Pós Graduação Lato Sensu

Transcrição

1 Universidade Federal de Lavras DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO Pós Graduação Lato Sensu MBA-EXECUTIVO EM GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Delson Pereira da Silva Aplicando conceitos e práticas de governança de TI na Administração Pública: estudo de caso. LAVRAS MG 2013

2 DELSON PEREIRA DA SILVA APLICANDO CONCEITOS E PRÁTICAS DE GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA: ESTUDO DE CASO. Monografia apresentada ao Departamento de Ciência da Computação da Universidade Federal de Lavras, como parte das exigências do Curso de Pós-Graduação Lato Sensu MBA Executivo em Governança de Tecnologia da Informação, para obtenção do título de Especialização. Orientador Professor: André Luiz Zambalde. LAVRAS MINAS GERAIS BRASIL 2013.

3 DELSON PEREIRA DA SILVA APLICANDO CONCEITOS E PRÁTICAS DE GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA: ESTUDO DE CASO. Monografia apresentada ao Departamento de Ciência da Computação da Universidade Federal de Lavras, como parte das exigências do Curso de Pós-Graduação Lato Sensu MBA Executivo em Governança de Tecnologia da Informação, para obtenção do título de Especialização. APROVADA em de de. Professor(a):. Professor(a):. Professor(a) Orientador(a) UFLA:. LAVRAS MINAS GERAIS BRASIL 2013.

4 À minha amada esposa que ao meu lado trilha o caminho, compartilhando meu anseio em vivificar a justa missão do servidor público em promover o desenvolvimento soberano do Estado apresentando-se cada vez mais qualificado para o desempenho de suas atribuições.

5 Meus agradecimentos ao Instituto do Patrimônio Histórico e Artístico Nacional, em especial às Coordenações Gerais de Tecnologia da Informação e de Gestão de Pessoas, pela oportunidade concedida e pela tão estimada presteza ao trabalho.

6 SUMÁRIO SUMÁRIO... I LISTA DE FIGURAS... IV LISTA DE TABELAS... V LISTA DE ABREVIATURAS, SIGLAS E SÍMBOLOS... VI RESUMO / ABSTRACT... VII 1 INTRODUÇÃO Contextualização e motivação Objetivos e estrutura do trabalho Metodologia Tipo de pesquisa Procedimentos metodológicos Estrutura do trabalho APRESENTAÇÃO E DESCRIÇÃO DA ORGANIZAÇÃO Apresentação da organização Descrição da TI na organização GOVERNANÇA E ESTRATÉGIA ORGANIZACIONAL E DE TI Governança e estratégia organizacionais i

7 3.1.1 Referencial teórico Diagnóstico na organização Propostas de melhorias e discussão Considerações Finais Governança de tecnologia da informação Referencial teórico Diagnóstico na organização Propostas de melhorias e discussão Considerações finais MATURIDADE E EXCELÊNCIA EM PRODUTOS DE TI Referencial teórico Diagnóstico na organização Proposta de melhorias e discussão Considerações Finais GESTÃO DE SEGURANÇA DA INFORMAÇÃO Referencial teórico Diagnóstico na organização Proposta de melhorias e discussão ii

8 5.4 Considerações finais GESTÃO DE SERVIÇOS DE TI Referencial teórico Diagnóstico na organização Proposta de melhorias e discussão Considerações finais CONCLUSÕES BIBLIOGRAFIA ANEXO I. AVALIAÇÃO DE MATURIDADE EM SEGURANÇA DA INFORMAÇÃO ANEXO II. ARRANJOS DECISÓRIOS DA ÁREA DE TI ANEXO III. PRINCIPAIS SISTEMAS DE INFORMAÇÃO EM USO NA ORGANIZAÇÃO ANEXO IV. SUGESTÃO DE INDICADORES E METAS iii

9 LISTA DE FIGURAS Figura 1.1: Gráfico comparativo dos gastos diretos da União com informação e comunicação no período , por subclasses de despesas (CGU, 2012) Figura 2.1: Organograma do Instituto do Patrimônio Histórico e Artístico Nacional Figura 2.2: Organograma da Coordenação Geral de Tecnologia da Informação Figura 2.3: Gráfico comparativo da força de trabalho em TI por situação de vínculo Figura 3.1: Resumo esquemático do sistema de planejamento aplicado pela organização (IPHAN, 2012) Figura 3.2: Contexto de elaboração do planejamento de TI da organização (IPHAN, 2010).. 22 Figura 3.3: Governança de TI versus Gestão de TI (Adaptado de ISACA, 2011) Figura 3.4: Contexto do planejamento da TI na Administração Pública (Adaptado de TCU, 2012) Figura 3.5: Tarefas básicas do processo de elaboração do Plano Diretor de TI (BRASIL, 2012) Figura 3.6: Evolução do Índice de Governança de TI (igovti) mensurado pelo TCU na organização, no período 2007 a 2012 (TCU, 2013) Figura 6.1: Gráfico comparativo da evolução na adoção de processos de gestão de serviços de TI baseados em ITIL na Administração Pública brasileira Resultados de levantamentos realizados nos anos de 2010 e 2012 (TCU, 2012) Figura 7.1: Fatores motivadores para adoção de práticas de governança de TI iv

10 LISTA DE TABELAS Tabela 1.1: Modelos de melhores práticas para gestão e governança de TI (FERNANDES e ABREU, 2012) Tabela 2.1: Força de trabalho total mínima recomendada para TIC (CNJ, 2009) Tabela 3.1: Ações estratégicas da área de TI - Descrição e diagnóstico de situação (IPHAN, 2010) Tabela 3.2: Processos críticos priorizados e síntese da avaliação de maturidade Tabela 5.1: Relação entre ações propostas, deficiências identificadas, princípios de conformidade e boas práticas para a área de gestão de segurança da informação v

11 LISTA DE ABREVIATURAS, SIGLAS E SÍMBOLOS ABNT CGTI CGU CMMI COBIT COGESTI IEC IN IPHAN ISO ITIL MPS.BR PDTI PSI SI SISP SOFTEX TCU TI Associação Brasileira de Normas Técnicas Coordenação Geral de Tecnologia da Informação Controladoria Geral da União Integração do Modelo de Maturidade da Capacidade, do inglês Capability Maturity Model Integration Guia para governança de Tecnologia da Informação, do inglês Control Objectives for Information and related Technology Comitê Gestor de Tecnologia da Informação International Electrotechnical Commission organização internacional de padronização de tecnologias elétricas, eletrônicas e relacionadas Instrução Normativa Instituto do Patrimônio Histórico e Artístico Nacional International Organization for Standardization entidade de normalização internacional. Information Technology Infrastructure Library Melhoria de Processo de Software Brasileiro Plano Diretor de Tecnologia da Informação Política de Segurança da Informação Segurança da Informação Sistema de Administração de Recursos de Tecnologia da Informação do Poder Executivo Federal Sociedade para Promoção da Excelência do Software Brasileiro Tribunal de Contas da União Tecnologia da Informação vi

12 RESUMO / ABSTRACT APLICANDO PRÁTICAS E CONCEITOS DE GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA: ESTUDO DE CASO. Delson Pereira da Silva RESUMO O trabalho apresenta um diagnóstico da situação geral de governança de TI em uma autarquia pública brasileira, com foco nas áreas de maturidade e excelência em produtos de TI, gestão de segurança da informação e gestão de serviços de TI. O estudo considera, sobretudo, que uma boa governança de TI exige que os envolvidos em implementá-la tenham conhecimentos sobre seus fundamentos, componentes e requisitos. Sendo assim, como as organizações públicas atuais têm lidado com as novas práticas de gestão de TI? Como estão se saindo em aplicar princípios de governança de TI? São os fundamentos, componentes e requisitos dessa disciplina eficazmente compreendidos no âmbito da Administração Pública brasileira? Além de responder essas questões, o estudo apresenta fundamentos conceituais, boas práticas e sugestões de melhorias para auxiliar a organização a ampliar o alinhamento estratégico entre a área de TI e suas áreas de negócio. O estudo também aponta os principais desafios que necessitam ser enfrentados pela área de TI buscando melhorar sua percepção de entrega de valor e amadurecer suas práticas de gestão e governança. Outra conclusão importante é que ao implantar melhorias em uma determinada área estas irão inevitavelmente impactar positivamente outras áreas, isso ocorre porque os processos de gestão e governança de TI não são estanques e, em sua maioria, estão estreitamente interrelacionados. Palavras Chave: Estudo de Caso; estratégia organizacional; governança de TI; segurança da informação; gestão de serviços de TI; administração pública. APPLYING PRACTICES AND CONCEPTS OF IT GOVERNANCE IN PUBLIC ADMINISTRATION: CASE STUDY. Delson Pereira da Silva ABSTRACT The paper presents a general diagnosis of the general situation of IT governance in a Brazilian public autarchy, focusing on the areas of maturity and excellence in IT products, management of information security and IT service management. The study considers, especially, that good governance requires that those involved in implementing it have knowledge about their fundamentals, components and requirements. Thus, how current public organizations have dealt with the new practices of IT management? How are faring in applying the principles of IT governance? Are the fundamentals, components and requirements of this discipline effectively understood in the context of the Brazilian public administration? In addition to answering these questions, the study presents conceptual foundations, best practices and suggestions for improvement to assist the organization to expand the strategic alignment between IT and its business areas. The study also addresses the key challenges that need to be faced by the IT department seeking to improve their perception of value and mature their management practices and governance. Another important conclusion is that when you deploy improvements in a given IT area inevitably these will positively impact other areas. This is because the processes of management and IT governance are not watertight areas and, mostly, are closely interrelated. Key words: Case study; organizational strategy; IT governance; information security management; IT service management; Brazilian public administration. vii

13 1 INTRODUÇÃO. 1.1 CONTEXTUALIZAÇÃO E MOTIVAÇÃO. O surpreendente desenvolvimento da informática e das tecnologias de informação e comunicação, principalmente a partir da segunda metade do século XX, tem provocado profundas e significativas mudanças no dia-a-dia das pessoas e das organizações. É certo que hoje as relações entre mercados e indivíduos ou entre Governos e sociedade, se redesenham com crescente velocidade e alcance universal, numa cadeia informacional de impacto global e instantâneo. É inegável o papel estratégico que a tecnologia da informação (TI) desempenha nos mais diversos setores econômicos, dando suporte aos seus processos de negócio. Porém, é no âmbito governamental que tal importância tem crescido exponencialmente, uma vez que a TI tem cada vez mais se apresentando como instrumento viabilizador das atividades-meio e atividades-fim das organizações públicas. No Brasil, ao longo dos anos, órgãos e entidades da Administração Pública tem ampliado seus investimentos em recursos de TI, embora com ritmos e avanços ainda bastante diferenciados. Nota-se, porém, que a evolução desse processo vai além da aquisição e disponibilização de produtos e serviços de TI; não se trata meramente de informatizar as rotinas estabelecidas, mas de definir processos e procedimentos tendo em vista a plena exploração das potencialidades abertas pela tecnologia da informação. Tal tendência leva à necessidade de se promover um amplo gerenciamento desses recursos e serviços de TI, do contrário o resultado não será outro senão a mera automatização do caos. A utilização da informática na Administração Pública Federal brasileira remonta a meados da década de 1960 com a concepção dos primeiros sistemas informatizados, desenvolvidos e geridos por diversos órgãos públicos para o atendimento de suas necessidades singulares. Nessa evolução histórica não foram construídos mecanismos que permitissem a permutação de dados e informações de uso comum, resultando assim numa multiplicidade de sistemas desintegrados onde a redundância na coleta, tratamento e distribuição de dados onera os investimentos públicos, gera fragilidades de segurança e não permite o aproveitamento máximo das potencialidades tecnológicas desses sistemas.

14 O mesmo pode se dizer dos processos de aquisição de infraestrutura tecnológica e sua organização em redes locais, concebidas de forma isolada e voltadas ao atendimento das peculiaridades de cada área ou órgão, permitindo a criação de verdadeiras ilhas de excelência, mas gerando, ao mesmo tempo, sérias dicotomias entre órgãos e setores de Governo. Dentro da Administração Pública Federal brasileira a realidade atual mostra que a área de TI cresceu não somente em número de soluções providas, mas também em importância orçamentária. Para se ter um exemplo disso basta considerar que, segundo dados da Controladoria Geral da União, no período de 2009 a 2012 a União realizou gastos diretos de cerca de R$ 19,8 bilhões de reais com informação e comunicação (CGU, 2012). A Figura 1.1, a seguir, demonstra a distribuição comparativa desses gastos por subclasses de despesa: Consultoria em tecnologia da informação 33% Desenvolvimento de programas sob encomenda 46% Suporte técnico, manutenção e outros serviços em TI Desenvolvimento e licenciamento de programas de computador não customizáveis Desenvolvimento e licenciamento de programas de computador customizáveis 11% Outras Subclasses 1% 2% 7% Figura 1.1: Gráfico comparativo dos gastos diretos da União com informação e comunicação no período , por subclasses de despesas (CGU, 2012). Tais gastos sustêm a enorme infraestrutura tecnológica necessária à gestão do aparelho do Estado possibilitando a manutenção e a evolução desse legado, sem o qual se tornaria inviável administrar um país de tamanhas dimensões geográficas e peculiaridades tão complexas. E essa é, sem dúvida, uma das grandes razões que tem levado governos de todos os níveis a reconhecer a área de TI como área estratégica: sua capacidade ímpar em prover o sustentáculo à gestão governamental, habilitando os processos e fluxos de trabalho e gerando valor inestimável ao 'negócio governo'. É essa instrumentalização tecnológica que vem 2

15 permitindo ao Estado implantar políticas públicas mais eficientes e prestar mais e melhores serviços públicos. Nas duas últimas décadas vem surgindo e sendo elaborados diversos modelos de melhores práticas para TI, desde aqueles considerados originais até derivações e evoluções de outros modelos (FERNANDES e ABREU, 2012). Os principais modelos em discussão na atualidade quer no meio acadêmico ou profissional podem ser relacionados e contextualizados da seguinte forma: Tabela 1.1: Modelos de melhores práticas para gestão e governança de TI (FERNANDES e ABREU, 2012). Modelo de melhores práticas COBIT - Control Objectives for Information and related Technology Val IT Enterprise Value: Governance of IT Risk IT Enterprise Risk: Identify, Govern and Manage IT Risks Escopo do modelo Modelo abrangente aplicável para a auditoria e o controle de processos de TI, desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos. Modelo que trata da governança dos investimentos de TI e gerenciamento do portfólio desses investimentos. Modelo que trata do gerenciamento dos riscos de TI. ISO/IEC 38500:2009 Modelo abrangente para governança corporativa de TI ISO/IEC e Trata de princípios e guias para segurança da informação. CMMI Capability Maturity Model Integration / ISO Desenvolvimento de produtos e projetos de sistemas e softwares. MPS.br ITIL Information Technology Infrastructure Library Modelo brasileiro para melhoria do processo de software. Serviços de TI, segurança da informação, gerenciamento da infraestrutura, gestão de ativos e aplicativos, etc. escm-sp / escm-cl Modelos para gerenciamento de sourcing. Mas, como as organizações públicas atuais têm lidado com essas novas práticas de gestão de TI? Como estão se saindo em aplicar princípios de governança de TI? Uma boa governança de TI exige que os envolvidos em implementá-la tenham conhecimentos sobre seus fundamentos, componentes e requisitos. São esses fundamentos, componentes e requisitos compreendidos eficazmente no âmbito da Administração Pública? 1.2 OBJETIVOS E ESTRUTURA DO TRABALHO. Buscando melhor compreender como os conceitos e práticas de governança de TI estão sendo tratados na esfera governamental este trabalhou objetivou realizar diagnóstico da 3

16 situação geral de governança de TI em uma dada organização pública com visão específica das áreas de maturidade e excelência em produtos de TI, gestão de segurança da informação e gestão de serviços de TI áreas selecionadas em virtude de sua criticidade para o negócio da organização. A intenção desse diagnóstico, além de conhecer o próprio ambiente, é incentivar a organização estudada a promover a melhoria de suas práticas de gestão e governança de TI, explanando os principais fundamentos conceituais de tais práticas e sugerindo condições de ampliar o alinhamento estratégico entre a área de TI e suas áreas de negócio. 1.3 METODOLOGIA Tipo de pesquisa. Adota-se como estratégia para alcançar o objetivo proposto a análise de caso único, do ponto de vista da sua natureza trata-se de uma pesquisa aplicada (ou tecnológica), pois gera conhecimentos a partir da aplicação prática de conceitos a problemas específicos (SILVA & MENEZES, 2001). Quanto aos objetivos é uma pesquisa exploratória, pois não há elaboração de hipóteses a serem testadas, sendo que a intenção é familiarizar-se com o fenômeno estudado através de descrições precisas da situação e promover a geração de novas ideias (CERVO, 2007). A abordagem é qualitativa, com base em estudo de caso. Para a coleta de dados foi aplicado o método de observação, apoiada por visitas técnicas e entrevistas informais com apoio de roteiro semiestruturado Procedimentos metodológicos. O estudo de caso foi realizado no período de 09/04/2012 a 16/11/2012 nas dependências da Coordenação Geral de Tecnologia da Informação do Instituto do Patrimônio Histórico e Artístico Nacional, na cidade de Brasília (DF). O trabalho foi desenvolvido a partir dos conceitos e práticas apresentados durante o desenvolvimento das disciplinas do curso de pós-graduação lato sensu em Governança de Tecnologia da Informação, ministrado pelo Departamento de Ciências da Computação da Universidade Federal de Lavras (MG). Foram utilizados roteiros semiestruturados e questionários de apoio para a realização do trabalho, essencialmente aplicados junto ao gestor de TI da organização. 4

17 1.3.3 Estrutura do trabalho. O trabalho está dividido em oito capítulos. No primeiro capítulo encontra-se a introdução ao estudo, sua contextualização e motivação, além da explanação de objetivos e procedimentos metodológicos. No capítulo dois se faz a apresentação da organização selecionada para realização do estudo diagnóstico, incluindo a descrição de seu ambiente de TI. No capítulo três inicia-se a fase de realização do diagnóstico propriamente dito, com apresentação da situação de governança corporativa, análise de estratégias da organização e da situação de governança de TI; incluindo um referencial teórico sobre o tema, sugestões de melhoria e considerações finais. O capítulo quatro trata do diagnóstico com respeito à maturidade e excelência em produtos de TI no âmbito da organização; envolvendo a apresentação de um referencial teórico, sugestões de melhoria e considerações finais. No capítulo cinco a área diagnosticada é a gestão de segurança da informação e novamente se apresenta um referencial teórico sobre o tema, descreve-se o diagnóstico de situação na organização, fazem-se sugestões de melhoria e considerações finais sobre a área. O capítulo seis último da fase de diagnóstico abrange a área de gestão de serviços de TI e, ao molde dos capítulos anteriores, apresenta-se um referencial teórico, sugestões de melhores e considerações finais para a área. No capítulo sete são apresentadas as conclusões do estudo. 5

18 2 APRESENTAÇÃO E DESCRIÇÃO DA ORGANIZAÇÃO. 2.1 APRESENTAÇÃO DA ORGANIZAÇÃO. O Instituto do Patrimônio Histórico e Artístico Nacional IPHAN é uma autarquia brasileira vinculada ao Ministério da Cultura e integrante da estrutura da Administração Pública Federal indireta. Atualmente o órgão contra com 962 funcionários públicos em seu quadro de pessoal (CGU, 2013). A Administração Indireta é constituída de entidades com personalidade jurídica e patrimônio próprio, autonomia administrativa e autogestão financeira. Sua criação é sempre autorizada por Lei, não tendo liberdade para promover modificação ou fixação de seus próprios fins. As autarquias executam, nesse contexto, atividades típicas da Administração Pública, que requeiram, para seu melhor funcionamento, gestão administrativa e financeira descentralizada (CHIAVENATO, 2006). É finalidade institucional do IPHAN preservar, proteger, fiscalizar, promover, estudar e pesquisar o patrimônio cultural brasileiro, na acepção do artigo 216 da Constituição da República Federativa do Brasil de 1988 (BRASIL, 1988): Art Constituem patrimônio cultural brasileiro os bens de natureza material e imaterial, tomados individualmente ou em conjunto, portadores de referência à identidade, à ação, à memória dos diferentes grupos formadores da sociedade brasileira, nos quais se incluem: I - as formas de expressão; II - os modos de criar, fazer e viver; III - as criações científicas, artísticas e tecnológicas; IV - as obras, objetos, documentos, edificações e demais espaços destinados às manifestações artístico-culturais; V - os conjuntos urbanos e sítios de valor histórico, paisagístico, artístico, arqueológico, paleontológico, ecológico e científico. 1º - O Poder Público, com a colaboração da comunidade, promoverá e protegerá o patrimônio cultural brasileiro, por meio de inventários, registros, vigilância, tombamento e desapropriação, e de outras formas de acautelamento e preservação. [...] O dispositivo legal original de criação do órgão é Decreto-Lei n 25, de 30 de novembro de 1937, sendo este o mesmo ato normativo que instituiu o tombamento como instrumento de proteção do patrimônio cultural brasileiro, aqui considerando em todas as suas formas de expressão, tais como: modos de criar, fazer e viver; criações científicas, artísticas e

19 tecnológicas; obras, objetos, documentos, edificações e demais espaços destinados às manifestações artístico-culturais; conjuntos urbanos e sítios de valor histórico, paisagístico, artístico, arqueológico, paleontológico, ecológico e científico. Em seu referencial estratégico, o órgão declara que sua missão institucional é promover e coordenar o processo de preservação do Patrimônio Cultural Brasileiro para fortalecer identidades, garantir o direito à memória e contribuir para o desenvolvimento socioeconômico do país (IPHAN, 2012). Em sua visão, o órgão busca se posicionar como instituição coordenadora da Política e do Sistema Nacional do Patrimônio Cultural, capaz de identificar, produzir e difundir referências para a preservação do patrimônio cultural no plano nacional e internacional, dotada de carreira de Estado, qualificação técnica e estrutura funcional para atender as demandas da sociedade (IPHAN, 2012). O campo de atuação da organização envolve, atualmente, no que tange ao patrimônio material, a gestão de bens tombados, divididos em bens tombados individualmente, 04 conjuntos rurais e 83 sítios urbanos que englobam mais de 40 mil edificações (outros 20 sítios urbanos encontram-se em processo de tombamento), há ainda 22 paisagens naturais tombadas. Além disso, o órgão é responsável pela manutenção do inventário de mais de 40 mil bens móveis e integrados e de outros mais de 15 mil sítios arqueológicos já inseridos em seu Cadastro Nacional. Quanto ao patrimônio imaterial, o IPHAN mantém e coordena dezenas de inventários realizados por todo o território brasileiro, tanto de referências culturais quanto de diversidade linguística. Esses inventários são responsáveis pelo conhecimento de diversos domínios da vida social celebrações, saberes, modos de fazer, lugares e formas de expressão aos quais são atribuídos sentidos e valores de importância diferenciada, constituindo, por isso, marcos de identidade e memória para determinado grupo social. Por fim, o órgão também se responsabiliza pela gestão de cerca de quinze mil volumes de livros e periódicos espalhados em bibliotecas por todo o país e, ainda, centenas de milhares de documentos arquivísticos, registros fotográficos, cinematográficos, videográficos e audiográficos. As ações finalísticas empreendidas pelo IPHAN envolvem uma variada gama de serviços, tais como: 7

20 a) Realização de atividades de campo envolvendo vistorias, visitas técnicas e ações de fiscalização de núcleos históricos tombados e seu entorno, de sítios arqueológicos e de bens culturais móveis e imóveis; b) Análises de projetos de tombamento de bens, intervenções em bens tombados e atividades arqueológicas. Envolvendo a emissão de pareceres técnicos, autorizações, notificações, embargos e acompanhamento dos projetos autorizados; c) Análises e emissões de pareceres técnicos para os programas de renúncia fiscal do Ministério da Cultura; d) Autorização para circulação e comercialização de bens culturais, inclusive o cadastramento de negociantes de antiguidades e obras de arte no país (CNART); e) Elaboração de instruções, inventários, laudos técnicos e relatórios de patrimônio material e imaterial, atividades de arqueologia e patrimônio genético; f) Análise de estudos e relatórios de impacto ambiental (RIA) sobre empreendimentos potencialmente capazes de afetar o patrimônio cultural brasileiro; g) Ações relacionadas ao Programa de Aceleração do Crescimento das Cidades Históricas (PAC Cidades Históricas); h) Ações de educação patrimonial. Esses serviços são direcionados a um público extenso e heterogêneo, como administrações públicas municipais das cidades históricas; pessoas físicas e jurídicas negociantes de antiguidades e obras de arte; instituições, órgãos e entidades integrantes do Sistema Nacional de Patrimônio Cultural; ocupantes de imóveis tombados pelo patrimônio material; pesquisadores e profissionais das áreas de paleontologia, genética, arquitetura, engenharia, urbanismo, sociologia, gastronomia, biblioteconomia, historiologia; além de pessoas e comunidades detentoras de práticas culturais imateriais (como modos de fazer, costumes, tradições, etc.). E, mormente tratar-se de um órgão público, seu principal cliente é o cidadão, como maior interessado na preservação do patrimônio histórico cultural da nação! 8

21 Fisicamente, o órgão tem sede na cidade de Brasília (DF) e conta com superintendências em todas as unidades da Federação, escritórios técnicos em diversas cidades interioranas que dispõem de grande volume de acervo patrimonial histórico, dois parques históricos nacionais e quatro unidades especiais; totalizando assim 67 unidades físicas instaladas em 59 diferentes cidades brasileiras. Analiticamente, o Instituto adota uma estrutura departamentalizada mista onde há o agrupamento, de acordo com um critério específico de homogeneidade, das atividades e correspondentes recursos (humanos, financeiros, materiais e equipamentos) em unidades organizacionais conforme organograma apresentado na Figura 2.1, a seguir: Gabinete da Presidência Órgãos Colegiados Procuradoria Federal Auditoria Interna Superintendências Estaduais Parques Históricos Nacionais Escritórios Técnicos Departamento de Planejamento e Administração Departamento de Patrimônio Material e Fiscalização Departamento de Articulação e Fomento Departamento de Patrimônio Imaterial Centro Nacional de Arqueologia Sítio Roberto Burle Max Centro Cultural Paço Imperial Centro Nacional de Folclore e Cultura Popular Figura 2.1: Organograma do Instituto do Patrimônio Histórico e Artístico Nacional. 9

22 2.2 DESCRIÇÃO DA TI NA ORGANIZAÇÃO. No IPHAN a unidade gestora de TI é a Coordenação Geral de Tecnologia da Informação (CGTI), que está subordinada ao Departamento de Planejamento e Administração (DPA) e tem sede na cidade de Brasília (DF). As atribuições e competências da Coordenação Geral de Tecnologia da Informação (CGTI) estão descritas nos artigos 49 a 51 da Portaria MinC n 92, de 05 de julho de 2012, das quais se destacam: a) Planejar, pesquisar, implementar, fomentar e desenvolver tecnologias de informação, comunicação e informática que possibilitem a disseminação de dados, informações e conhecimento necessários às ações institucionais do IPHAN; b) Supervisionar e monitorar o Plano Diretor de Tecnologia da Informação PDTI e secretariar o Comitê Gestor de Tecnologia da Informação (COGESTI), conforme regulamento específico; c) Definir diretrizes, padrões, normas e procedimentos para a contratação de bens, serviços e soluções de Tecnologia da Informação - TI, no âmbito do IPHAN, incluindo a elaboração de estudos de viabilidade técnica e econômica prévios à implantação de tais soluções; A estrutura funcional interna da área de TI está organizada conforme mostra a Figura 2.2, a seguir: DEPARTAMENTO DE PLANEJAMENTO E ADMINISTRAÇÃO Coordenação Geral de Planejamento e Orçamento Coordenação Geral de Logística, Convênios e Contrato Coordenação Geral de Gestão de Pessoas Coordenação Geral de Tecnologia da Informação Divisão de Sistemas de Informação Divisão de Infraestrutura Figura 2.2: Organograma da Coordenação Geral de Tecnologia da Informação. 10

23 Numa visão geral, a área de TI oferta produtos e serviços para os seguintes segmentos: a) Microinformática: estações de trabalho, computadores portáteis, serviços de digitalização e impressão, periféricos, certificados digitais, licenciamento de softwares, serviços de suporte, manutenção técnica e capacitação de usuários; b) Redes Locais 1 : administração de ativos e passivos de rede (servidores de rede, nobreaks, cabeamento estruturado, comunicação sem fio, ativos de segurança, infraestrutura de armazenamento, tratamento e resguardo de dados); c) Redes Corporativas WAN 2 e VPN 3 : tecnologia e infraestrutura de comunicação, ativos de rede, criptografia, serviços de manutenção e suporte, conectividade remota; d) Serviços de Data Center: serviços de correio eletrônico, diretório e autenticação, segurança da informação (solução antivírus e antispyware), telefonia VoIP, serviços de videoconferência e webconference, proxy internet e colaboração em rede; e) Portais Internet e Intranet: infraestrutura de portais, arquitetura da informação, acessibilidade, layout e identidade visual, gestão de conteúdo; f) Sistemas de Informação: metodologia de desenvolvimento, tecnologias de desenvolvimento e de banco de dados, plataforma de integração e interoperabilidade, plataforma de gestão eletrônica de documentos e certificação digital, plataforma de Business Intelligence e de gestão do conhecimento, Plano de Sistemas de Informação, gestão de desenvolvimento e manutenção de sistemas; g) Processos de TI: processo de planejamento e tomada de decisão, definição de políticas, normas e padrões tecnológicos, priorização das ações, constituição de subcomitês de TI, representatividade das áreas envolvidas, legitimação das decisões perante as áreas envolvidas. 1 Rede Local (ou LAN, acrônimo de Local Area Network) é um conjunto de hardware e software estruturado para permitir que computadores individuais estabeleçam comunicação entre si, trocando e compartilhando informações e recursos. 2 Rede WAN (acrônimo para Wide Area Network) refere-se a uma rede de área alargada, de longa distância ou geograficamente distribuída. 3 Rede VPN (Virtual Private Network, ou Rede Virtual Privada) refere-se a uma grande rede virtual construída sobre a infraestrutura de uma rede pública pré-existente (no caso do IPHAN, a própria Internet). 11

24 A organização apresenta reduzida estrutura de pessoal em TI, sendo que a maior parte dos recursos humanos dessa área é composta por servidores de carreiras públicas em exercício descentralizado (vinculados essencialmente ao Ministério do Planejamento, Orçamento e Gestão) e cujas atribuições estão relacionadas à gestão da TI no órgão. A força de trabalho total é composta atualmente por 43 colaboradores, distribuídos conforme demonstrado na Figura 2.3: 12% 2% 2% 14% Servidores da carreira de TI da própria instituição 2% Servidores de outras carreiras da própria instituição Servidores de carreiras em exercício descentralizado Servidores cedidos de outras instituições Terceirizados regulares Estagiários 68% Figura 2.3: Gráfico comparativo da força de trabalho em TI por situação de vínculo Os colaboradores enquadrados na situação de terceirização exercem exclusivamente atividades de cunho técnico-operacional, conforme determinação legal. As atividades indelegáveis de gestão de TI são executadas em um núcleo contínuo composto exclusivamente por servidores públicos ocupantes de cargos efetivos. Em 2009 o Conselho Nacional de Justiça publicou uma norma interna objetivando a nivelar os recursos de TI no âmbito do Poder Judiciário, considerando inclusive uma quantidade mínima de recursos humanos recomendada para as áreas de TI segundo as proporções apresentadas na Tabela 2.1: Tabela 2.1: Força de trabalho total mínima recomendada para TIC (CNJ, 2009). Total de Usuários de recursos de TIC % Mínima de força de trabalho de TIC (efetivos, comissionados e terceirizados) Mínimo necessário de profissionais do quadro permanente Até 500 7,00% 15 Entre 501 e ,00% 35 Entre e ,00% 75 12

25 Entre e ,00% 120 Entre e ,00% 150 Acima de ,00% 200 Aplicando esse mesmo parâmetro adotado pelo Conselho Nacional de Justiça (CNJ, 2009) para calcular a força de trabalho total mínima recomendada para TI, a organização apresentaria um déficit de 75% em seu quadro próprio de pessoal na área de TI, contanto com apenas nove servidores quando seriam necessários trinta e cinco. Porém, este é um critério genérico e o ponto de equilíbrio ideal pode ser obtido apenas com realização de uma análise complexa e criteriosa das operações do setor de TI, bem como do estudo dos direcionadores estratégicos definidos pela organização para a área de TI. Um aspecto relevante observado na organização é que, embora a estratégia governamental de provimento de mão-de-obra para a área de TI baseie-se na terceirização (outsourcing), é adotado um modelo de multisourcing (MAGALHÃES e PINHEIRO, 2007), ou seja, há a combinação de recursos internos (quadro permanente) e externos em virtude da impossibilidade de se terceirizar as atividades de planejamento, gestão e fiscalização. Assim, há uma cuidadosa avaliação do que pode e deve ser passado para terceiros e do que será executado exclusivamente pelos recursos internos. Vê-se, no caso prático, que quando a organização opta pela prática da terceirização esta adota uma estratégia de outtasking (MAGALHÃES e PINHEIRO, 2007), ou seja, contrata-se a prestação de serviços por provedores externos abrangendo atividades específicas ao invés de terceirizar toda uma área de serviços (prática conhecida como outsourcing). Por força do Decreto n 7.579, de 11 de outubro de 2011, o órgão integra o Sistema de Administração dos Recursos de Tecnologia da Informação SISP 4, do Poder Executivo Federal. Esse sistema é responsável por centralizar o planejamento, a coordenação, a organização, a operação, o controle e a supervisão dos recursos de tecnologia da informação dos órgãos e entidades da administração pública federal direta, autárquica e fundacional, em articulação com os demais sistemas utilizados direta ou indiretamente na gestão da informação pública federal (BRASIL, 2011). O SISP realiza, dentre outras competências, o planejamento estratégico global para a área de TI no Governo Federal, produzindo periodicamente a chamada Estratégia Geral de Tecnologia da Informação EGTI. 4 Informações mais detalhadas sobre o SISP podem ser obtidas no seguinte endereço eletrônico: < 13

26 Por fim, observa-se que financiamento da área de TI na organização é realizado a partir de destinação orçamentária própria, aprovada e executada conforme as regras gerais do orçamento público da União. Esses recursos orçamentários têm crescido seguidamente nos últimos anos, tendo atingido no ano de 2011 seu maior patamar: R$14,6 milhões de reais. Porém, considerando dados já consolidados de anos anteriores, o orçamento de TI representa apenas cerca de 7,2% do orçamento financeiro global da organização aprovado em R$203,1 milhões para o exercício de 2011 (IPHAN, 2012). 14

27 3 GOVERNANÇA E ESTRATÉGIA ORGANIZACIONAL E DE TI. 3.1 GOVERNANÇA E ESTRATÉGIA ORGANIZACIONAIS Referencial teórico. Governança corporativa, para fins de referência conceitual, é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle. As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade (IBGC, 2009). A preocupação da governança corporativa é criar um conjunto eficiente de mecanismos, tanto de incentivos quanto de monitoramento, a fim de assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse da alta administração (IBCG, 2012), além disso, ela cuida de prover a estrutura por meio da qual os objetivos da organização serão estabelecidos, definindo os meios para atingi-los e monitorando seu desempenho (SILVA, 2010). A boa governança proporciona aos proprietários (acionistas ou cotistas) a gestão estratégica de sua empresa e a monitoração da direção executiva. As principais ferramentas que asseguram o controle da propriedade sobre a gestão são o conselho de administração, a auditoria independente e o conselho fiscal (IBGC, 2009). As organizações que adotam boas práticas de governança corporativa diferenciam-se pelas condições internas de transparência administrativa, prestação de contas, equidade e responsabilidade corporativa. Para tanto, são criadas condições internas propícias à divisão de papéis e responsabilidades, estabelecimento de estratégias, monitoração de resultados e avaliação contínua do desempenho da organização. O termo estratégia, por sua vez, tem origem no ambiente militar onde seu conceito refletia a arte ou ciência de conduzir forças militares para derrotar um inimigo ou para amenizar as consequências de uma derrota em situações bélicas (OLIVEIRA, 2007). Aos poucos tal conceito foi evoluindo e sendo adotado em diversos outros segmentos. Assim, podemos dizer que no mundo corporativo estratégia é a arte de planejar e colocar um plano em ação, com o objetivo de alcançar ou manter posições relativas e potenciais favoráveis a futuras ações táticas sobre um objetivo e procurar condições

28 favoráveis para alcançar objetivos específicos (RIBEIRO, 2008). Dessa forma a estratégia nas organizações modernas reflete uma ação intencional e planejada através da qual se buscam objetivos predeterminados. De forma prática pode-se dizer que a estratégia organizacional ocupa-se com os objetivos de longo prazo e com os meios para alcançá-los, sendo construída através de um processo dinâmico, sistêmico, coletivo, participativo e contínuo (REZENDE, 2008). Nas organizações privadas o planejamento pode objetivar a obtenção de maiores lucros, a perenidade dos negócios e a sobrevivência da empresa (inteligência organizacional), todavia no ambiente governamental tais objetivos não são válidos tendo em vista que as organizações públicas não são orientadas ao lucro nem ao mercado concorrencial. Assim, no ambiente público o planejamento direciona as organizações para a obtenção de melhores resultados, a otimização de recursos, a prestação de melhores serviços públicos, a estruturação de processos, dentre outros objetivos. Na esfera pública, a gestão estratégica contribui para a adoção de medidas de prestação de contas, incentiva a adoção de boas práticas de gestão e auxilia na vinculação entre a aplicação de recursos públicos e a obtenção de melhores resultados em sua utilização atividades integrantes do conceito de accountability (PALUDO, 2012). Uma metodologia para definir o planejamento estratégico pode se constituir em uma abordagem organizada para alcançar o sucesso do projeto por meio de passos preestabelecidos, dentro de um processo dinâmico e estruturado que pode fazer uso de uma ou mais técnicas (REZENDE, 2008). A formulação, avaliação e revisão da estratégia organizacional podem ser consideradas importantes dentro das seguintes perspectivas (RIBEIRO, 2008): a) Controlar o destino da organização: a estratégia estabelece objetivos, meios, instrumentos e formas de controle para conduzir a organização à sua meta, firmando inclusive os limites dessa organização; b) Visualizar oportunidades com clareza: isso se relaciona com o fato da organização passar a melhor observar e interpretar os cenários aos quais ela está inserida (interna e externamente), assim quando surgirem oportunidades a organização estará mais bem preparada para agir; 16

29 c) Aprender a pensar em longo prazo: este talvez seja um dos grandes méritos do pensamento estratégico e faz com que a organização possua uma mentalidade de longo prazo em detrimento do pensamento meramente operacional; d) Canalizar recursos para um objetivo comum: sem o estabelecimento de uma estratégica comum os interesses particulares das diversas áreas prevalecerão sobre o interesse coletivo, a gestão estratégica eficiente cuida em mobilizar os recursos em torno do objetivo coletivo. A gestão estratégica nas organizações zela pelo conjunto de decisões em torno dos objetivos de longo prazo da organização maximizando o desenvolvimento dos valores corporativos, da capacidade gerencial interna e trabalhando desde a formulação, a implementação até o controle das estratégias organizacionais. Para as organizações públicas a gestão estratégica assume ainda uma função essencial que lhe cabe: a de nortear as políticas públicas em consonância com as necessidades e interesses maiores da sociedade, numa perspectiva de longo prazo que se estenda além do calendário eleitoral (FILHO, 2011) Diagnóstico na organização. Em obediência aos preceitos constitucionais da ação pública o órgão adota métodos de planejamento de suas ações, tendo como referencial as diretrizes de Governo estabelecidas no chamado Plano Plurianual (PPA). Segundo o órgão, o aperfeiçoamento de seu processo de gestão estratégica ganhou força a partir do ano de 2006 quando foram realizadas as primeiras reuniões com um Comitê Gestor, composto à época pelos diretores de departamentos, diretores das Unidades Especiais, superintendentes e chefes das unidades sub-regionais (IPHAN, 2012). Tal ação visava a estruturar o planejamento estratégico da instituição e aperfeiçoar o planejamento operacional, tendo como proposta fortalecer a estrutura descentralizada das políticas de patrimônio; reafirmar o papel do IPHAN na definição da política nacional de patrimônio; incentivar a democratização do acesso à informação entre os dirigentes, para aprimorar processos de tomada de decisão compartilhada; e a implantar processos de gestão participativa e por resultados. Nesse contexto, foram trabalhados os eixos da estratégia de gestão da instituição, que podem ser sintetizados pelas seguintes dimensões: a) Dimensão Estratégica, Permanente ou de Estado: contempla missão, visão de futuro, desafios estratégicos, políticas e regras e normas. 17

30 b) Dimensão Situacional ou de Governo (contexto político): contempla a legitimidade dos planos em relação às diretrizes de Governo. c) Dimensão Operacional (capacidade administrativa): contempla estrutura organizacional, recursos humanos, recursos tecnológicos, recursos materiais e recursos orçamentários. Instituiu-se também o Comitê Nacional de Monitoramento, composto pelo Gabinete da Presidência, pelos técnicos do Departamento de Planejamento e Administração e pelos Coordenadores Gerais dos demais departamentos finalísticos (IPHAN, 2012). Ao longo desse período, foram criados indicadores para avaliação da implementação da estratégia de desenvolvimento das políticas, programas e desafios estratégicos, bem como um sistema de informações gerencias (SIGIPHAN 5 ), que permite o acompanhamento e monitoramento de projetos e obras cuja plataforma tecnológica foi customizada a partir do SIMEC (software público desenvolvido pelo Ministério da Educação). Dentre os indicadores criados encontram-se os seguintes: a) IPPM Índice de Preservação do Patrimônio Material; b) Índice de execução Orçamentária (Geral e por Unidade); c) Relação atividade meio/atividade fim; d) Indicador de Produção (Geral e por Unidade). Os principais desafios do ponto de vista do fortalecimento do processo de planejamento estratégico são: refletir de forma mais adequadas as constantes mudanças inseridas por imposição do Orçamento Geral da União e pela renovação do Plano Plurianual do Governo; aprofundar e consolidar o processo de monitoramento e estruturar um sistema de avaliação mais eficiente; além de refletir sobre os indicadores existentes e construir novos indicadores e meios para avançar na avaliação dos resultados. O processo de planejamento do órgão, conforme esquematizado adiante, obedece em tese à metodologia mais comumente utilizada na atualidade pelos órgãos públicos (Balanced Score Card BSC) onde a alta administração define missão, visão, metas e objetivos da organização (nível estratégico) e as unidades descendentes realizam o planejamento nos níveis tático e operacional. 5 O Sistema de Informações Gerenciais do IPHAN SIGIPHAN está atualmente sendo remodelado e aperfeiçoado para atender de forma mais plena as necessidades do órgão. 18

31 Esquematicamente, o planejamento estratégico da autarquia direciona-se pelo sistema apresentado na Figura 3.1, adiante: Figura 3.1: Resumo esquemático do sistema de planejamento aplicado pela organização (IPHAN, 2012). Porém, na prática nota-se que muito embora o IPHAN conte com um sistema definido de planejamento organizacional não há uma metodologia padrão definida para que as unidades realizem seus planejamentos nos níveis tático e operacional, o que provoca sérias distorções destes em relação ao referencial estratégico geral. A estrutura funcional da organização que mistura traços das estruturas tradicionais funcional (agrupamento das atividades por funções) e por produtos/serviços (agrupamento das pessoas/atividades relacionadas a um mesmo serviço) configura-se como um ponto facilitador para o desenvolvimento de estratégias departamentais, porém, nem todas as áreas extraem dos planos estratégicos os de nível tático e operacional. Algumas áreas, como a TI, tem forte cultura de planejamento (a exemplo do PDTI) enquanto outras o realizam apenas precariamente. 19

32 A comunicação do referencial estratégico da organização (missão, visão, metas, indicadores e resultados) não ocorre de forma adequada fazendo com que grande parte dos integrantes da organização desconheçam ou conheçam apenas minimamente tais diretrizes. Como ponto positivo, nota-se a divulgação interna de relatórios de execução física e financeira dos programas de Governo de responsabilidade da casa, muito embora estes apresentem linguagem excessivamente técnica Diagnóstico de objetivos e estratégias de negócio. O plano estratégico da organização define cinco desafios estratégicos que resumem seus objetivos de negócio e para cada um desses objetivos foram definidas diversas iniciativas estratégicas que visam a orientar a ação dos departamentos e unidades. Os desafios estratégicos definidos pelo órgão para o período (IPHAN, 2012) são: a) Implantar e consolidar o Sistema Nacional do Patrimônio Cultural, possibilitando ampliar a sinergia interna e externa das ações do Iphan; b) Consolidar a cultura e a prática de planejamento no IPHAN, possibilitando que o planejamento estratégico e sua execução sejam permanentes e cotidianos em todos os níveis a fim de aumentar a eficiência na prestação do serviço à população; c) Contribuir para tornar a cultura elemento estratégico de um novo modelo de desenvolvimento do país pela aplicação do conceito ampliado de Patrimônio Cultural nas ações do IPHAN e articulação da preservação do patrimônio cultural às demais políticas públicas; d) Formular e implementar uma Política de Gestão da Informação e Documentação, aperfeiçoando a infraestrutura informacional para atender às necessidades de maior integração das ações do IPHAN e à ampliação do diálogo com a sociedade através de meios e formas que permitam a socialização do conhecimento e da informação sobre o patrimônio cultural; e) Consolidar e aperfeiçoar a estrutura organizacional do IPHAN com foco na formação e gerenciamento de pessoas, com adequação quantitativa e qualitativa do quadro técnico, nas necessidades de cada unidade da Federação, na modernização dos modelos de gestão e na integração da área técnica, administrativa e jurídica. Todos os objetivos estratégicos estão alinhados com o negócio da organização, exceto aqueles que refletem um macro ambiente sobre o qual a atuação do órgão não tem 20

33 poder de gestão (tome como exemplo o desafio descrito na alínea c ). Outro ponto importante é que, embora todos os objetivos se enquadrem ao negócio da organização, nem todas as áreas de negócio contam com desafios (objetivos) claros. A partir da fixação dos desafios e das iniciativas estratégicas era de se esperar encontrar um conjunto de planos de ação e de iniciativas departamentais estruturadas, no entanto, esse nível de planejamento parece não ocorrer de forma satisfatória o que fere o próprio sistema de planejamento estabelecido pelo órgão. Tal situação faz com que não haja o necessário comprometimento dos departamentos e unidades descentralizadas expresso num instrumento interno de planejamento e apoiado na adoção de ações e metas alinhadas às iniciativas estratégicas organizacionais Diagnóstico de objetivos de negócio relacionados a TI. As áreas de Tecnologia da Informação existentes dentro da Administração Pública Federal elaboram, por força legal, um documento de planejamento denominado Plano Diretor de Tecnologia da Informação PDTI. A obrigatoriedade de se elaborar um plano diretor surgiu pela primeira vez na Instrução Normativa n 04/2008, da Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão, que promoveu significativas alterações na forma de contratação de soluções de TI. Essa instrução normativa derivou-se de diversos trabalhos de auditoria do Tribunal de Contas da União TCU, que revelavam profundas deficiências no planejamento e na governança de TI em toda a Administração Pública 6. Tal obrigatoriedade foi mantida e reafirmada pela Instrução Normativa SLTI/MP n 04/2010, com ligeiras alterações acrescidas pela IN SLTI/MP n 02/2012, ambas em vigor (BRASIL, 2010). O primeiro PDTI do IPHAN foi elaborado durante o ano de 2009 e vigorou até 31/12/2012, nele estavam descritas treze ações estratégicas programadas para a área (IPHAN, 2010). Conforme descrito no próprio PDTI, tais as ações foram extraídas do contexto do planejamento estratégico do órgão, tendo sido constituídas para atender às necessidades de informação da organização e fundamentando-se na avaliação de quatro outros vetores: necessidades e expectativas organizacionais; diretrizes de Governo; melhores práticas de mercado; e atual capacidade da área de TI. O esquema exemplificado na Figura 3.2, a seguir, mostra a atuação desses vetores sobre a estratégia de TI do órgão: 6 Destacam-se os Acórdãos TCU n 786/ Plenário e n 1603/ Plenário, que formam, efetivamente, a base da IN 04/2008 SLTI- MP, reunindo extenso conjunto de recomendações a diversos órgãos, no sentido de regularizar a contratação de soluções de Tecnologia da Informação. 21

34 Figura 3.2: Contexto de elaboração do planejamento de TI da organização (IPHAN, 2010). Na Tabela 3.1 estão listadas as treze ações estratégicas de TI previstas no Plano Diretor de TI (PDTI) , incluindo a apresentação de um diagnóstico da situação de cada uma dessas ações levantado junto à Coordenação Geral de TI: Tabela 3.1: Ações estratégicas da área de TI - Descrição e diagnóstico de situação (IPHAN, 2010). AÇÃO ESTRATÉGICA DEFINIDA DIAGNÓSTICO 1 Realização de diagnóstico profundo de todos os segmentos dos serviços de TI. Ação não realizada: o diagnóstico não foi realizado, tanto para a sede quanto para as unidades descentralizadas. Mudança física da sede impactou o planejamento e a realização dessa ação. 2 Modernização da infraestrutura tecnológica e de serviços, com renovação, padronização e modernização constante do seu parque computacional, de acordo com as referências governamentais e de mercado no que tange aos aspectos de segurança, performance, conectividade, usabilidade e disponibilidade. Ação realizada: houve aquisição de desktops e notebooks para ampliação e renovação do parque de estações de trabalho; aquisição de ativos e passivos de rede; cabeamento estruturado e implantação de telefonia VoIP. 22

35 3 Prestação de auxílio constante às Superintendências, Escritórios Técnicos e Unidades Especiais, visando à padronização tecnológica de seu parque e a constituição de sua área de TI, como representação local da CGTI. Ação parcialmente realizada: ação realizada sob demanda. Quando acionada, a unidade central forneceu um modelo de contratação de serviços, mas não houve contratação centralizada de suporte. 4 Implantação progressiva de soluções e produtos em software livre, sobretudo na infraestrutura, considerando as limitações dos usuários e as necessidades de comunicação com a sociedade. Ação parcialmente realizada: as soluções em software livre analisadas não atenderam à necessidade, optando-se pelo licenciamento de plataformas proprietárias. Porém, a diretriz foi considerada. 5 Licenciamento progressivo dos softwares proprietários, com atualização constante das versões. Ação realizada: todas as plataformas proprietárias foram contempladas com processos de licenciamento de uso, fornecimento de atualizações e contratação de suporte técnico, com destaque para os produtos Microsoft, IBM, Adobe, Autodesk e Corel. 6 Implantação de novo paradigma de desenvolvimento de sistemas e sítios, incluindo certificação digital, documentação eletrônica, interatividade e acervo digitalizado; implantação de arquitetura de integração e interoperabilidade entre sistemas do IPHAN e os Sistemas Gerenciais Públicos Estruturadores de Governo (SIAFI, SIAPE, SIDOR, SIASG, SIORG, SIGPLAN, etc.). Ação não realizada: embora tenha sido realizada contratação de empresa para fornecimento de Certificados Digitais para autenticação de aplicações web o contrato não foi executado e os demais itens previstos não foram contemplados. 7 Implantação de ferramentas de Business Intelligence, para subsidiar a construção de bases de dados com indicadores, estatísticas e informações relevantes para a formulação, execução, acompanhamento e avaliação de políticas, programas e ações do IPHAN. Ação não realizada: foram realizados estudos técnicos apontando que, no momento, não há demanda que justifique a introdução de soluções de Business Intelligence. 8 Implantação progressiva de tecnologia GIS, livre ou proprietária, para desenvolvimento de módulos em sistemas que necessitarem de georreferenciamento e geoprocessamento para melhor cadastro, visualização e caracterização dos objetos alvo das políticas públicas do IPHAN. Ação realizada: o sistema SICG marcou o início da implantação de recursos de geoprocessamento, utilizando a solução livre Quantum-GIS. 9 Implantação progressiva de ambiente de videoconferência entre as Sedes, Superintendências, Escritórios Técnicos e Unidades Especiais; implantação de recursos de web conferência. Ação realizada: a solução foi adquirida em 2011, implantada em 2012 e está em plena operação. 10 Implantação de melhorias qualitativas da rede interna, da rede WAN e ampliação da rede VPN. Ação parcialmente realizada: foram iniciados estudos técnicos para implantação da nova rede corporativa. 23

36 11 Crescimento e contratação de mão-de-obra especializada. Ação realizada: o órgão renovou o contrato de serviços de suporte técnico especializado em TI. 12 Elevação do nível de maturidade e busca da conformidade dos processos internos, tendo em vista os principais frameworks de Governança de TI do mercado. Ação parcialmente realizada: segundo avaliação do TCU, o órgão melhorou seu nível de maturidade em governança de TI e está investimento na qualificação de servidores nessa área. Ainda não decidiu pela adoção de algum framework de Governança de TI, nem realizou mapeamento de processos internos. 13 Definição de padrões, devidamente documentados e formalizados, para todos os segmentos de serviços de TI. Ação parcialmente realizada: o órgão definiu e formalizou sua política de renovação de estações de trabalho, mas pouco avançou em direção a outros segmentos. Em números gerais a área de TI conseguiu cumprir total ou parcialmente 70% de seus objetivos (nove em um total de treze) o que pode ser visto como um bom resultado, principalmente quando considerada a dinâmica do setor público. Por outro lado, apenas cerca de 40% desses objetivos foram considerados como plenamente executados (cinco em um total de treze). Os fatores que, segundo a organização, impactaram negativamente o atingimento dos objetivos propostos foram: a) Planejamento financeiro deficitário: as falhas no processo de liberação de recursos para execução do orçamento do órgão implicam a concentração de processos de aquisição e concentração no último trimestre no ano de exercício e isso provoca um acúmulo insuportável de projetos a serem planejados e contratados em curtíssimo período de tempo. b) Estrutura interna insuficiente e mal ordenada: a área de TI do órgão conta apenas com nove servidores efetivos, sendo que destes apenas três possuem cargos de nível de direção e assessoramento superior (um cargo DAS referente à Coordenação Geral e dois cargos DAS referentes à chefia das Divisões de Infraestrutura e Sistemas de Informação). Falta descentralização do poder decisório, o que poderia dar mais agilidade aos projetos. c) Ausência de mapeamento de processos: a área de TI não possui mapeamento de seu conjunto de processos o que impacta a realização de seus projetos, é frequente notar que diversos projetos similares seguem caminhos distintos. 24

37 Assim, resumidamente, para desenvolver suas estratégias de Tecnologia da Informação a organização lança mão de ferramentas e técnicas comuns aos demais órgãos e entidades componentes da Administração Pública Federal em especial aqueles que integram o chamado Sistema de Administração de Recursos de Tecnologia da Informação do Governo Federal (SISP). Assim, as estratégias de TI da organização são desenvolvidas no âmbito do Comitê Gestor de TI (COGESTI) e formalizadas em seu Plano Diretor de TI (PDTI) Propostas de melhorias e discussão. Com base no diagnóstico da situação da governança corporativa e gestão estratégica na organização apresenta-se, a seguir, duas propostas de melhorias que se implantadas podem auxiliar o Instituto na melhor condução de suas estratégias e planos, abrangendo todas as fazes de tal processo Sistema de Planejamento e Gestão Estratégica. Apoiando-se no referencial teórico, tem-se que a adoção de uma metodologia padrão para construção, condução e comunicação dos planos estratégicos surge como importante habilitador para o atingimento do sucesso de tais planos, ao passo que os conduzirá de um modo estruturado e organizado (REZENDE, 2008). Embora a organização pareça ter uma ideia clara de seu processo de planejamento, não há uma metodologia formalmente definida e instituída para essa finalidade. Sabe-se que há hoje no mercado uma grande quantidade de soluções informatizadas cujo escopo abrange todo o ciclo de vida do planejamento estratégico. Assim, através da adoção e uso de um sistema de gestão estratégica é possível gerenciar a construção de planos, a geração e o monitoramento de metas e seus desdobramentos, o acompanhamento temporal da evolução de indicadores, o apontamento e tratamento das anomalias, dentre outros pontos importantes. Além disso, a comunicação das estratégias poderá se apoiar em relatórios dinâmicos (dashboards) onde todos os níveis gerenciais e operacionais da organização poderão ter acesso a informações conforme sua necessidade. Como já descrito, o órgão conta com excelente infraestrutura tecnológica para suportar novas soluções de TI e boa equipe técnica dedicada às atividades de gestão, de forma que a implantação de uma solução de TI como a sugerida passa a depender tão somente da disponibilização de recursos financeiros para sua aquisição, instalação e treinamento de usuários. 25

38 Porém, mesmo que houvesse limitação financeira para a adoção da sugestão de melhoria há alternativas viáveis baseadas em software livre e software público que podem atender potencialmente a tal demanda. Podemos citar, por exemplo, o software público Geplanes 7, que foi desenvolvido para subsidiar a gestão das organizações na formulação e implementação das estratégias, considerando o estabelecimento de indicadores de desempenho, metas e planos de ação, além de permitir a rápida disseminação de informações gerenciais, o tratamento de anomalias e não conformidades e a realização de auditorias de gestão, dentre outras funções. O Geplanes possui interface web e foi construído através do uso de um processo de desenvolvimento de software certificado pelo programa MPS.BR, mantido pela SOFTEX. Todos os componentes utilizados são softwares livres e gratuitos, portanto, teoricamente, as instituições que vierem a adotá-lo não terão custos financeiros com licenciamento de software. O domínio na utilização dessa ferramenta assegura um processo robusto de alinhamento, monitoramento e a revisão contínua das estratégias corporativas, permitindo a tomada de decisão com agilidade e precisão. Um sistema de gestão estratégica representaria um importante avanço para a padronização dos processos de gestão estratégica do Instituto de tal forma que os planos estratégicos deixariam de ser documentos de gaveta e ganhariam a dinamicidade necessária para que seus objetivos sejam atingidos e os resultados tornem-se mais tangíveis. Cabe considerar que atualmente, a organização desenvolve um sistema denominado SIGIPHAN (Sistema de Informações Gerenciais do IPHAN), mas seu escopo limita-se a permitir o monitoramento físico e financeiro das ações e programas do IPHAN, provendo informação de nível gerencial, rápida, com bom nível de fidedignidade e exigindo participação de todos os gestores (IPHAN, 2010), funções menores do que as cumpridas por um sistema de gestão estratégica. Nota-se que o escopo do SIGIPHAN dedica-se essencialmente a cumprir a legislação que trata do método de acompanhamento da execução do Plano Plurianual e do Orçamento Geral da União, enquanto que um sistema de planejamento e gestão estratégica atende a um escopo mais amplo, dotando o Instituto de uma ferramenta capaz de elevar sobremaneira a capacidade da governança corporativa a partir da adoção de boas práticas consagradas, como o Balanced Score Card (BSC). 7 Mais informações sobre o software público de gestão estratégica Geplanes podem ser obtidas no seguinte endereço eletrônico: 26

39 Os principais riscos para implantação do sistema envolvem a escassez de recursos hoje destinados às ações de TI (tanto humanos quanto financeiros), devendo tal ação ser incluída no planejamento das ações da área de TI (PDTI). Outro fator crítico de sucesso para a adoção da melhoria diz respeito à própria capacidade interna do órgão em absorver uma solução desse nível, pois embora haja técnicos qualificados em ambas as pontas (TI e Alta Administração) há riscos relacionados ao acúmulo de tarefas e à ambientação de novas rotinas Painel de Gestão à Vista. A boa gestão estratégica envolve desenvolver planos de comunicação organizacional para promover a interação da organização com os grupos que afetam e/ou são afetados por suas políticas e ações. Planejar, desenvolver, implantar e monitorar estratégias de comunicação contribuirá para a construção de uma relação de credibilidade dos planos da organização, validando-os perante todas as partes envolvidas, pois, quanto maior for o nível de disseminação desses planos maior será a chance de obter comprometimento para com os objetivos e as metas pactuadas. Nesse cenário as tecnologias de informação exercem o papel de tornar a comunicação organizacional mais ágil e integrada, promovendo o acesso a uma quantidade considerável de informações de forma rápida e estruturada. A sugestão de melhoria consiste tão somente em inserir no portal intranet do órgão recursos de comunicação como banners, quadros, painéis, monitores de atividades ou outros dispositivos para difundir os planos estratégicos da instituição junto aos funcionários envolvendo itens como missão, visão, metas e objetivos da organização e seus indicadores de resultado. Complementarmente a essa ação pode se fazer uso de painéis físicos nas diversas unidades do Instituto para reforçar a comunicação interna relacionada aos planos estratégicos. Os recursos para implantação da melhoria são de fato simples e envolvem o aproveitamento da metodologia de comunicação do próprio planejamento estratégico do órgão e a existência de técnicos capacitados para realizar as intervenções nos ambientes já existentes (intranet e comunicação externa). A implantação dessa sugestão de melhoria, além de democratizar as informações, criará uma cultura de comunicação convergente tendo como ponto de partida a discussão acerca dos problemas de comunicação do âmbito da organização e suas possibilidades de melhoria. 27

40 Um forte limitante a implantação da melhoria é a tecnologia utilizada para desenvolvimento do portal intranet do órgão: observa-se que, embora o portal tenha sido desenvolvido em linguagem de programação JAVA, ele apresenta forte defasagem tecnológica e grande limitação à introdução de novos módulos e componentes e pode não ser tecnicamente viável adaptá-lo para atender à sugestão de melhoria. Assim, uma saída possível é incluir tal melhoria no projeto de engenharia dos novos portais corporativos do órgão Considerações Finais. Diante de um mundo cada vez mais competitivo e globalizado, a gestão estratégica se coloca como um dos principais desafios das organizações do século XXI. A estratégia é o elemento chave para a criação de diferenciais competitivos que contribuem para a criação de valor para as partes interessadas. Assim, torna-se indispensável o uso de ferramentas de suporte que levarão ao alcance de resultados consistentes, possibilitando que as organizações se tornem perenes e sustentáveis. Para a Administração Pública, a consequência mais direta da ausência ou deficiência do planejamento estratégico institucional é a impossibilidade de os gestores demonstrarem que atendem ao princípio constitucional da eficiência, uma vez que não se pode avaliar sua gestão por meio de parâmetros objetivos de comparação entre o planejado e o executado. Conclui-se que a organização carece de aperfeiçoar sua cultura de planejamento institucional de longo prazo. Tais aprimoramentos envolvem a definição de métodos internos para elaboração e revisão periódica de um plano estratégico institucional, cuja elaboração conte com a participação de todos os setores da organização contemplando a formulação de objetivos, indicadores e metas para a organização, sendo aprovado pela alta administração e tendo desdobramentos nas unidades executoras. Este plano estratégico deve ser amplamente divulgado, monitorado e ter seus resultados publicados tanto para o público interno quanto para a sociedade. Tal medida visa não somente dar cumprimento aos princípios constitucionais da eficiência, eficácia e publicidade como também garantir que o próprio planejamento cumpra seu propósito de fato. 3.2 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Referencial teórico. Governança de TI pode ser entendida como a capacidade organizacional exercida pela alta direção, gerência de negócios e gerência de TI para avaliar, dirigir e monitorar o uso da TI para suportar o alcance dos objetivos organizacionais. Trata-se de um sistema pelo qual 28

41 o uso futuro e atual da TI é dirigido e controlado. Necessariamente a governança de TI está incorporada à governança corporativa, sendo que ambas devem refletir fino alinhamento (SILVA, 2010). Tal conceito (governança) se difere da gestão de TI, esta é o conjunto de atividades e projetos criados com recursos de computação ou não, objetivando integrar a estratégia de TI às estratégias organizacionais. Resumidamente, ao passo que a governança de TI envolve essencialmente a definição de papéis e estruturas de tomada de decisões a partir de estratégias de negócio, processos de apoio a decisões, avaliação de opções estratégicas, monitoração de resultados e mecanismos relacionais para suporte à comunicação e interação entre stakeholders a gestão de TI envolve as atividades que empregam meios (recursos, processos e pessoas) para operacionalizar as decisões e direcionamentos definidos pela governança, incorporando o planejamento, o desenvolvimento, a implementação de recursos e o controle operacional da TI (TCU, 2012). A Figura 3.3, a seguir, ilustra as relações e diferenças entre as funções de governança e gestão na área de TI: Figura 3.3: Governança de TI versus Gestão de TI (Adaptado de ISACA, 2011). Frequentemente, o retorno dos investimentos em TI (em inglês return on investment ou ROI) não é obtido na totalidade e a principal causa observada para esse resultado negativo 29

42 é a ênfase em aspectos puramente técnicos, financeiros ou de programação das atividades de TI, em detrimento da atenção ao uso da TI no contexto geral do negócio, conforme é exposto na norma ABNT NBR ISO/IEC 38500: A governança de TI inclui estruturas e processos para garantir a qualidade dos investimentos em TI. Isso significa que ela se ocupa avaliar e direcionar o uso da TI para dar suporte à organização, bem como monitorá-lo com vistas a verificar se o desempenho está de acordo com os planos, em especial no que diz respeito aos objetivos de negócio, e que a TI está em conformidade com obrigações externas (leis, normas e contratos). De acordo com o ITGI, os dois principais objetivos da governança de TI são a agregação de valor da TI ao negócio e a minimização dos riscos atrelados a TI (ITGI, 2012). São focos da governança de TI, além da agregação de valor e da gestão de riscos, o alinhamento estratégico, a gestão de recursos e a mensuração de desempenho. Ainda de acordo com o ITGI, a governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização (ITGI, 2012). No âmbito da governança de TI, a alta administração precisa garantir que as ações de TI estejam alinhadas com a estratégia do órgão, acompanhar o andamento dos principais projetos e das operações relacionadas a TI, bem como prover recursos para que a área de TI efetue as atividades de gestão. Também deve cobrar da área de TI a demonstração de que os recursos disponibilizados estão sendo utilizados adequadamente (e.g. recursos empregados nas contratações de soluções de TI). Portanto, cabe à alta administração exercer o papel de liderança ao emitir diretrizes e acompanhar a implementação pelos atores envolvidos no planejamento e na implementação das ações de TI. Na esfera pública, entre esses atores podemos citar a própria área de TI e os gestores das soluções de TI, que são gestores das áreas de negócio que solicitam, participam da construção das soluções e as gerenciam sob a ótica do negócio, priorizando e definindo a natureza das alterações a serem feitas nas soluções (TCU, 2012). Por conta das grandes mudanças econômicas ocorridas nos últimos anos, as organizações tiveram que se adequar criando mecanismos para que suas decisões estratégicas 8 A ABNT NBR ISO/IEC 38500:2009 é uma norma padrão internacional de governança de TI elaborada pela Organização Internacional de Normalização (International Organization for Standardization ISO) e internalizada no Brasil pela Associação Brasileira de Normas Técnicas (ABNT). 30

43 fossem mais rápidas e confiáveis. Neste ínterim, a área de TI passou a ser vista como um recurso estratégico, devendo assim ser gerida de forma adequada e sempre harmonizada com os objetivos da organização. É nesse contexto de necessidades e experiências bem sucedidas que surgiu o COBIT 9 (Control Objectives for Information and related Technology), mantido pelo Information Systems Audit and Control Association (ISACA). Atualmente na versão 5, lançada em meados de 2012, o COBIT é um guia de boas práticas apresentado como framework, dirigido para a gestão de tecnologia de informação ele possui uma série de recursos que podem servir como um modelo de referência para governança da TI. O COBIT pode ser considerado um framework integrado por reunir práticas de governança e de gestão de TI, criando assim um sistema integrado (BERMEJO e TONELLI, 2012). Especialistas em gestão e institutos independentes recomendam o uso do COBIT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo métricas para avaliação dos resultados e fatores críticos de sucesso. O COBIT independe das plataformas de TI adotadas nas empresas, tal como independe do tipo de negócio e do valor e participação que a tecnologia da informação tem na cadeia produtiva da empresa. Sua utilização na esfera pública tem sido inclusive recomendada por órgãos de controle, tais como o TCU. Em virtude do avanço de tais práticas a Administração Pública Federal brasileira vem desenvolvendo seu modelo de governança de TI que, atualmente, está baseado em um conjunto de leis específicas e normas emanadas de um macro sistema organizador 10 (FERNANDES e ABREU, 2012). Assim, o planejamento público da TI constitui um processo de gestão norteador para a execução de suas ações, objetivando conferir foco à atuação da área, apresentando estratégias e traçando planos de ação para implantá-las, possibilitando o direcionamento de esforços e recursos para a consecução das metas das organizações. Tal forma de planejamento de TI pode ser entendida como um processo gerencial administrativo, de identificação e organização de pessoal, aplicações e ferramentas baseadas em TI (recursos de TI), necessário para apoiar a instituição na execução de seu plano de negócios e no cumprimento de seus objetivos institucionais. 9 COBIT é marca registrada da Information Systems Audit and Control Association (ISACA) / IT Governance Institute (ITGI). 10 No caso da organização estudada esse macro sistema organizador é o Sistema de Administração dos Recursos de Tecnologia da Informação da Administração Pública Federal direta e indireta SISP. 31

44 No caso particular dos órgãos e entidades da Administração Pública Federal direta e indireta o planejamento da TI é consolidado num documento denominado Plano Diretor de Tecnologia da Informação (ou simplesmente PDTI). Segundo a Instrução Normativa SLTI/MP nº 4 de 12 de novembro de 2010, artigo 2º, inciso XXII, um PDTI é um: instrumento de diagnóstico, planejamento e gestão dos recursos e processos de Tecnologia da Informação que visa atender às necessidades tecnológicas e de informação de um órgão ou entidade para um determinado período (BRASIL, 2010). Deve ocorrer alinhamento entre a alta administração e a área de TI para garantir a coerência entre os planos decorrentes dos processos de planejamento, o que pode ocorrer mediante estruturas de governança de TI, como um comitê diretivo de TI. Além dos planos do órgão, o processo de planejamento de TI também deve utilizar as estratégias de TI do órgão governante superior (responsável pelo macro sistema organizador) como entrada (FERNANDES e ABREU, 2012). Dessa forma, o propósito do planejamento de TI nas organizações públicas é atender as necessidades de informação e de tecnologia de uma organização. Para tanto, é necessário definir metas, ações e projetos para suprir tais necessidades (FERNANDES e ABREU, 2012) Diagnóstico na organização. Conforme explanado no referencial teórico o modelo de governança de TI adotado na administração pública é constituído por elementos próprios, incomuns em outras áreas de negócio. Os órgãos públicos devem conduzir seu planejamento de TI a partir do planejamento do órgão governante superior e como desdobramento do planejamento geral do órgão. Com base no planejamento de TI ou como parte dele, é executado o planejamento conjunto das contratações de soluções de TI, de modo que as contratações definidas estejam atreladas às estratégias da organizacional e da TI, bem como as dependências entre as contratações possam ser identificadas, tanto em termos de quantidade como de sequência. Além disso, a partir do levantamento de todas as contratações, pode-se definir o valor do orçamento necessário para TI, que deverá compor a proposta orçamentária do órgão. Cada contratação deve ocorrer em função dos planejamentos citados. Inicialmente é feito o planejamento da contratação, cuja qualidade influenciará fortemente a gestão do contrato. Após esse planejamento, ocorre a fase de seleção do fornecedor, conduzida pela área administrativa, que solicita apoio da área de TI quando necessário. Por fim, ocorre a fase de 32

45 gestão do contrato, na qual se pode colher efetivamente os resultados pretendidos com a contratação. Se no planejamento da contratação de uma solução concluir-se que ela é divisível, na verdade, são selecionados dois ou mais fornecedores e é feita a gestão de dois ou mais contratos. Em paralelo aos processos descritos, ocorrem os processos de governança de TI, mediante os quais a alta administração emite diretrizes e acompanha a implementação delas. É esperado que muitas delas envolvam contratações de TI. Como parte do acompanhamento da alta administração podem incidir controles e serem realizadas auditorias (internas e/ou externas) na área de TI, sendo que as instâncias de controle externas ao órgão podem atuar sobre todos os processos descritos, com ênfase em princípios como eficiência, eficácia e legalidade, e sobre os controles internos definidos pelos gestores (TCU, 2012). Portanto, o processo de planejamento da área de TI é influenciado por diversos outros processos, conforme ilustrado na Figura 3.4 a seguir: Figura 3.4: Contexto do planejamento da TI na Administração Pública (Adaptado de TCU, 2012). 33

46 Para apoiar as atividades de governança de TI pela alta administração e as de gestão de TI pela área de TI, são utilizados artefatos e estruturas organizacionais. Um exemplo dessas estruturas é o Comitê Gestor de Tecnologia da Informação (COGESTI), que se trata de comitê diretivo ligado diretamente à alta administração para apoiá-la na elaboração das estratégias de TI e no acompanhamento do alcance dos objetivos de TI da organização, utilizando, dentre outros instrumentos, relatórios periódicos sobre as ações relativas a esta área (BERMEJO e TONELLI, 2012). Para desenvolver suas estratégias de Tecnologia da Informação a organização lança mão de ferramentas e técnicas comuns aos demais órgãos e entidades integrantes da Administração Pública Federal em especial aqueles que compõem o SISP. Assim, as estratégias de TI da organização são desenvolvidas no âmbito do Comitê Gestor de TI (COGESTI) e formalizadas em seu Plano Diretor de TI (PDTI). As técnicas aplicadas para desenvolvimento do PDTI estão descritas no Guia de Elaboração de PDTI do SISP, documento produzido pelo órgão central desse sistema (SLTI/MP) para orientar e auxiliar seus integrantes sobre como produzir seus Planos Diretores de TI (BRASIL, 2012). Conforme demonstrado na Figura 3.5 abaixo, o processo de produção do PDTI envolve basicamente três fases: a preparação, o diagnóstico e o planejamento. Figura 3.5: Tarefas básicas do processo de elaboração do Plano Diretor de TI (BRASIL, 2012). O PDTI tem se mostrado uma excelente ferramenta para o planejamento das necessidades de TI no âmbito do órgão, pois seu modelo de elaboração é baseado em modernos princípios de planejamento e está alinhado à atual conjuntura tecnológica da Administração Pública. 34

47 No entanto, embora sejam suficientes, as técnicas para construção do PDTI carecem de maior maturidade quando o assunto é a promoção do alinhamento de objetivos entre a TI e as áreas finalísticas (negócio), atualmente cada área parece apenas defender suas próprias necessidades sem ter a correta noção da conjuntura geral ou dos impactos das decisões sobre todas as áreas, há a percepção de que prevalece uma visão sedimentada sobre o papel da TI. Para construção do PDTI é formalizada uma equipe de elaboração e o documento final é oficializado pela autoridade máxima do órgão em publicação no Diário Oficial da União. Há excelente nível de formalização também para o COGESTI, sua criação e instituição de seu regimento interno foram ratificadas pela autoridade máxima do órgão e publicadas internamente. A convocação de reuniões, divulgação de pauta e divulgação de Atas de Reuniões também é formal, com ampla divulgação interna. Quanto ao funcionamento dessas estruturas, podemos notar que o Guia de Elaboração do PDTI do SISP contém bom nível de documentação do funcionamento e especificações prévias sobre a atuação de pessoas e grupos envolvidos na elaboração da estratégia de TI. Este mesmo cenário se repete quando analisamos os processos no âmbito do COGESTI, pois seu regimento interno contém bom nível de detalhamento com respeito ao seu funcionamento e à atuação dos envolvidos. No entanto, há deficiência quando analisamos a existência de indicadores para avaliar o desempenho do procedimento e a existência de responsáveis por sua melhoria: não há indicadores para avaliação tanto do desempenho do procedimento de elaboração do PDTI quanto da atuação do COGESTI e o único envolvido de fato interessado na melhoria do procedimento parece ser a própria área de TI. O nível de formalização verificado tem se mostrado adequado à atual conjuntura, outrora há necessidade de uma melhor definição dos papéis e atribuições dos envolvidos e maior participação das áreas de negócio como motivadoras do desenvolvimento de estratégias. No cenário atual, as áreas de negócio atuam no processo de desenvolvimento de estratégias apenas quando são provocadas e muito raramente de mote próprio. Os envolvidos no desenvolvimento de estratégias de TI na organização são: a) Alta administração, através do Comitê Gestor de TI; b) A área de TI, através da Coordenação Geral de Tecnologia da Informação; 35

48 c) As áreas finalísticas; através das diretorias de departamentos, chefes das superintendências estaduais e chefes de unidades sub-regionais. O Comitê Gestor de TI é o responsável por aglutinar todas as discussões acerca do desenvolvimento de estratégias de TI, sendo que toda e qualquer demanda nesse sentido deve ser encaminhada a ele. Já a CGTI é responsável por implantar as estratégias definidas, acompanhar seu andamento e reportar o desempenho ao COGESTI. As áreas finalísticas participam na elaboração de estratégias de TI apresentando suas necessidades durante o desenvolvimento do PDTI ou nas reuniões periódicas do COGESTI. Nota-se que embora o Comitê Gestor de TI (COGESTI) reflita de forma satisfatória o envolvimento da alta administração e dos representantes das unidades organizacionais isso parece não ser suficiente para garantir o pleno alinhamento e o atendimento às demandas de negócio, isso porque as demandas planejadas são constantemente atropeladas por demandas emergenciais e há considerável inconstância na priorização das demandas planejadas. O Plano Diretor de TI (PDTI) tem vigência definida durante sua construção, sendo que o primeiro PDTI elaborado pela organização foi construído em 2009 para vigorar no período 2010 a 2011, tendo sido sua vigência prorrogada também para o ano de Prevêse que no primeiro trimestre do ano de 2013 será elaborado um novo PDTI. Como não há uma norma superior que defina a periodicidade de atualização do PDTI, a estratégia adotada no órgão condiz com seu cenário e o amadurecimento da própria cultura interna de planejamento das estratégias de TI tem contribuído para a discussão desse tema. Atualmente prevalece a ideia de que o PDTI seja um instrumento vivo e que reflita de fato as necessidades do órgão, as atualizações tem sido suficientes para garantir que todas as necessidades estejam cobertas por ações e que essas sejam implantadas dentro do prazo programado. O primeiro PDTI elaborado pelo órgão não continha indicadores de monitoração para avaliar o nível de atingimento das estratégias, foram descritos apenas planos de ação com limite temporal para realização e a avaliação da execução desses planos é uma das fases que antecede a construção de um novo PDTI. Os procedimentos de monitoração das estratégias de TI são fundados basicamente na avaliação dos planos de ação planejados no PDTI e no acompanhamento da implementação das decisões emanadas do COGESTI. Ocorre que o reporte dessas avaliações é realizado 36

49 apenas durante as próprias reuniões do COGESTI gerando um intervalo entre o período de identificação de inconsistências ou desvios e a tomada de decisão acerca das ações corretivas. Também não se observa a existência de monitoração do índice de descarte de estratégias planejadas para a TI. Embora sabidamente haja descartes, esses não têm suas causas precisamente diagnosticadas e documentadas sabe-se que a maioria deles ocorre por questões relacionadas à orçamentação como falta de recursos financeiros, demora na liberação do orçamento ou encerramento de prazos para execução orçamentária. Uma avaliação da performance de cumprimento das estratégias de TI foi considerada no item acima. Para o próximo ciclo de planejamento a organização prevê a adoção de conceitos baseados na metodologia Balanced Score Card (BSC), para avaliar o desempenho das estratégias de TI relacionando-as a indicadores financeiros, conhecimento, processos internos e clientes. Quanto aos arranjos decisórios de TI, cuja análise pode ser vista no ANEXO II, notamos que estão mais presentes os arquétipos centralizados onde as decisões são mais voltadas à padronização, ao controle de custos e apresentam menor flexibilidade e responsividade em atender demandas localizadas. Segundo BERMEJO (2012; p. 41) os arquétipos de governança de TI definem quem é o responsável pelas decisões envolvendo os domínios da TI, especificando quais níveis e partes da organização serão envolvidas neste processo decisório. A matriz poderia levar a crer tratar-se de um arquétipo de federalismo, tendo em vista que o Comitê Gestor de TI (COGESTI) é responsável pelas decisões em princípios de TI e apoia o domínio de priorização e investimentos. No entanto, cabe ressaltar que as decisões a cerca de investimentos são de responsabilidade da alta administração (executivos) e que não há obrigação destes em seguir as definições estabelecidas pelo Comitê. Não é da cultura organizacional vista na Administração Pública que os gestores de primeiro nível (alta administração) acatem decisões vindas de esferas inferiores da organização, pois estes sempre reservam para si o poder da decisão final. Quanto às decisões nos domínios de arquitetura e infraestrutura de TI, a organização apresenta um arquétipo de monarquia de TI vez que a responsabilidade decisória cabe à CGTI (Gerência de TI). Esse ambiente, onde prevalece a condição técnica privilegiada da gerência 37

50 de TI em relação às demais instâncias, tem de fato levado a uma maior padronização tecnológica da organização. Para o domínio de aplicações de negócio nota-se um arquétipo de monarquia de negócio, pois, muito embora a gerência de TI participe fortemente nas decisões sobre aquisição de aplicações, os recursos financeiros para essas soluções provem das respectivas áreas de negócio cabendo a estas a decisão final. Neste caso, o cenário mais aconselhável para a organização seria o arquétipo de duopólio onde a gerência de TI e as áreas de negócio decidissem conjuntamente sobre as aplicações de negócio buscando conciliar conforme BERMEJO (2012; p.48) (1) demandas locais das áreas e (2) padrões arquitetônicos definidos para a TI Identificação de processos críticos. O IPHAN empreende um esforço significativo na implementação de melhorias na sua gestão, há diversas iniciativas em andamento que traduzem muito bem esse esforço, como a existência de um planejamento estratégico organizacional que se desdobra diversos planos setoriais. No entanto, o órgão carece severamente de realizar um mapeamento de seus processos de negócio isso porque não há, no momento, qualquer processo minimamente mapeado. Dada a ausência desse requisito (mapeamento de processos) torna-se complexa a tarefa de identificar processos críticos para a organização. Não que esses inexistam, mas, antes, que não há qualquer parâmetro analítico para identificar quais processos de fato impactam criticamente o negócio da organização. Considerando os processos estabelecidos pelo framework COBIT, em sua versão 5, buscou-se identificar junto ao executivo de TI da organização dois processos prioritários para, então, avaliar o nível de maturidade destes. Os processos priorizados e a respectiva avaliação de maturidade estão sintetizados na Tabela 3.2 abaixo: Tabela 3.2: Processos críticos priorizados e síntese da avaliação de maturidade. Processo (COBIT 5) Prioridade Nível de maturidade desejado Nível de maturidade atual BAI3 Identificação e desenvolvimento de soluções. APO10 Gerenciar fornecedores. 1 Processo Otimizado (Nível 5) Processo Executado (Nível 1) 2 Processo Otimizado (Nível 5) Processo Executado (Nível 1) O processo crítico de identificação e desenvolvimento de soluções ( BAI3 em referência ao COBIT 5) relaciona-se com o objetivo de entregar serviços de TI em 38

51 conformidade com os requisitos de negócios, buscando reduzir interrupções nas atividades de negócio devido a incidentes em serviços de TI e oferecendo elementos para manter os clientes internos satisfeitos com a qualidade da prestação desses serviços. O nível de maturidade desejado pela organização para este processo é o de Processo Otimizado (Nível 5 ). Neste nível, além de ser monitorado a partir de métricas quantitativas e existirem controles para correção de defeitos, o processo é continuamente aprimorado para suportar objetivos de negócio apresentando também traços de inovação. De acordo com a avaliação realizada o processo encontra-se no nível 1 ( Processo Executado ). As principais deficiências dizem respeito à medição de desempenho (não há qualquer métrica estabelecida para verificar o desempenho do processo), ao controle (incidem apenas controles de legalidade e conformidade), à otimização (não há inovação no processo) e à melhoria contínua (não há introdução contínua de melhorias ao processo). Como ponto forte, o processo conta com amplo apoio de dispositivos de regulamentação, o que torna sua execução melhor compreendida. Embora não haja uma formalização interna do processo, há vasto regulamento externo ao qual a instituição está subjugada que deve ser seguido. Aliás essa característica se deve muito mais à natureza jurídica da organização (órgão público) do que à própria maturidade do processo. Para que o processo alcance o nível de maturidade desejado será necessário implantar atributos de gestão do desempenho (objetivos, indicadores, responsabilidades) e de produtos de trabalho (entradas, saídas, requisitos, controles), de definição e programação e de medição e controle do processo. Já o processo crítico de gerenciamento de fornecedores ( APO10 em referência ao COBIT 5) tem por finalidade minimizar o risco associado ao baixo desempenho de fornecedores e assegurar custos racionais para os serviços de TI ofertados. Relaciona-se com o objetivo de gerenciar riscos de negócios relacionados a TI. Para este processo a organização também deseja o nível de Processo Otimizado (Nível 5), sendo continuamente medido e aprimorado. Sua avaliação assim como ocorre para o processo anterior mostra que, no momento, seu nível de maturidade é de Processo Executado (Nível 1). Os pontos fracos também se repetem: não há métricas de avaliação do desempenho; incidem apenas controle de legalidade e conformidade; não há otimização de recursos nem tampouco introdução de inovações. O ponto forte mais uma vez recai sobre a existência bom nível de dispositivos legais e normas que regulamentam o processo que, embora externos à organização, direcionam todo o modo como o processo é executado. O processo alcançará o 39

52 nível de maturidade desejado com a introdução de atributos de gestão do desempenho, definição e formalização interna do processo (internalização de normas), atribuição de papéis e responsabilidades, geração e medição de indicadores de desempenho e introdução de controles ao processo Propostas de melhorias e discussão. Com respeito aos processos priorizados, uma das principais necessidades da organização é a definição, formalização e adoção do processo corporativo de provimento e gerenciamento de soluções de TI, internalizando a aplicação das leis e normas às quais esta se submete. Essa sugestão de melhoria, se implementada, é capaz de tratar as atividades dos processos BAI3 e APO10 ambos integrantes do framework COBIT 5 de forma ampla e satisfatória alinhando os processos já existentes com boas práticas previstas em frameworks de governança de TI. Dentro desse processo podem ser abrangidos aspectos importantes, tais como: a especificação e controle de requisitos das soluções de TI; a definição de critérios e métodos de monitoramento e avaliação de qualidade; a definição e avaliação de níveis mínimos de serviço; a definição de critérios de seleção e avaliação de fornecedores; e o acompanhamento da execução contratual das soluções contratadas. Além do alinhamento às necessidades dos processos críticos para implantação da governança de TI anteriormente considerados, refletidos nos processos do COBIT 5 em especial os processos BAI3 e APO10 envolve ainda a aplicação das práticas de gerência de projetos (GPR), gerência de requisitos (GRE) e processo de aquisição (AQU), abrangidas pelo modelo de melhoria denominado MPS.BR. O propósito da gerência de projetos é estabelecer e manter planos que definem as atividades, recursos e responsabilidades de um projeto, bem como prover informações sobre o andamento do projeto que permitam a realização de correções quando houver desvios significativos em seu desempenho. Tal propósito evolui à medida que a organização cresce em maturidade, mudando seu enfoque conforme a evolução da organização. Entre os resultados possíveis estão a correta definição do escopo dos projetos de soluções de software e dos produtos de TI, inclusive com utilização de métodos de dimensionamento mais adequados; a definição do ciclo de vida do projeto; o controle sobre esforço e custos do projeto; o correto planejamento das atividades do projeto, incluindo orçamento e cronograma e a definição de marcos e pontos de controle. 40

53 Já com respeito à gerência de requisitos, seu propósito é gerenciar os requisitos do produto e dos componentes do produto do projeto e identificar inconsistências entre os requisitos, os planos do projeto e os produtos de trabalho do projeto. Seus resultados possíveis são o correto entendimento dos requisitos junto a suas fontes; a avaliação dos requisitos com base em critérios objetivos; a rastreabilidade bidirecional entre requisitos e produtos do trabalho; viabilização de revisões e correções de inconsistências nos planos e produtos e gerenciamento de mudanças do projeto. O propósito do processo de aquisição de produtos e serviços de TI é gerenciar a aquisição de produtos e serviços que satisfaçam às necessidades expressas pelo adquirente, assegurando que estas, juntamente com as metas, os critérios de aceitação, os tipos e a estratégia de aquisição, estejam corretamente definidos e sejam aplicados critérios adequados de seleção de fornecedores, resultando em contratações mais eficientes. Juntos esses processos são capazes de assegurar que os produtos de TI fornecidos satisfaçam a necessidade expressa pelos clientes e se torne menos complexo gerenciar o atendimento às condições dos projetos (como custos, cronograma e qualidade). Por outro lado, haverá critérios seguros e documentados de avaliação e validação dos resultados (produtos) dos projetos. Em síntese, a implantação dessa sugestão de melhoria envolve empreender as seguintes ações na organização: a) Análise e consolidação de leis, normas, modelos e guias de contratação e gerenciamento de soluções de TI aplicáveis; b) Elaboração, aprovação e implantação do processo interno de provimento e gerenciamento de soluções de TI no âmbito da organização, internalizando as normas aplicáveis a partir de conceitos extraídos de modelos de boas práticas de governança, gestão e melhoria de produtos e serviços de TI; c) Construção e incorporação de indicadores de desempenho e de métricas de avaliação da qualidade de produtos e serviços de TI ao plano estratégico de TI; d) Avaliação e melhoria contínua do processo implantado, a partir dos resultados de seus indicadores de desempenho e avaliação da qualidade. A Coordenação Geral de Tecnologia da Informação (CGTI), como unidade gestora da área de TI, seria a principal encarregada pelo desenvolvimento das ações previstas, com 41

54 patrocínio do Comitê Gestor de Tecnologia da Informação (COGESTI). Como há no quadro de pessoal da unidade os recursos humanos necessários para desenvolver as ações não haveria custos extras com mobilização de pessoal ou contratação de consultoria externa (esta última despesa poderia ocorrer apenas futuramente para melhoria do processo). Um dos principais argumentos para angariar o patrocínio superior necessário à implantação desta proposta de melhoria é o fato de que as ações previstas têm como principal mote a redução de custos operacionais e a otimização dos recursos do órgão (tanto humanos quanto financeiros). Estas ações, se bem escalonadas, podem ser realizadas em curto período de tempo. Havendo, assim, possibilidade de incluir já no próximo PDTI da organização indicadores de avaliação do impacto dessa melhoria em função de dois de seus objetivos de TI: entregar serviços de TI em conformidade com os requisitos de negócio; e gerenciar riscos de negócio relacionados a TI. A sugestão de melhoria objetiva garantir que os serviços de TI prestados por todos os tipos de fornecedores atendam aos requisitos da empresa, incluindo a seleção de fornecedores, gestão de relacionamentos, gestão de contratos e revisão e acompanhamento do desempenho do fornecedor, além da conformidade e eficácia. O quadro apresentado no ANEXO IV traz uma sugestão de indicadores que podem ser adotados objetivando medir o sucesso dessa sugestão de melhoria. As práticas desse processo, orientadas pelo framework COBIT 5 envolvem identificar e avaliar contratos e relacionamentos com fornecedores; selecionar fornecedores de acordo com uma prática justa e formal; formalizar e gerir contratos; gerenciar riscos das contratações e dos fornecedores e monitorar o desempenho e a conformidade dos contratos. Como segunda sugestão de melhoria indica-se a adoção de um framework de boas práticas em governança de TI pela organização. Um framework pode ser entendido como um conjunto de conceitos usado para resolver um problema de um domínio específico. Frameworks de melhores práticas em governança de TI formam um quadro orientador para melhorar o desempenho, prover transparência, agregar valor e aumentar o controle sobre as atividades que envolvem TI dentro de uma organização, colaborando para que este esteja alinhado aos objetivos de negócio e que os serviços entregues satisfaçam a requisitos tais como qualidade, custos e segurança. 42

55 Organizações procuram cada vez mais agregar valor ao seu negócio, ao mesmo tempo em que gerenciam riscos de crescente complexidade. Nesse sentido, a utilização de frameworks de melhores práticas pode auxiliar essas organizações a não mais reinventar a roda uma vez que as práticas apresentadas já foram testadas pelo mercado, provendo resultados comprovadamente satisfatórios. Existem atualmente no mercado brasileiro ao menos dois frameworks voltados às atividades de gestão e governança de TI: ITIL e COBIT. Enquanto este último concentra-se na definição, implementação, fiscalização, medição e melhoria dos controles para processos específicos (que abrangem toda a implementação do ciclo de vida da TI, sendo um excelente modelo de referência para governança de TI), o foco principal de ITIL é fornecer as definições de melhores práticas e critérios para as operações e serviços de TI. Assim, se o objetivo é melhorar a qualidade e capacidade de medição da governança aplicada em todo o ciclo de vida da TI (ou implementação de um sistema de controle para conformidade regulamentar) COBIT, provavelmente, seria uma escolha mais eficaz. Por outro lado, se o objetivo é melhorar continuamente a eficiência das operações de TI e qualidade de atendimento ao cliente, ITIL seria, provavelmente, a melhor aposta. No entanto, não se deve olhar para essas comparações como uma análise COBIT versus ITIL. É importante entender as diferenças de cada um dos frameworks e adaptá-los conforme necessário para atender as especificidades de cada ambiente organizacional. As limitações à adoção de um framework de governança de TI mais uma vez dizem respeito à existência de pessoal capacitado, o que de fato pode ser resolvido. Noutra vertente, haverá a necessidade de contratação de consultoria externa para a implantação e, provavelmente, necessidade de aquisição de ferramentas complementares e de apoio Considerações finais. Assim como ocorre com as deficiências no planejamento estratégico de negócio, uma das consequências da ausência ou deficiência no planejamento de longo prazo para a TI consiste na impossibilidade de evidenciar cumprimento ao princípio constitucional da eficiência. De fato, quando a TI falha em planejar ela invariavelmente terá dificuldades em comprovar que suas despesas executadas estão amparadas nos melhores resultados possíveis diante das possibilidades de investimento. Sobre o tema, cabe registrar que o plano estratégico de TI não deve ser visto com um documento do setor de TI da organização, mas sim como um documento da organização, vez 43

56 INDICE DE GOVERNANÇA DE TI - TCU que formalizará a alocação de recursos (financeiros, humanos, materiais, etc.) para que a TI atenda às demandas do negócio. A organização tem avançado significativamente nos últimos anos em relação à melhoria de sua situação de governança de TI, sendo que um dos indicadores que demonstram essa melhoria é a evolução do Índice de Governança de TI IgovTI. Monitorado pelo TCU, esse índice aponta a situação da governança de TI a partir da coleta de informações em questionário disponibilizado a instituições representativas de diversos segmentos da Administração Pública Federal. A definição dos tópicos avaliados e os critérios utilizados fundamentam-se em legislação aplicável ao setor, normas técnicas da ABNT e modelos de boas práticas reconhecidos internacionalmente (TCU, 2013). A organização avançou do índice de 0,18 em 2007 para 0,36 em O IgovTI é medido numa escala de 0,0 (zero) a 1 (um) onde, segundo os critérios do TCU (TCU, 2013), quanto mais próximo de um mais avançadas são as práticas de governança de TI na organização. Segundo estes mesmos critérios, o IPHAN se enquadra entre as organizações cujas práticas de governança de TI ainda estão em estágio considerado inicial ( IgovTI entre 0,0 a 0,40). A Figura 3.6, a seguir, mostra a evolução do índice na organização para o período de 2007 a 2012: 1,00 0,80 0,60 0,40 0,20 0,18 0,18 0,18 0,20 0,27 0,36 0, PERÍODO Figura 3.6: Evolução do Índice de Governança de TI (igovti) mensurado pelo TCU na organização, no período 2007 a 2012 (TCU, 2013). Como vimos, os modelos de boas práticas e as normas técnicas atribuem à alta administração a responsabilidade de governar a TI, ou seja, de garantir que a TI funcione de forma integrada e que agregue valor ao negócio. No entanto, há alguns elementos importantes 44

57 que devem ser implantados para que esse governo seja efetivo, entre os quais se destaca a dimensão Liderança, apresentada a seguir. Um comitê estratégico de TI tem como funções básicas assegurar que a governança de TI seja adequadamente tratada, aconselhar a direção estratégica de TI e revisar os grandes investimentos. Já um comitê de direção de TI tem como atribuições típicas priorizar os investimentos de TI em alinhamento com a estratégia e as prioridades do negócio da instituição, acompanhar o status dos projetos e resolver conflitos por recursos e monitorar os níveis de serviço e as melhorias implantadas na organização. O diagnóstico aponta que a organização possui um comitê estratégico de TI em funcionamento, porém sua atuação ainda é tímida em aspectos como participação do planejamento da TI em longo prazo e priorização de investimentos. Além disso, tal comitê poderia ser mais atuante em buscar alinhar a TI ao negócio da organização. Um dos pontos fortes da organização diz respeito ao seu próprio ambiente de atuação, onde há forte demanda por aderência a leis, normas e regulamentos sobre aquisição de bens e serviços de TI e gestão de contratos públicos. Isso favorece a definição de processos internos e a aplicação de boas práticas de gestão e governança de TI. Aliás, a definição formal de processos na área de TI é, hoje, uma das grandes necessidades da área. Como ponto negativo, está o baixo alinhamento entre a área de TI e as áreas de negócio. Assim entendido pela pouca interação entre essas áreas quanto ao planejamento de demandas e alinhamento de necessidades. A organização compreende que a importância de promover a adoção de melhores práticas de governança de TI como forma de alavancar melhores resultados e, consequentemente, de sua necessidade de mapear, definir e implantar processos formais de planejamento, aquisição e gestão de produtos e serviços de TI. No cenário público atual a TI exerce papel cada vez mais estratégico dentro das organizações, tendo inclusive se transformado em estrutura crítica, sendo assim investir na melhoria dos processos de TI é uma das maneiras mais sólidas para que a organização possa garantir a sustentabilidade de suas funções, tanto a administrativa como a finalística, em longo prazo. Com respeito às sugestões de melhoria cabe considerar que, como órgão componente da Administração Pública Federal, a organização segue um processo bastante formal embora antigo e engessado de seleção de fornecedores, definido pela lei Federal n 45

58 8.666/1993 (Lei Geral de Licitações e Contratos Públicos) e para o qual há uma considerável diversidade de regulamentações complementares. No tange especificamente à seleção de fornecedores de TI, aplica-se à organização todo os disposto na Instrução Normativa SLTI/MP n 04/2010. Porém, a organização ainda não internalizou tais normas e regulamentos em um processo interno definido e formalizado e isso, de fato, poderá representar um grande avanço em sua capacidade de governança sobre tal processo. Na organização a seleção e o gerenciamento dos fornecedores é realizado segundo critérios legalmente definidos (devido processo legal, análise da capacidade financeira, verificação da situação fiscal, etc.), mas tais critérios não são devidamente monitorados o que aumenta a exposição ao risco de descontinuidade na prestação de serviços contratados. A mitigação dos riscos relativos a esses processos muito depende da definição clara dos papéis e responsabilidades de cada um dos stakeholders (ou, partes envolvidas), ação ainda incipiente na organização. Em razão disso, são deveras factíveis as sugestões realizadas. 46

59 4 MATURIDADE E EXCELÊNCIA EM PRODUTOS DE TI. 4.1 REFERENCIAL TEÓRICO. Segundo NETO (2008; p. 16), ao contrário do que se possa imaginar, o processo de desenvolvimento de softwares pode ser definido de forma similar a qualquer outro produto. Um processo de software maduro e consolidado é um dos fatores críticos de sucesso para que as organizações realizem, de fato, os benefícios planejados e isso se deve em partes ao fato de que o desenvolvimento de softwares representa o maior custo para a maioria dos produtos de TI (COSTA e RESENDE, 2008). A existência de metodologias de desenvolvimento de softwares não é algo novo no setor, tal tema é inclusive tratado por uma norma padrão internacionalmente aceita: a ISO/IEC Essa norma estabelece uma estrutura comum para os processos de ciclo de vida de software, com terminologia bem definida e contendo processos, atividades e tarefas que devem ser aplicados na aquisição, no fornecimento, no desenvolvimento, na operação e na manutenção dos produtos de software (COSTA e RESENDE, 2008). Um processo de software, em suma, é um conjunto de atividades, métodos e procedimentos a serem seguidos no desenvolvimento e manutenção do software, que visa monitorar e mitigar os riscos associados às atividades, garantindo a entrega do produto projetado em nível de qualidade aceitável (TCU, 2012). Uma norma de referência internacional aceita no Brasil para avaliar a maturidade de um processo de software é a ISO/IEC Mormente não ser objeto deste estudo, a tendência atual mostra que as metodologias de desenvolvimento de software baseadas em processos considerados tradicionais vêm cedendo cada vez mais lugar às chamadas metodologias ágeis como Extreme Programming e Scrum que sacrificam o aspecto burocrático em nome da produtividade. Essas metodologias ágeis surgem, assim, como uma reação aos modelos tradicionais e extremamente conceituais, cuja crítica mais frequente é que são burocráticos, ou seja, exigem documentação excessiva e impactam negativamente a qualidade do produto. O cenário vivido pelos órgãos e entidades integrantes da estrutura da Administração Pública brasileira é de crescente terceirização dos serviços de desenvolvimento de softwares, resultando na busca por produtos mais eficientes e menores custos. Ocorre que isso demanda um grande desafio às organizações: gerenciar de forma eficiente o processo de desenvolvimento, principalmente o aspecto de garantir a qualidade do que é entregue.

60 Recente levantamento realizado pelo Tribunal de Contas da União mostra que apenas 20% das instituições públicas pesquisadas possuíam um processo de software definido e que em 40% das instituições desenvolvem produtos de software sem a orientação de um processo, entre as quais, 15% não adotam sequer conceitos de qualidade (TCU, 2012). Esse quadro revela o risco a que as instituições públicas estão submetidas quando o assunto é maturidade e excelência em produtos de TI, haja vista que a ausência de processo de software tende a inviabilizar a avaliação dos serviços contratados, o que possivelmente prejudicará a qualidade do produto gerado, podendo até comprometê-lo (TCU, 2012). Existem hoje no mercado diversos modelos de qualidade para o processo de desenvolvimento, tais como a norma ISO/IEC e o CMMI. Porém, estes apresentam algumas restrições consideráveis à sua adoção por organizações de pequeno e médio porte. É com foco nesse grande segmento que surge como alternativa o Modelo de Melhoria do Processo de Software Brasileiro (MPS.BR). O programa MPS.BR é uma iniciativa brasileira, criada em 2003, para melhoria contínua de processo de software. A Associação para Promoção da Excelência do Software Brasileiro (SOFTEX) é responsável pela coordenação do programa e conta com apoio do Ministério da Ciência, Tecnologia e Inovação (MCTI), da Financiadora de Estudos e Projetos (FINEP), do Serviço Brasileiro de Apoio a Micro e Pequena empresa (SEBRAE) e do Banco Interamericano do Desenvolvimento (BID) (HIRAMA, 2012). O MPS.BR pode ser adotado por todas as organizações cuja qualidade dos produtos de software seja um fator crítico de sucesso. O modelo se apresenta como solução adequada ao perfil de empresas de diferentes dimensões e características, sejam públicas ou privadas, conferindo especial atenção às micro, pequenas e médias empresas. Para seu mantenedor, o MPS.BR é compatível com os padrões de qualidade aceitos internacionalmente e tem como pressuposto o aproveitamento de todas as competências existentes nos padrões e modelos de melhoria de processo já disponíveis. Ele tem por base os requisitos de processos definidos em modelos de melhoria de processo e atende à necessidade de implantar os princípios de engenharia de software de forma adequada ao contexto das empresas, estando em consonância com as principais abordagens internacionais para definição, avaliação e melhoria de tais processos (SOFTEX, 2012). 48

61 4.2 DIAGNÓSTICO NA ORGANIZAÇÃO. Uma das metas estabelecidas do planejamento estratégico de TI que vigorou na organização até o ano de 2012 era o desenvolvimento de novas soluções que automatizassem os processos de trabalho e os instrumentos de execução de suas políticas públicas, bem como a construção de sistemas de informação e bases de dados que registrasse, e monitorassem informações para a formulação e avaliação dessas políticas (IPHAN, 2010). Em 2011 o órgão encerrou um contrato de alocação de mão-de-obra para desenvolvimento e suporte de sistemas de informação e realizou novas contratações para atender às demandas desse segmento. Um dos novos contratos previa desenvolvimento, evolução tecnológica e manutenção de sistemas, porém, abrangia apenas a linguagem de programação Java/JEE 11, o que limitou as evoluções em projetos que adotavam outras tecnologias. Esse contrato propiciou o início da reestruturação do sistema de Cadastro Nacional de Negociantes de Antiguidades e Obras de Arte ( CNART ) e, ao longo de 2012, outros sistemas foram contemplados; como o Sistema de Controle de Processo e Documento ( CPROD ), o Sistema de Gerenciamento do Patrimônio Imaterial ( SGPI ), o Inventário Nacional de Referências Culturais ( INRC ) e o Sistema de Bens Culturais Registrados ( BCR ). Iniciou-se, também, ainda com base nesse contrato e em priorizações feitas pelo Comitê Gestor de TI (COGESTI), o desenvolvimento do Sistema de Gestão de Pessoas SISGEP, em substituição ao legado Sistema de Recursos Humanos ( SISRH ) e do Sistema de Controle de Acesso ao Usuário SISCAU (em substituição a um sistema anterior), cuja função é realizar a administração de usuários e privilégios de acesso a sistemas. Outra estratégia de atendimento a demandas tem sido a contratação para desenvolvimento de produtos específicos, como as realizadas em 2011 para o Sistema Integrado de Conhecimento e Gestão ( SICG ) e em 2012 para o Sistema de Autorização de Intervenções e Fiscalização do Patrimônio Cultural Edificado ( Fiscalis ) primeiro sistema desenvolvido pela organização com base em plataformas móveis. Resumidamente, o IPHAN possui hoje quinze sistemas ou aplicações em produção (nas linguagens JAVA, PHP, ASP e DELPHI); quatro sistemas ou aplicações em fase de desenvolvimento; e outros quatro sistemas em fase de projeto e/ou contratação. O quadro 11 Java Platform, Enterprise Edition (ou JEE, em português Java Edição Empresarial) é uma plataforma de programação para servidores na linguagem de programação Java que, por sua vez, é um software livre sob licença GPL desenvolvido pela empresa norte-americana Sun Microsystems (subsidiária da Oracle Corporation). 49

62 apresentado no ANEXO III detalha as informações de cada um desses sistemas quanto ao objetivo, área gestora, plataforma de desenvolvimento e demais informações técnicas relevantes. Atualmente, não há na organização nenhuma aplicação com recursos de Business Intelligence (BI) nem de Data Warehouse (ou Data Mining). Apesar de algumas unidades de negócio já sinalizarem interesse em utilizar tais recursos (IPHAN, 2010), o foco atual tem sido a integração e a interoperabilidade entre os sistemas já existentes ou em desenvolvimento. Além desses sistemas de informação desenvolvidos sob demanda das áreas de negócio, a organização utiliza intensamente outros produtos de software para viabilizar suas atividades, tais como: a) Software de correio eletrônico (Microsoft Outlook); b) Software de mensagens instantâneas (Microsoft Lync); c) Pacote de softwares (aplicativos) de escritório (Microsoft Office); d) Software de Gerenciamento de Serviços de TI (Microsoft System Center Service Manager); e) Software de gerenciamento de backup e recuperação de dados (IBM Tivoli Storage Manager). Adicionalmente, os técnicos com atribuições voltadas às atividades finalísticas da organização fazem uso de diversos softwares específicos em apoio à execução destas atividades, como por exemplo, software de orçamento para construção civil (PINI Volare); software de desenho assistido por computador (Autodesk AutoCAD) e softwares de tratamento de imagens, desenho vetorial e manipulação de documentos (Corel Draw, Adobe Photoshop, Adobe Acrobat, etc.). Esses demais produtos de TI são em sua maioria pertencentes a plataformas proprietárias já integralmente prontas ou com recursos customizáveis e implicam necessidade contínua de gastos com custeio de licenciamento para uso, suporte e atualização; além do investimento em aquisição de novas licenças devido à expansão da demanda. Como exemplo disso, no final do ano de 2012 o IPHAN realizou a maior licitação 12 de sua história 12 Trata-se do Pregão Eletrônico para Sistema de Registro de Preços n 013/ IPHAN. 50

63 envolvendo licenciamento de softwares proprietários específicos envolvendo um investimento estimado em cerca de R$3,6 milhões de reais. Quanto aos custos e investimentos relacionados ao desenvolvimento e manutenção de sistemas de informação, observa-se que a estrutura de cargos do quadro de pessoal permanente da organização não contempla nenhum cargo com perfil de desenvolvedor de software (programador), assim sendo essas atividades são realizadas exclusivamente através de execução indireta (contratação externa), cabendo aos funcionários públicos do órgão às atribuições de planejar, controlar e fiscalizar tais atividades. Conforme legislação vigente, nomeadamente o Decreto n 2.271/1997, a administração pública adota a estratégia de executar preferencialmente de forma indireta as atividades da área de informática. Porém, não podem ser terceirizadas as atividades que estejam contempladas por cargos efetivos do quadro de pessoal dos órgãos e entidades públicas, nem aquelas consideradas de execução exclusiva do Estado conforme determina o Decreto/Lei n 200/1967, que define como competências fundamentais da Administração Pública as atividades de planejamento, coordenação, descentralização, delegação e controle. Em conformidade com o diagnóstico anteriormente apresentado, a Coordenação Geral de Tecnologia da Informação (CGTI) conta com número restrito de servidores para o desempenho de todo o seu escopo de atividades, situação assim tratada no plano estratégico de TI da organização (IPHAN, 2010): [...] Essa insuficiência é uma dos maiores problemas enfrentados atualmente pela CGTI, apesar do empenho e da dedicação de seus funcionários. Salários defasados, alta rotatividade e redução contínua da capacidade técnica têm provocado dificuldades crescentes na continuidade dos projetos em andamento, impossibilitando implantação de novos. [PDTI IPHAN , p. 132] Essa condição limita o desenvolvimento dos produtos de TI da organização, vez que não há força de trabalho suficiente para alavancar iniciativas mais robustas. Isso ocorre porque a capacidade de trabalho atual já se encontra integralmente consumida pelas tarefas cotidianas e pelos projetos já em andamento e, como essa situação afeta toda a área de TI, ela acaba por fronteirizar a capacidade da organização em prover produtos e serviços de TI para as áreas de negócio. Além disso, a inexistência de um processo interno definido e formalizado para provimento e gerenciamento de soluções de Tecnologia da Informação torna o desenvolvimento, a aquisição e a melhoria da qualidade de produtos e serviços de TI um dos processos mais críticos da área de TI na organização. Dessa forma, um dos desafios com os 51

64 quais a área de TI terá inevitavelmente que lidar é a definição de seus processos internos para em seguida desenvolver uma estratégia de melhoria de produtos de softwares, apoiada em políticas estruturais que lhe garantam sustentação. No que tange ao cumprimento de requisitos legais a organização enfrenta dificuldades comuns a outros órgãos públicos e que advém da própria complexidade das normas e da morosidade resultante do enorme volume de trâmites burocráticos a que estes se submetem. Muito embora tais condições não representem óbice ao cumprimento das leis e normas obrigatórias, elas imputam considerável lentidão aos projetos. 4.3 PROPOSTA DE MELHORIAS E DISCUSSÃO. A adoção de um modelo de referência para melhoria de produtos e serviços de TI parece ser um passo demasiadamente largo diante da condição atual em que a organização se encontra. Porém práticas tais como as sugeridas no modelo MPS.BR em normas e modelos internacionais, como a ISO/IEC 12207:2008, a ISO/IEC 15504:2003 e o modelo CMMI (Capability Maturity Model Integration), podem contribuir na construção dos processos organizacionais relacionados a produtos e serviços de TI desde sua fase estrutural e podem ser adotados pela organização. A necessidade mais urgente a ser atacada é, de fato, o aumento da capacidade técnica interna a área de TI, para responder ao aumento crescente das demandas relacionadas a sistemas de informação. Além disso, a área de TI carece de determinadas habilidades técnicas relacionadas ao controle da qualidade de softwares, essencialmente aquelas relacionadas à medição e a processos de testes. Cabe frisar que a partir da vigência do Decreto/Lei nº 200, de 25 de fevereiro de 1967, a contratação de serviços terceirizados pela Administração Pública Federal passou a ser regulamentada por norma legal. Em obediência a isso, atualmente a contratação de serviços encontra-se regulada pelas disposições da Lei Federal n 8.666/1993 e da Instrução Normativa SLTI/MP n 02/2008 (alterada pela Instrução Normativa SLTI /MP n 03/2009), dentre outros instrumentos jurídicos afetos ao tema. Em relação a esse tema, o artigo 6 da IN SLTI/MP n 03/2009 traça a seguinte diretriz para a contratação de serviços terceirizados pela Administração Pública (BRASIL, 2009): Art. 6º Os serviços continuados que podem ser contratados de terceiros pela Administração são aqueles que apoiam a realização das atividades essenciais ao 52

65 cumprimento da missão institucional do órgão ou entidade, conforme dispõe o Decreto nº 2.271/97. 2º O objeto da contratação será definido de forma expressa no edital de licitação e no contrato, exclusivamente como prestação de serviços, sendo vedada a utilização da contratação de serviços para a contratação de mão de obra, conforme dispõe o art. 37, inciso II, da Constituição da República Federativa do Brasil. [IN SLTI/MP n 03/2009] [grifo nosso]. Conclui-se disso que a terceirização regular alcança somente serviços e não mão-deobra, sob pena de ofensa ao princípio constitucional que prevê a aprovação em concurso público como regra para se estabelecer uma relação jurídica entre o indivíduo e a Administração Pública. Avançando nesse entendimento, tem-se que é legalmente possível contratar a prestação de serviços de apoio técnico especializado às atividades de gestão contratual. Isso porque, embora a gestão de contratos seja atividade indelegável e de execução exclusiva por servidores públicos, o dispositivo legal constante no art. 67 da Lei n 8.666/1993 (BRASIL, 1993) permite que se serviços técnicos de apoio à fiscalização: Art. 67. A execução do contrato deverá ser acompanhada e fiscalizada por um representante da Administração especialmente designado, permitida a contratação de terceiros para assisti-lo e subsidiá-lo de informações pertinentes a essa atribuição. [Lei Federal n 8.666/1993] [grifo nosso]. Considerando que uma das funções do gerenciamento de contratos públicos é acompanhar e garantir a adequada prestação dos serviços contratados, durante todo o período de execução do contrato (BRASIL, 2010), no que se refere aos contratos de desenvolvimento e manutenção de softwares, os serviços técnicos de testes, controle de qualidade e medição de sistemas que podem ser enquadrados como sendo de apoio técnico especializado às atividades de gestão contratual e estes em conformidade com a legislação em vigor podem ser objeto de execução por fornecedores externos. Dessa forma, a sugestão de melhoria consiste em adotar a seguinte distribuição de competências relacionadas aos produtos de TI na organização: a) Atividades de planejamento, supervisão e controle: permanecerão sendo realizadas exclusivamente por servidores públicos preferencialmente aqueles ocupantes de cargos efetivos contando com apoio e suporte da alta administração e das estruturas de gestão e governança do órgão; b) Serviços técnicos de desenvolvimento e manutenção de sistemas: continuarão sendo executados por empresas especializadas, mediante contrato, promovendo 53

66 transferência de conhecimentos ao contratante e sendo remuneradas segundo os resultados apresentados; c) Serviços técnicos de testes, controle de qualidade e medição de sistemas: passarão a serem executados por empresas especializadas, mediante contrato, promovendo transferência de conhecimentos ao contratante e sendo remuneradas segundo os resultados apresentados. Em virtude da já tão alardeada situação da força de trabalho em TI na organização e do fato de que esta não possui servidores do quadro permanente cujas atribuições incluam as características técnicas relativas ao desenvolvimento, manutenção, testes e medição de sistemas de, conclui-se que caso optasse pela execução direta de tais atividades a área de TI não seria capaz de assegurar que tais serviços fossem prestados a contento. Se, por um lado, o órgão não tem condições de assumir a execução integral do escopo de serviços especificados, por outro, a administração não estaria agindo em prol de seus interesses ao entregá-los totalmente a particulares, aumentando o risco de dependência em relação a fornecedores externos. Portanto, considerando que através da execução mista haverá compartilhamento da execução entre o órgão e fornecedores externos contratados dentro de fronteiras de atuação claramente definidas, essa opção mostra-se a mais viavelmente adequada para o atual cenário diagnosticado. Nessas condições, consideradas as características do portfólio de sistemas organizacionais e a possibilidade de tratar as solicitações por projetos à medida que surgem as demandas, a execução mista somada à contratação dos serviços técnicos especializados de medição e controle de qualidade de softwares possibilitaria que a organização passasse a dirigir comandos mais precisos e garantir maior agilidade e flexibilidade na gestão de seus recursos e no atendimento às crescentes demandas relacionadas a sistemas de informação. Assim, enquanto os servidores do quadro permanente se responsabilizarão pelas atividades de planejamento e controle, os fornecedores externos executarão os serviços técnicos especializados de acordo com as especificações, métricas, padrões técnicos de desempenho e qualidade estabelecidos pelo órgão, sendo pagos diante da entrega comprovada de resultados. 4.4 CONSIDERAÇÕES FINAIS. A preocupação com a evolução da qualidade dos produtos de software tem crescido gradativamente nas organizações públicas, tanto que o estudo observou a existência um 54

67 padrão normativo para as contratações de TI (IN SLTI/MP n 04/2010) e um modelo corporativo para desenvolvimento de produtos de software ( Roteiro de Métricas de Software do SISP ). Porém, a organização analisada ainda não internalizou tais padrões formalizando seu processo interno de provimento e gerenciamento de soluções de TI. Outrora isso não implique em ilegalidade, visto principalmente que todas as contratações realizadas para aquisição de produtos e serviços de TI contenham especificação clara de requisitos, níveis de serviço e padrões de qualidade, essa situação caso perdure implicará na exaustão da capacidade técnica da área de TI do órgão isso porque cada contratação adota um conjunto singular de requisitos, critérios de avaliação e artefatos de controle. Quanto à sugestão de melhoria, sua adoção resultará na imediata ampliação da capacidade técnica da área de TI, passando a contar com recursos extras para a realização de atividades técnicas antes absorvidas pela própria equipe interna. Além disso, como esses novos recursos estarão exclusivamente dedicados às atividades requisitadas haverá significativos ganhos de qualidade dos produtos produzidos vez que serão mais incisivamente avaliados e monitorados e isso os tornará mais alinhados aos resultados pretendidos pela organização. Como ponto facilitador à adoção da melhoria sugerida está o fato de que a organização mostra-se aberta a modelos mais dinâmicos e menos burocráticos, tais como as metodologias ágeis de desenvolvimento de softwares, além de contar com boa disponibilidade financeira para novos investimentos em produtos e serviços de TI. Outrossim, com a proximidade do fim da vigência dos atuais contratos com prestadores de serviços de desenvolvimento e manutenção de softwares haverá oportunidade ímpar de implantar a nova divisão de atribuições sugerida neste estudo, sem que haja necessidade de renegociação de contratos ou realocação de profissionais. 55

68 5 GESTÃO DE SEGURANÇA DA INFORMAÇÃO. 5.1 REFERENCIAL TEÓRICO. Atualmente, organizações de todos os setores vivenciam um ambiente corporativo caracterizado pela alta capacidade de acesso, armazenamento, e processamento de informações. Como consequência natural disso, estas organizações estão sendo expostas a um maior grau de vulnerabilidades relacionadas à informação. Este cenário parece ampliar os riscos de ocorrência de prejuízos financeiros às organizações. Porém, os transtornos provocados por incidente de segurança da informação relativos a TI não são apenas onerosos do ponto de vista financeiro (perdas financeiras), eles podem paralisar a capacidade da organização de fabricar seus produtos, oferecer seus serviços e se conectar com os clientes, para não mencionar os danos à sua reputação (CARR, 2009). A informação conjuntamente com seus meios de armazenamento, transmissão e processamento constitui um ativo e, assim sendo, possui valor e para que a organização usufrua tal valor desse ativo de forma livre de perigos e incertezas necessitará atribuir-lhe segurança. Conceitualmente, segurança da informação (SI) consiste na aplicação de controles que visam à proteção de ativos que contém informação (ALVES e ZAMBALDE, 2007). A SI é um processo fundamental para as organizações garantirem a integridade de suas atividades de negócio. A segurança da informação busca proteção contra situações em que prejuízos podem ser causados por conta de danos diretos às informações (ALVES e ZAMBALDE, 2007), garantindo a estas os aspectos de confidencialidade, integridade e disponibilidade. Porém, em face das infinitas variáveis envolvidas na questão, problemas de segurança podem ainda assim ocorrer (naturais, acidentais ou intencionais) sujeitando os ativos de uma organização à probabilidade de uma ameaça se concretizar, gerando o que se chama de incidentes. É nesse cenário de vulnerabilidades e constantes mudança no ambiente de negócio que surge o processo de gestão de riscos, cujo objetivo é identificar e tratar riscos de forma sistemática e contínua (TCU, 2012). Por sua vez, a gestão de riscos é apenas uma das estratégias integrantes da chamada gestão da segurança da informação. Esse processo envolve o planejamento, gerenciamento a proteção e a distribuição dos recursos de informação de acordo com seu core business.

69 A gestão de segurança da informação tem como foco principal as características humanas, organizacionais e estratégicas relativas à segurança da informação. Visa, ainda, à adoção de medidas alinhadas com as estratégias de negócio, a partir de um monitoramento contínuo dos processos, métodos e ações. Assim, em linhas gerais, a gestão de SI é formada pelas ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações (TCU, 2012). Um dos instrumentos estratégicos da gestão de segurança da informação é a Política de Segurança da Informação (PSI). Esta política estabelece os objetivos e práticas de segurança que a organização deve implantar para proteger seus ativos de informação, tratando questões como atribuição de responsabilidades, processos de SI e definição de níveis aceitáveis de risco (ALVES e ZAMBALDE, 2007). Em suma, a PSI faz uma demarcação clara de princípios, objetivos, práticas e responsabilidades em segurança da informação sem os quais não há como se realizar uma efetiva gestão de segurança da informação. Segundo o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República ente responsável por normatizar as práticas e metodologias na área de segurança da informação no âmbito da Administração Pública Federal direta e indireta a Política de Segurança da Informação é um documento aprovado pela autoridade responsável pelo órgão ou entidade da APF, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação (BRASIL, 2009). Ainda, em conformidade com a Instrução Normativa GSI/PR n 01/2008, que regulamenta a aplicação do Decreto n 3.505/2000, é competência de todos os órgãos e entidades da Administração Pública Federal direta e indireta aprovar Política de Segurança da Informação e Comunicações e demais normas de segurança da informação e comunicações (BRASIL, 2008). As boas práticas mostram que o sucesso de uma PSI está diretamente relacionado ao envolvimento e à atuação da alta administração nas organizações. Quanto maior for o 57

70 comprometimento da administração superior com os processos de elaboração e implantação de tal política corporativa, maior será a probabilidade de esta ser efetiva e eficaz. Importante destacar que esse comprometimento deve ser expresso formalmente, por escrito. Outra boa prática quanto à gestão de SI para as organizações públicas é que em sua estrutura exista uma área responsável pela segurança da informação, a qual deve iniciar o processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de designar funções de segurança (TCU, 2012). 5.2 DIAGNÓSTICO NA ORGANIZAÇÃO. A gestão de segurança da informação é uma área crítica para a organização tendo em vista, principalmente, o intenso uso de recursos de TI na execução de atividades administrativas e finalísticas. Nota-se que a maturidade em segurança da informação vem aumentando gradativamente e hoje já há bom nível de conscientização em torno das necessidades e deficiências dessa área; em contrapartida à época anterior onde até a segurança física dos ativos de informação parecia exposta a severas ameaças (IPHAN, 2010). Um fator limitante do avanço da área tem sido a ausência de um mapeamento dos processos de negócio, o que dificulta identificar pontos críticos para implantação de controles de SI. No entanto, essa situação não impede que se possa avaliar a situação geral da organização quanto à gestão de segurança da informação cujos resultados podem ser visualizados na avaliação apresentado no ANEXO I. Avançando nesse diagnóstico, faz-se uma primeira constatação séria: a organização não possui uma política de segurança da informação formalizada e instituída. De fato, a ausência de diretrizes de SI, sintetizadas em uma política corporativa, potencializa os riscos de segurança aos quais a organização está exposta. Essa situação reflete, em tese, a falta de envolvimento da alta administração com relação as suas responsabilidades relacionadas à gestão da segurança da informação. Inclusive a própria Controladoria Geral da União órgão de controle interno da Administração Pública Federal já alertou a autarquia em recente atividade de auditoria sobre os riscos e desconformidades geradas pela ausência de uma PSI. Além da inexistência de uma PSI outras situações que merecem atenção foram diagnosticadas, assim identificadas: 58

71 a) Não há atribuição formal de papéis e responsabilidades em segurança da informação, a área de TI surge como única responsável pela promoção de práticas e controles de SI e, em consequência disso, acaba sendo responsabilizada pelas falhas e incidentes; b) Inexiste uma equipe responsável pelas práticas e controles de SI, tais como tratamento e resposta a incidentes, o que coloca em risco a continuidade dos negócios da organização; c) Não são aplicados processos de gestão de riscos e gestão de continuidade e isso se deve, em grande parte, à inexistência de diretrizes organizacionais para tais processos. Essas diretrizes deveriam emanar da PSI, caso existisse. Se por um lado há falhas estratégicas sérias relacionadas a SI, por outro se verifica que também há pontos fortes, por exemplo, o bom nível de aderência às normas que regulamentam a contratação de soluções de TI e seus procedimentos de definição de requisitos de segurança da informação, análise de riscos relacionadas aos produtos e serviços de TI adquiridos no mercado e também procedimentos de continuidade dos negócios. Cabe citar também que a necessidade de elaborar uma política de segurança da informação é admitida pela organização tendo, inclusive, sido abordada em seu Plano Diretor de TI (IPHAN, 2010). Soma-se a isso o fato de que a organização já conta com boa gama de soluções de SI, tais como sala segura e softwares aplicativos diversos, e empreende considerável esforço para manter, atualizar e ampliar tais ferramentas. Soluções tais como back-up estruturado, certificação digital, desenvolvimento seguro de softwares, gerenciamento de acessos, vídeo monitoramento, dentre outras, já fazem parte do cotidiano da organização e a tendência é direcionar investimentos para ampliação dessas soluções e implantação de novas. Outro ponto importante a considerar é que a própria legislação de segurança da informação em ambientes públicos tem evoluído gradativamente nos últimos tempos e passado a exigir dos órgãos e entidades maior atenção a essa área. De fato há muito que se fazer, mas também há consciência de que a gestão de segurança da informação é uma área crítica para a organização e que medidas deverão ser tomadas para melhor geri-la. 59

72 5.3 PROPOSTA DE MELHORIAS E DISCUSSÃO. Segundo a norma internacional ISO/IEC 27002:2005, uma política de segurança da informação tem por objetivo prover à organização orientações e apoio para implantar controles de SI (TCU, 2012). E, sabidamente, tal documento deve ser produzido e formalizado pelos órgãos e entidades que compõem a Administração Pública Federal (BRASIL, 2008). Considerando as deficiências na organização nessa área e objetivando tratá-las de forma adequada com seu ambiente de atuação, as seguintes ações são sugeridas: a) Produzir e aprovar uma Política de Segurança da Informação; b) Instituir um Comitê Gestor de Segurança da Informação; c) Designar formalmente um Gestor de Segurança da Informação; d) Instituir uma Equipe de Segurança da Informação, responsável pela implementação de práticas de SI e tratamento e resposta a incidentes; e) Destinar investimentos específicos para ações de segurança da informação. Por tratar-se de uma autarquia pública, algumas das ações propostas refletem o atendimento a requisitos de conformidade legal e, além disso, alinham-se às melhores práticas de gestão de segurança da informação reconhecidas e aplicadas internacionalmente. Tais ações propiciarão, ainda, melhoria significativa da capacidade dos processos de gestão e governança de TI. Ao desenvolver sua política de segurança da informação, compor um comitê gestor de e atribuir papéis e responsabilidades em SI a organização dará significativos passos para tratar suas deficiências em gestão de segurança da informação e manter aderência às normas vigentes em seu campo de atuação. A Tabela 5.1, a seguir, mostra como cada iniciativa proposta atacada as deficiências identificadas, responde às necessidades atuais de conformidade e alinha-se a boas práticas: Tabela 5.1: Relação entre ações propostas, deficiências identificadas, princípios de conformidade e boas práticas para a área de gestão de segurança da informação. Ação sugerida Deficiência a ser tratada Princípio de Conformidade Boa Prática Produzir e aprovar uma Política de Segurança da Informação. Inexistência de uma PSI. Decreto nº 3.505/2000 IN GSI/PR nº 01/2008 NC GSI/PR nº 3/IN01 NBR ISO/IEC 27002:

73 Instituir um Comitê Gestor de Segurança da Informação. Atribuição de papéis e responsabilidades relacionadas a SI. IN GSI/PR nº 01/2008 NBR ISO/IEC 27002:2005 Designar um Gestor de Segurança da Informação. Atribuição de papéis e responsabilidades relacionadas a SI. IN GSI/PR nº 01/2008 NBR ISO/IEC 27002:2005 Instituir uma Equipe de Segurança da Informação. Atribuição de papéis e responsabilidades relacionadas a SI. IN GSI/PR nº 01/2008 NBR ISO/IEC 27002:2005 Destinar investimentos específicos para ações de segurança da informação. Falta de recursos para ações de SI. IN GSI/PR nº 01/2008 NBR ISO/IEC 27002:2005 Como destacado no referencial teórico, um dos fatores críticos de sucesso para a implantação de políticas, práticas e controles de SI é o patrocínio da alta administração. Essa condição se materializa no caso em questão: como haverá a demanda por decisões superiores não há como implantar com sucesso as sugestões propostas se não houver bom nível de envolvimento daqueles que, dentro da organização, detêm tal poder de decisão. Adicionalmente, a formalização de uma Política de Segurança da Informação será um passo importante para que a organização produza outras normas internas de SI com base nas diretrizes orientadoras desta política. Aliás, esse viés de estabelecer diretrizes superiores é o mais apropriado para a PSI da organização considerando seu atual estágio de maturidade. Para a área de TI a efetivação de tais ações trará alívio das pressões e responsabilidades que hoje a área assume sozinha, pois além do estabelecimento de diretrizes haverá também o compartilhamento de papéis e responsabilidades. 5.4 CONSIDERAÇÕES FINAIS. Essa fase do trabalho apontou que a organização tem um longo caminho a traçar com respeito aos processos de gestão de segurança da informação. Porém, o quadro geral é positivo, pois há clima organizacional favorável ao desenvolvimento de tais processos. Além disso, a organização possui boa infraestrutura de SI e a alta administração parece estar sensível às necessidades de melhoria das práticas de segurança da informação como fator crítico para a evolução da própria maturidade de sua governança de TI. 61

74 A disponibilidade de recursos humanos para atuar na área de SI principalmente de pessoas com perfil profissional adequado surge como limitante a ser seriamente considerado pela organização. Em vista disso e considerando a boa disponibilidade orçamentária dever-se-ia considerar a possibilidade de ampliar os investimentos em qualificação técnica das equipes quanto à segurança da informação. Outro ponto crítico que merece ser listado é a falta de informações referenciais e suporte por parte dos órgãos governantes superiores para auxiliar os demais órgãos e entidades da Administração Pública Federal na instituição de políticas, controles e instâncias de gestão de segurança da informação. A preocupação maior desses órgãos parece ser a atividade normalizadora quando, principalmente em face da carência de recursos humanos, seus entes subordinados necessitam muito mais de efetivo suporte na internalização e operacionalização das muitas normas instituídas do que de meras normas. Com o uso intensificado de softwares e hardwares específicos para prover níveis de segurança adequados às informações, novas formas de ataques surgem a todo o momento, sendo que, atualmente, as vulnerabilidades de segurança mais exploradas relacionam-se aos sistemas de informação desenvolvidos em desacordo com boas práticas de codificação segura ou não submetidos a testes que validem os controles aplicados. Considerando isso, a política de segurança da informação deveria conter princípios, diretrizes e regras para aplicação de todas as práticas relacionadas a SI, tais como a codificação segura. Disso se extrai que uma PSI pode ser composta por várias políticas inter-relacionadas, como a política de senhas, de backup, de contratação e instalação de equipamentos e softwares, dentre tantas outras. Ademais, quando for conveniente e necessário, a PSI pode ser mais abrangente e detalhada, envolvendo a criação de outros documentos que especifiquem práticas e procedimentos e que descrevam com mais detalhes as regras de uso da tecnologia da informação no ambiente. A PSI é o primeiro de muitos documentos com informações cada vez mais detalhadas sobre procedimentos, práticas e padrões a serem aplicados em determinadas circunstâncias, sistemas ou recursos. Sendo que seus documentos complementares costumam dispor sobre regras mais específicas, que detalham as responsabilidades dos usuários, gerentes e auditores e que normalmente serão atualizados com maior frequência. 62

75 6 GESTÃO DE SERVIÇOS DE TI. 6.1 REFERENCIAL TEÓRICO. Na visão de OLIVEIRA, para que a área de TI consiga consolidar seu papel estratégico e tornar efetiva sua contribuição dentro das organizações é preciso incorporar diferenciais competitivos aos processos de negócio. Nesse contexto, a autora ressalta que [...] o modelo de governança de TI adotado deve ser estruturado tanto com foco na própria organização da TI como no relacionamento e na prestação de serviços aos usuários da área (OLIVEIRA, 2007). Segundo esse conceito as áreas de TI devem adotar uma nova abordagem voltada para serviços, porém para atingir essa condição é necessário haver mudança de comportamentos tanto da área de TI quanto das áreas de negócio (MAGALHÃES e PINHEIRO, 2007). Um serviço consiste em um meio para entregar benefício (ou valor) a um cliente, e tem por objetivo corresponder à razão pela qual foram adquiridos (BERMEJO e TONELLI, 2008). Assim, quanto mais esse serviço corresponder ao seu objetivo de criação maior será seu valor perante o cliente. Atualmente, o termo serviço é aplicado virtualmente em todo contexto da área de TI, sem que haja um claro entendimento do significado que tem hoje. Plataformas tecnológicas e produtos físicos não são serviços, mas, sim, pontos de acesso ou habilitadores dos serviços (MAGALHÃES e PINHEIRO, 2007). Como grande provedora de serviços dentro das organizações, a área de TI é cada vez mais responsável por responder as expectativas das áreas de negócios, tais como aumento da produtividade e da eficiência operacional; redução de riscos e custos nas operações; qualificação, otimização e integração dos processos de negócios; e garantia e disponibilização de informações consistentes, atualizadas e que permitam suportar as decisões. E, obviamente, a TI busca fazer isso ofertando produtos e serviços. Por isso, atualmente, é muito comum que a própria área de TI manifeste o desejo de rever suas práticas com o objetivo de tornar a gestão tecnológica mais eficiente e, principalmente, mais próxima das necessidades das organizações. Para conseguir isso as áreas de TI tem avaliado formas de estruturar seus modelos de governança de maneira a adequarem-se plenamente às tendências e às demandas estratégicas das áreas de negócio, revisando papéis, responsabilidades, processos e procedimentos, assim como o portfólio de

76 produtos e serviços, para que tenham completa aderência aos requisitos de negócio (OLIVEIRA, 2007). As organizações tem passado a melhor compreender que a eficiência operacional da área de TI é um fator crítico de sucesso para seus processos de negócio e que, devido a crescente dependência por esses serviços de TI, falhas podem acarretar perdas significantes. Somam-se a isso as características próprias que diferenciam os serviços de TI dos demais tipos de serviços; tais como a intangibilidade, o alto envolvimento de pessoas em seu ciclo de vida e a produção simultânea ao consumo (MAGALHÃES e PINHEIRO, 2007). Surge assim a necessidade de gerir de forma integrada as pessoas, processos e tecnologias, componentes de um serviço de TI, cujo objetivo seja viabilizar a entrega e o suporte focados nas necessidades dos clientes e de modo alinhado à estratégia de negócio da organização, visando o alcance de objetivos de custo e desempenho pelo estabelecimento de acordos de nível de serviço entre a área de TI e as demais áreas de negócio da organização. É nesse cenário que o modelo de gestão de serviços de TI denominado ITIL 13 começa a ganhar destaque. A Information Technology Infrastructure Library ITIL é um modelo de referência para gerenciamento de processos de TI, formado por um reconhecido conjunto de boas práticas envolvendo infraestrutura, operação e manutenção de serviços. Esse modelo de referência, atualmente em sua terceira versão (denominada v3 ), foi desenvolvido no final dos anos 1980 na Inglaterra pela Central Computer and Telecommunications Agency (CCTA), hoje United Kingdom s Office Of Government Commerce (OGC). A ITIL busca promover a gestão com foco no cliente e na qualidade dos serviços da área de TI, apresentando um conjunto abrangente de processos e procedimentos gerenciais organizados em disciplinas, com os quais uma organização pode fazer sua gestão tática e operacional com vistas a alcançar o alinhamento estratégico da TI com as áreas de negócio (SILVA, 2010). Entre os muitos resultados da implantação desse modelo estão o fortalecimento dos controles e da gestão dos ambientes de TI; a orientação a processos com significativa redução nos tempos de distribuição e execução de serviços; a diminuição gradativa da indisponibilidade de produtos e serviços de TI, causados por falhas no planejamento; a elevação dos níveis de satisfação dos usuários; e a redução dos custos operacionais de TI (SILVA, 2010). 13 ITIL é marca registrada do United Kingdom s Office of Government Commerce (OGC). 64

77 A ITIL habilita o aprovisionamento da organização com serviços de TI de alta qualidade, valorizando o relacionamento com os clientes, o que, por sua vez, permite assegurar cada vez mais o atendimento de suas expectativas, sem esquecer-se das necessidades e das expectativas dos usuários. Isto significa que a área de TI deve prestar seus serviços para a organização de acordo com as necessidades dos seus clientes, ou seja, demais áreas de negócio, fortalecendo o relacionamento da área de TI com os mesmos, bem como dela para com seus parceiros, fornecedores de Tecnologia da Informação e serviços correlatos, pois a área de TI depende deles para a consecução de seus objetivos de nível de serviço na entrega e na operação dos serviços de TI para a organização (MAGALHÃES e PINHEIRO, 2007). Concluindo, a adoção da metodologia ITIL pelas empresas globais pode ser entendida como uma tentativa de redução de custos e padronização de operações, de acordo com as normas regulatórias, como propõem as melhores práticas. De uma forma geral, esta biblioteca vem ganhando muita atenção e empresas com um bom nível de maturidade já veem nela um grande investimento. Embora na esfera privada seja comum a adoção da expressão Acordos de Nível de Serviço (ANS ou SLA, do inglês Service Level Agreement) este termo refere-se a um contrato com cláusulas ajustáveis ao longo da contratação, o que não se coaduna com a legislação de contratos públicos (TCU, 2012). Por outro lado, parece ser um erro comum referir-se ao contrato firmado entre a organização e seu fornecedor externo de TI como um Acordo de Nível de Serviço, na verdade aquele documento, de aspecto mais formal, é o Contrato de Apoio (do inglês Underpinning Contract), que também pode e deve envolver a definição de níveis de serviço, mas não se configura um ANS propriamente dito. Por essas razões, as organizações públicas tem evitado o uso do conceito integral de Acordo de Nível de Serviço e, em seu lugar, fazem referência a expressões tais como Níveis Mínimos de Serviço Exigido (NMSE) (TCU, 2008). Em relação aos processos de gestão de serviços de TI descritos em ITIL informações coletadas sugerem uma tendência de valorização destes pelas organizações públicas, tanto que a adoção de práticas relacionadas ao modelo tem avançado significativamente nos últimos anos conforme demonstram levantamentos realizados pelo Tribunal de Contas da União nos anos de 2010 e 2012, cujos resultados comparativos são apresentados na Figura 6.1 a seguir: 65

78 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% Figura 6.1: Gráfico comparativo da evolução na adoção de processos de gestão de serviços de TI baseados em ITIL na Administração Pública brasileira Resultados de levantamentos realizados nos anos de 2010 e 2012 (TCU, 2012). Esse aumento da aceitação de ITIL entre os gestores públicos de TI se dá em função das melhorias que as práticas podem proporcionar em um departamento de TI. Entre os benefícios, destacam-se: garantia e ganho de qualidade dos serviços, melhoria no cumprimento de prazos de entrega e geração de melhores condições de segurança e solução de problemas. 6.2 DIAGNÓSTICO NA ORGANIZAÇÃO. Observa-se que a organização vem, ao longo dos anos, empreendendo um esforço significativo na implementação de melhorias em seus processos de gestão, nota-se a existência de diversas iniciativas que traduzem muito bem esse esforço, como a elaboração de um planejamento estratégico organizacional e de um plano setorial de TI. No entanto, a organização ainda não promoveu o mapeamento de seus processos de negócio, prova disso é durante o estudo foram identificados raros processos institucionais minimamente mapeados. Assim, devido à ausência desse mapeamento torna-se complexa a tarefa de identificar processos críticos para a organização. Não que esses inexistam, mas, antes, que não há qualquer parâmetro ou critério analítico para identificar e monitorar os processos que de fato impactam criticamente o negócio da organização. Após os levantamos realizados conclui-se que na organização o processo de gerenciamento de níveis de serviço é notadamente informal, sendo a própria área de TI 66

79 responsável por definir, monitorar e avaliar tanto os níveis mínimos de serviço (ANS) quanto os acordos de nível operacional (ANO). Não há artefatos que fundamentem a formalização do processo, tais como um acordo formal de níveis mínimos de serviços entre as áreas de negócio e a área de TI. Nota-se, porém, que a área de TI inclui em todos os contratos com fornecedores externos os níveis mínimos de serviço que este deve cumprir e as sanções caso não os cumpra. Recentemente a Controladoria Geral da União (CGU), após trabalho de auditoria, notificou o órgão quanto à inexistência de processos formais de gestão de níveis de serviço. Tal situação levou a organização a implantar uma ferramenta proprietária desenvolvida pela Microsoft denominado System Center Service Manager (Microsoft SCSM), porém, além das grandes dificuldades técnicas encontradas na implantação e customização da solução e de seu elevado custo financeiro, a iniciativa ainda não capitalizou benefícios maiores em virtude do atual modelo de contrato não ser baseado totalmente em níveis de serviço. Atualmente, apenas a gestão dos níveis de serviço da empresa provedora de suporte a usuários e à infraestrutura está amparada por esta ferramenta. Sendo assim, embora a organização adote um conceito de central de serviços de TI, o processo de gestão de níveis de serviço não apresenta fino alinhamento aos preceitos da biblioteca ITIL v3 fato que impede a organização de capitalizar maiores benefícios de tais práticas. Parte do problema advém da falta de envolvimento das áreas demandantes em relação à gestão dos próprios serviços demandados, prevalece a concepção de que basta-lhes esses serviço estarem meramente operantes sendo atribuição exclusiva da área de TI aferir a qualidade e garantir a continuidade. Assim, a TI surge como a principal e talvez única área envolvida no processo, vez que está sob sua responsabilidade firmar e fiscalizar os níveis mínimos de serviço exigidos dos provedores de serviços de TI para a organização. Tal situação potencializa o risco na gestão dos fornecedores externos da área de TI, sobrecarrega a área e reprime o desenvolvimento dos serviços providos, vez que não há preocupação das áreas demandantes em analisar a qualidade do que lhes está sendo entregue em face de sua real necessidade. 6.3 PROPOSTA DE MELHORIAS E DISCUSSÃO. Em análises anteriores concluiu-se que a organização possui dois processos críticos, cuja aplicação de melhorias baseadas no framework COBIT 5 seriam capazes de alavancar 67

80 fortes resultados: o processo de identificação e desenvolvimento de soluções de TI (BAI3) e o processo de gerenciamento de fornecedores (APO10). Para potencializar tais melhorias, porém agora com foco no gerenciamento de serviços de TI, algumas das práticas de gerenciamento de nível de serviço na organização podem ser alteradas com foco na otimização do processo crítico de gerenciamento de fornecedores de TI (referenciado pelo processo APO10 do framework COBIT 5) e às práticas previstas na biblioteca ITIL v3. Considerando-se que na organização o principal objetivo de negócio relacionado à área de TI é garantir a continuidade e disponibilidade de serviços do negócio, o processo de gerenciamento de fornecedores participa no atingimento desses objetivos ao passo que se relacionam com a própria finalidade deste processo, cujo objetivo é minimizar o risco associado ao baixo desempenho de fornecedores e assegurar condições competitivas para os produtos e serviços de TI contratados pela organização. Assim para complementar o processo de gerenciamento de fornecedores a organização necessita lançar mão de práticas de gestão de níveis de serviço, processo esse presente na fase de desenho de serviços na biblioteca ITIL v3. O gerenciamento de nível de serviço, cujo principal papel envolvido é o de gerente de nível de serviço, é responsável por garantir um entendimento claro entre as necessidades do cliente e o que o provedor de serviços deverá entregar. Seu objetivo central é assegurar que um nível de serviço de TI acordado seja fornecido para todos os serviços atuais e que serviços futuros sejam entregues dentro de metas alcançáveis. Para isso o processo deve atender as seguintes condições: a) Definir, documentar, acordar, monitorar, medir, reportar e revisar o nível dos serviços de TI ofertados; b) Fornecer e melhorar o relacionamento e comunicação entre negócio e clientes; c) Assegurar que metas específicas e mensuráveis sejam desenvolvidas para todos os serviços de TI; d) Monitorar e melhorar a satisfação do cliente com a qualidade do serviço entregue; e) Assegurar que cliente e TI tenham uma expectativa clara e não ambígua sobre o nível de serviço a ser entregue; 68

81 f) Assegurar que as medidas proativas para melhorar os níveis de serviço são aplicadas sempre que seja economicamente justificável fazê-las. Nesse ponto sugere-se que a organização implante práticas de gestão de nível de serviços em duas frentes de atuação da área de TI: a de suporte a usuários e à infraestrutura e a de sistemas de informação. Como, sabidamente, a organização possui uma forte limitação de recursos humanos em TI e sua estratégia de provimento de produtos e serviços de TI é a contratação junto à fornecedores externos, o cenário ideal para implantar a melhoria desejada no processo de gerenciamento de nível de serviço e na própria qualidade e viabilidade econômica destes seria realizar contratações exclusivamente com base em níveis de serviços, sem a adoção de práticas tais como a alocação de postos de trabalho ou quaisquer outras que não vincule a remuneração do contrato segundo resultados. Na área de suporte a usuários e à infraestrutura essa melhoria parece mais próxima de ser adotada tendo em vista que o atual contrato de provimento encerrar-se-á ainda no ano de 2013 e que já há uma ferramenta de gestão de serviços em uso por essa área construindo um histórico temporal desse serviço será possível adotar já para o próximo contrato um modelo de prestação baseado exclusivamente em nível de serviço. Para a área de sistemas de informação o caminho a ser percorrido é maior, principalmente tendo em vista que não existem acordos formais de nível de serviço entre a área de TI e as áreas gestoras de sistemas de informação. Sendo assim, a organização investigada precisa primeiro caminhar no sentido de formalizar um processo de gestão de níveis de serviço visando aproximar as áreas de negócio da área de TI e construir um entendimento corporativo entre essas partes com foco em conhecer a real necessidade de cada sistema e em otimizar os investimentos em infraestrutura tecnológica, vez que dominando a demanda haverá melhor entendimento sobre a capacidade que a TI deverá suportar e que investimentos necessitará realizar para atender a evolução dessa demanda situação hoje precariamente conhecida. Por outro lado, a própria área de sistemas de informação surge como demandante de serviços críticos de TI ao passo que também contrata fornecedores externos para desenvolver e manter os sistemas de informação da organização. Nesse prisma cabe a ela fixar, monitorar e avaliar níveis de serviço para tais prestadores, porém, como sua capacidade interna de trabalho também é limitada, as rotinas do setor acabam monopolizando o esforço da equipe 69

82 sendo necessário buscar outras formas de realizar as atividades de controle de qualidade dos serviços prestados. Nesse cenário a contratação dos serviços técnicos de medição e controle de qualidade das atividades de desenvolvimento e manutenção de sistemas será capaz de prover à organização a capacidade operacional necessária para formalizar, implantar e manter o processo de gestão de serviços também na área de sistemas de informação. Essa sugestão foi apresentada no estudo de maturidade e excelência em produtos de TI e, portanto, mostra-se alinhada às necessidades da organização. Os benefícios com a implementação dessas melhorias para a organização irão desde a entrega de serviços com qualidade melhorada, passando por desempenho mais efetivo desses, até ganhos significativos na capacidade da governança de TI. 6.4 CONSIDERAÇÕES FINAIS. Em termos organizacionais, uma área de TI orientada a serviços será muito diferente daquela que adota o modelo baseado na disponibilização de recursos, também conhecido como tradicional. Essa diferença pode ser resumida da seguinte forma: a TI tradicional define a si mesma como uma provedora de tecnologia, trabalhando de dentro para fora ; enquanto que a TI orientada a serviços se autodefine como uma provedora de serviços, trabalhando de fora para dentro (MAGALHÃES e PINHEIRO, 2007). Tais perspectivas de atuação também representam diferentes atributos das culturas centralizadas na tecnologia e no cliente, respectivamente. Com base nisso e no diagnóstico realizado se pode concluir que a área de TI da organização enquadra-se dentro do conceito de TI tradicional, porquanto se apresenta mais como uma provedora de tecnologia do que de serviços. No que tange à aplicação dos conceitos e práticas de gestão de serviços de TI, conclui-se que a gestão de acordos de nível de serviço é um instrumento relevante na busca e no controle da qualidade do serviço prestado pela área de TI aos seus clientes. A falta desse tipo de gestão aumenta as chances de insatisfação entre os usuários e os riscos de perda de foco nos investimentos. O mesmo tipo de preocupação deve existir na relação com fornecedores. Processos de gestão de nível de serviço são essenciais para que se garanta a qualidade dos serviços recebidos e que sua remuneração se dê por resultados, como preconiza o art. 6º do Decreto nº 70

83 2.271/1997, em alinhamento com os princípios da eficiência e da economicidade (Acórdão nº 1.215/2009-TCU-Plenário). Em uma análise geral pode-se dizer que a organização tem amplas condições de realizar significativas melhorias relacionadas à gestão de serviços de TI. Dentre os pontos positivos encontram-se a boa capacidade técnica dos recursos humanos da área de TI e a crescente evolução dos investimentos orçamentários neste segmento. Por outro lado, a falta de mapeamento, definição e formalização dos processos diretamente relacionados à gestão de serviços de TI tais como o processo de aquisição de soluções de TI, o de gerenciamento de fornecedores e o próprio processo interno de gestão de níveis de serviço representam importantes entraves que necessitam ser superados para que as melhorias sejam bem sucedidas em longo prazo. Devido a essa falha, conforme verificado no diagnóstico, atualmente não há formalização dos Acordos de Nível de Serviço. O que significa dizer que a TI não possui acordos formais internos com as áreas de negócio envolvendo a qualidade e a continuidade de seus serviços e isso pode estar levando a organização a investir demasiadamente em infraestrutura tecnológica para suportar uma demanda por serviços não dimensionada. Essa situação, em suma, é reflexo direto da forma isolada com que é praticada a gestão de serviços de TI (gestão por contrato/fornecedor), inexistindo o monitoramento sistemático de níveis de serviço e uma visão conjuntural do setor. A principal justificativa para agregar melhorias à gestão de serviços de TI diz respeito ao atendimento ao princípio fundamental da eficiência. A Administração Pública não pode abrir mão, ao seu talante, de recursos e métodos que visem a ampliar a eficiência de suas ações, assim ao propiciar condições de melhor monitorar os resultados dos investimentos públicos esta estará prestando fundamental contribuição ao atendimento de suas finalidades precípuas. 71

84 7 CONCLUSÕES. Mesmo com o avanço dos conceitos e práticas de governança e gestão as organizações ainda percebem a área de TI como uma grande caixa preta (MANSUR, 2007) e isso se deve, essencialmente, em razão das dificuldades na demonstração de resultados. Este trabalho pôde averiguar tal situação ao atestar que na organização estudada também existe essa visão negativa sobre a área de TI. Comprovada diante da das seguintes falhas estratégicas diagnosticadas: a) Provimento de serviços de TI de forma inadequada: o estudo apontou a inexistência de práticas de gestão de níveis de serviço, como a definição de serviços críticos e negociação de níveis de serviço com as áreas de negócio, o que vem fazendo com que a área busque entregar todos os serviços dentro de um nível geral de qualidade e, assim, investindo em recursos sem conhecer a real necessidade; b) Ausência de processos, fluxos e procedimentos definidos: diagnosticou-se que alguns processos críticos como os processos de aquisição de soluções de TI, priorização de demandas, gestão de níveis de serviço, gestão de segurança da informação, etc. não estão satisfatoriamente definidos e formalizados, o que leva a incertezas quanto a fluxos e procedimentos de trabalho e faz crescer a percepção de que não há comunicação adequada entre a TI e seus usuários; c) Gasto excessivo com infraestrutura de TI: notou-se que existe a percepção de que não há uma correta demonstração de resultados dos investimentos em infraestrutura. Como não há divulgação de relatórios de disponibilidade, nível de atendimento e uso de recursos de TI apenas os gastos saltam aos olhos, porém, mesmo diante da compreensão da complexidade tecnológica e do tamanho da infraestrutura da organização, nem os próprios gestores de TI sabem precisar com clareza quais os resultados (entrega de valor) dos investimentos em infraestrutura de TI e isso parece coadunar com a cultura existente de comprar infraestrutura sem conhecer a real necessidade. Essa situação leva á percepção de que as justificativas para os investimentos em infraestrutura são insuficientes ou pouco fundamentadas. d) Pouco sincronismo entre a área de TI e as áreas de negócio: trata-se da carência de alinhamento estratégico entre TI e negócio e com base no estudo conclui-se que há a percepção de que a área de TI da organização age, em alguns aspectos, mais

85 reativamente do que planejadamente. A aproximação com os gestores de negócio pode auxiliar a desconstruir essa imagem negativa; e) Atrasos em projetos de TI: essa percepção é talvez a mais comum e abrangente entre as áreas de TI nos mais diversos tipos de organização (MANSUR, 2007), porém, no caso analisado nota-se que tais atrasos têm origem em situações críticas, como a frequente alteração de requisitos e a falta de sincronismo entre os participantes dos projetos, que podem ser tratadas através da melhor definição de fluxos e processos de trabalho. Assim, ao identificar a atual situação quanto à governança de TI na organização, o estudo também aponta alguns desafios que necessitam ser enfrentados pela área de TI buscando melhorar sua percepção de entrega de valor e amadurecer suas práticas de gestão e governança: a) Incremento na efetividade dos serviços de TI: a gestão de serviços de TI (incluindo gestão de portfólio, gestão de catálogo de serviços e gestão de nível de serviços) necessita ser formalizada, clarificada e comunicada, juntamente com os Acordos de Nível de Serviço (Níveis Mínimos de Serviço Exigidos) e seus respectivos custos. Tal incremento pode dar-se pela aplicação das práticas de gestão de serviços de TI sugeridas nesse estudo, envolvendo a extinção de falhas operacionais, definição de fluxos de informação, mapeamento de processos, dentre outras medidas. b) Extensão do ciclo de vida da tecnologia: a organização necessita colocar em prática metodologias de avaliação de ativos de TI, fundamentando a análise nos custos e benefícios e não em justificativas subjetivas, ou seja, toda vez que a manutenção de um ativo for mais onerosa que seu valor residual este será o momento para sua troca. Recentemente a organização publicou sua política de renovação de estações de trabalho (desktops e notebooks) e isso, de fato, representou um grande avanço que será traduzido em significativos ganhos com o planejamento do ciclo de vida desses equipamentos, porém, faz-se necessário expandir tal filosofia aos demais ativos de TI. c) Racionalização da capacidade instalada e dos gastos com infraestrutura: a área de TI necessita melhor planejar o uso e a evolução de sua infraestrutura tecnológica. De fato o ambiente tecnológico da organização parece estar se tornando 73

86 demasiadamente complexo em virtude da grande parafernália de soluções que o compõe, tal complexidade eleva custos e dificulta a gestão da TI. Ao passo que os investimentos atuais estejam sendo feitos apenas em face da própria expansão da capacidade dos recursos de TI em si, estes deveriam ser justificados em razão de benefícios e melhores resultados para a organização há muito que evoluir em relação ao planejamento da infraestrutura de TI. d) Remoção de gargalos: nota-se que o ambiente de TI muitas vezes impacta negativamente o ambiente de negócio da organização. Assim, um dos desafios da área de TI é estar mais bem sincronizada com as demais áreas da organização em especial as áreas de negócio visando a promover melhor alinhamento entre sua capacidade de atendimento às demandas e as expectativas das áreas demandantes. Por outro lado, manter a aderência à evolução do negócio ajudará a TI a dinamizar o fluxo de ajustes exigidos em infraestrutura, serviços e projetos em função de mudanças no negócio. Se por um lado os desafios são grandes, por outro o estudo também demonstrou como a aplicação de conceito e práticas relacionadas aos diversos segmentos analisados podem ajudar a organização a ter sucesso em superar tais desafios. Isso porque essas práticas contribuirão efetivamente para melhorar a operação atual da TI ao passo que construirão uma melhor visão de posicionamento futuro e de objetivos de longo prazo para a área. Outra conclusão importante é que ao implantar melhorias em uma determinada área estas irão inevitavelmente impactar positivamente outras áreas, isso ocorre porque os processos de gestão e governança de TI não são estanques e, em sua maioria, estão estreitamente inter-relacionados. De forma geral, as principais deficiências da organização que impactam negativamente a implementação da governança de TI dizem respeito à sensibilização da alta administração com respeito ao papel estratégico dessa área e ao fato de que as melhorias estejam relacionadas ao esforço heroico de determinadas pessoas concebido em razão de suas habilidades e comprometimento pessoal com a melhoria da gestão pública e não em uma cultura organizacional fundamentada em processos bem definidos. Assim, muito embora a TI tenha ao longo dos anos melhorado seu conceito na organização, ainda não há plena compreensão de sua função estratégica, principalmente quando considerado que nesse cenário de atuação (setor público) a entrega de valor pela TI é de difícil percepção. 74

87 O desafio de governar uma área de TI, embora seja há muito tempo do interesse da comunidade de TI, apenas tornou-se recentemente uma preocupação da alta direção das organizações. O alinhamento estratégico da área de TI com as áreas de negócio parece ser o assunto do momento no mercado privado, bem como suas diversas abordagens. Tal situação parece não contrastar de forma significativa da visão geral que se tem a respeito da governança de TI dentro do setor público, surgindo como um tema mal definido, com limites obscuros e pouco compreendido pelos profissionais da área (RODRIGUES, 2010). Ocorre que, sabidamente, a adoção de práticas de governança de TI em muito contribui com o avanço da governança corporativa das organizações. Isso porque a governança de TI tem por princípios prover direção estratégica à área, realizar divisão de responsabilidade, monitora a gestão, dotar o negócio de conformidade e prestar contas dos investimentos feitos conceitos estes que afetam diretamente a própria governança corporativa. Além disso, implantar práticas de governança de TI ajuda as organizações a aumentar a capacidade de resposta de suas áreas de TI às pressões internas e externas a que são submetidas. Assim, essas práticas surgem também para fazer frente a tais pressões através de ações isomórficas capazes de proteger a organização. A Figura 7.1, a seguir, demonstra alguns dos fatores que motivam a implantação da governança de TI e que traduzem as pressões internas e externas sofridas pela área: Figura 7.1: Fatores motivadores para adoção de práticas de governança de TI. 75