controlador compara o risco
observado com a sua base de conhecimento e classifica como potencial novo risco.
Desta forma, os perfis de risco podem evoluir de acordo com a dinâmica imposta pelos
atores organizacionais, por exemplo, formas inovadoras de comunicar com o cliente
ou otimização de tarefas nas prescrições dos modelos dos processos de negócio. Para
classificação de novos riscos a equipa de investigação antevê o desenvolvimento de um
módulo de software denominado de “incubadora de riscos” que permitirá o alojamento
restrito do novo risco até que um ator o classifique manualmente acerca do seu perfil:
positivo ou negativo.
