Governança de TI no Setor Público Brasileiro

De Wiki-Gov

Para se analisar as pressões institucionais a que se submete a Governança de TI em organizações do setor público brasileiro, utilizar-se-á, como referência amostral, os órgãos da administração direta, autárquica e fundacional do Poder Executivo Federal, integrantes do SISP (Sistema de Administração dos Recursos de Informação e Informática do Governo Federal). Tal escolha se justifica pela abrangência, similaridade de objetivos e vinculação governamental inerentes a esse significativo segmento da Administração Pública Federal.


Tabela de conteúdo

A Estrutura da Governança do Governo Brasileiro

O SISP foi criado por meio do Decreto 1048/1994 com a seguinte finalidade:

I - assegurar ao Governo Federal suporte de informação adequado, dinâmico, confiável e eficaz;
II - facilitar aos interessados a obtenção das informações disponíveis, resguardados os aspectos de sigilo e restrições administrativas ou previstas em dispositivos legais;
III - promover a integração entre programas de governo, projetos e atividades, visando à definição de políticas, diretrizes e normas relativas à gestão dos recursos do Sistema;
IV - estimular o uso racional dos recursos de informação e informática, no âmbito da Administração Pública Federal, visando à melhoria da qualidade e da produtividade do ciclo da informação;
V - estimular o desenvolvimento, a padronização, a integração, a normalização dos serviços de produção e disseminação de informações, de forma desconcentrada e descentralizada;
VI - propor adaptações institucionais necessárias ao aperfeiçoamento dos mecanismos de gestão dos recursos de informação e informática;
VII - estimular e promover a formação, o desenvolvimento e o treinamento dos servidores que atuam na área de informação e informática.
(Decreto 1048/1994)

O SISP congrega os setores de Tecnologia da Informação descritos como unidades de modernização e informática dos Ministérios e órgãos da administração direta e unidades correlatas nos órgãos e entidades das autarquias e fundações do poder executivo federal, distribuídos em todo o território nacional, e apresentam a seguinte estrutura, em conformidade com o artigo 3º do Decreto nº. 1048:

I - como Órgão Central: a Secretaria da Administração Federal da Presidência da República, representada pela Subsecretaria de Planejamento, Coordenação e Desenvolvimento Gerencial e Organizacional;
II - a Comissão de Coordenação, formada pelos representantes dos Órgãos Setoriais, presidida por representante do Órgão Central;
III - os Órgãos Setoriais, representados junto à unidade gestora do Sistema pelos titulares das unidades de modernização e informática dos Ministérios Civis e equivalentes nos Ministérios Militares e Secretarias da Presidência da República;
IV - os Órgãos Seccionais, representados pelos dirigentes dos órgãos que atuam na área de administração dos recursos de informação e informática, nas autarquias e fundações.
(Decreto 1048/1994)

Os órgãos integrantes do SISP estão subordinados hierarquicamente aos Ministros de Estado e ao Presidente da República, conforme artigo 76 da Constituição Federal/1988, dentro da estrutura de governança governamental brasileira. Porém, nos Órgãos Setoriais, as áreas responsáveis pela Tecnologia da Informação subordinam-se, na maioria das vezes, à Subsecretaria de Planejamento, Orçamento e Administração (SPOA), no quarto nível de vinculação hierárquica à autoridade ministerial. Alguns ministérios, por iniciativa de sua autoridade máxima e avocando a competência de criar a estrutura organizacional do órgão, nomeiam o responsável pela área de TI em cargo do terceiro nível hierárquico (Diretoria, Assessoria Especial, Chefe de Departamento etc.). Essa elevação vincula o chefe da TI ao Secretário Executivo e possibilita ampliar a participação da TI nas discussões estratégicas do órgão.

No caso dos Órgãos Seccionais também não há padronização e os responsáveis pelo gerenciamento da TI nas Autarquias e Fundações podem estar subordinados à principal autoridade do órgão ou podem estar em níveis inferiores. De qualquer modo, estarão sempre em terceiro ou quarto nível de subordinação à autoridade ministerial.

O baixo nível na hierarquia do órgão e o foco na entrega de produtos e serviços conferem às atividades das áreas de TI integrantes do SISP características de gerenciamento de uma área de TI e não permite ao chefe da TI a responsabilidade de exercer a Governança de TI.

No Poder Executivo Brasileiro, os conceitos de governança governamental, Governança Corporativa e Governança de TI não estão difundidos, porém, a partir das definições conceituais presentes no Referencial Teórico, é possível correlacionar as funções das áreas de governo para claramente identificar aquelas responsáveis pelos níveis de governança.

As ações do Presidente da República e dos Ministros de Estado se enquadram no conceito de governança governamental, pois estabelecem políticas e programas de governo para atendimento de metas sociais.

A Governança Corporativa dos órgãos integrantes do SISP melhor se enquadra nas atividades estratégicas definidas pelos Secretários Executivos dos Ministérios e pelos principais gestores das autarquias e fundações – todos subordinados a uma autoridade ministerial, para cumprimento de objetivos e metas dos programas governamentais.

Por outro lado, a Governança de TI seria de responsabilidade do nível hierárquico subseqüente, a Subsecretaria de Planejamento, Orçamento e Administração (SPOA), também responsável pelas áreas de logística, recursos humanos e orçamento. Porém, a partir do conceito de Governança de TI adotado nessa pesquisa, segundo o qual a “GTI é um sistema de diretrizes e regras sobre o uso da TI, com o objetivo de agregar valor às estratégias organizacionais”, até o momento não foram identificadas boas práticas de governança de TI exercidas pelos SPOA. Para suprir essa lacuna, algumas autoridades ministeriais (Ministro e Secretário Executivo) incorporam essa atividade, confundindo-a com a Governança Corporativa.

Na figura 4 é apresentada a estrutura hierárquica esquemática da governança no setor público brasileiro, envolvendo os órgãos integrantes do SISP e unidades hierárquicas superiores.

Estrutura hierárquica simplificada da governança no setor público brasileiro

Figura 4 – Estrutura hierárquica simplificada da governança no setor público brasileiro.

Os Órgãos Normatizadores

O inciso I do parágrafo único da Constituição Federal/1988 declara que aos Ministros de Estado compete “exercer a orientação, coordenação e supervisão dos órgãos e entidades da administração federal na área de sua competência...”. Assim, dentro de sua área de competência, os Ministros de Estado podem criar Normas e Instruções que orientem e determinem procedimentos aos órgãos subordinados.

Em situações específicas, mediante amparo em instrumento legal, ou por delegação do Presidente da República, normas podem ser emitidas para cumprimento por todos os órgãos do Poder Executivo Federal. É o caso do Decreto 6081/2007, que atribuiu ao Ministério do Planejamento, Orçamento e Gestão – MPOG a competência funcional sobre a “coordenação e gestão dos sistemas de administração de recursos da informação e informática [...], bem como das ações de organização e modernização administrativa do Governo Federal” de todos os órgãos integrantes do SISP (Sistema de Administração dos Recursos de Informação e Informática do Governo Federal), composto pelas áreas de modernização e informática da administração direta, autárquica e fundacional.

As Instâncias de Controle

Para garantir o cumprimento do conjunto de Normas, Decretos e Leis que regulam as atividades, procedimentos e decisões dos agentes públicos, foram instituídos o Controle Externo e o Controle Interno. Além disso, a sociedade também atua, direta ou indiretamente, para que os interesses públicos sejam preservados – essa iniciativa da população foi denominada Controle Social.

Situação Atual da Governança de TI no Governo Brasileiro

O Tribunal de Contas da União tem realizado várias auditorias na área de TI dos órgãos do Governo Federal. Para CAVALCANTI, 2008 (p.11), dois trabalhos se destacam:

  • o Levantamento da Governança de TI na Administração Pública Federal – que consolidou respostas de 255 organizações públicas a questionários que avaliavam os processos de aquisição de bens e serviços de TI, de segurança da informação, de gestão de recursos humanos de TI e das principais bases de dados e sistemas da Administração Pública Federal, conforme Acórdão 1603/2008; e
  • a Auditoria de Governança e Terceirização de TI – que envolveu 12 órgãos do setor público, onde foram avaliados os processos de aquisição e gestão de serviços terceirizados, conforme Acórdão 2471/2008.

Apesar do levantamento da GTI em 255 organizações públicas brasileiras ter se restringido à análise das respostas a questionários e dos respectivos documentos anexados, os procedimentos de auditoria, registrados no Acórdão 1603/2008, permitiram traçar um mapa do nível de aderência aos elementos basilares do conceito de Governança de TI. A seguir são apresentadas as falhas apontadas pelo TCU que evidenciam a falta de aderência a esses basilares.

Alinhamento estratégico entre a TI e os negócios / Entrega de valor pela TI

Alinhamento estratégico entre a TI e os negócios e entrega de valor pela TI à organização são dois elementos de GTI interligados num binômio de causa e efeito. Por um lado, alinhamento estratégico é uma importante força motriz para se alcançar valor por meio de investimentos em TI. (ITGI, 2003, p.20; GULDENTOPS, 2003 apud VAN GREMBERGEN; DE HAES; GULDENTOPS, 2004, p.7). Por outro, o valor que a TI agrega aos negócios é função do grau pelo qual a área de TI está alinhada com os negócios e atinge suas expectativas. (ITGI, 2003, p.20).

A interdependência entre o primeiro processo do COBIT 4.1, “PO1 – Definir um Planejamento Estratégico de TI”, e seus objetivos de controle “PO1.1 – Gerenciamento do Valor da TI” e PO1.2 – Alinhamento dos negócios e TI” (ITGI, 2007, p.30), expressa a necessidade de se planejar estrategicamente a área de TI e de garantir que suporte os direcionamentos estratégicos da organização. No setor público brasileiro, essa definição é corroborada pelo TCU que, no Acórdão 1603/2008 (p.6), demonstra ser fundamental o alinhamento de todos os planos, recursos e unidades organizacionais para que o planejamento estratégico da organização pública tenha êxito. Desse modo, o planejamento estratégico de TI deve estar alinhado com o planejamento estratégico da organização para o estabelecimento das prioridades e das ações a serem realizadas na área de TI.

É baixo o nível de aderência das organizações públicas brasileiras a esses dois elementos da GTI, pela inexistência de planejamento estratégico institucional e de TI, como pode ser evidenciado pelos registros do Acórdão 1603/2008 (p.6):

  • Ausência de planejamento estratégico institucional em 47% dos 255 órgãos/entidades pesquisados. Essa forma de atuação dificulta o planejamento das ações de TI.
  • Ausência de planejamento estratégico de TI em 59% das organizações pesquisadas. Ressalte-se que entre os órgãos que apresentaram documento de planejamento estratégico de TI, a maioria se referia a “plano de ação anual” ou “projetos de plano”, insuficientes para apoiar os projetos de média e longa duração comuns nas áreas de TI.

Assim, o alinhamento estratégico entre a TI e os objetivos finalísticos não tem sido realizado na maioria dos órgãos da Administração Pública Federal. Para o TCU, as conseqüências dessas fragilidades são:

a) Suporte ineficaz da área de TI na consecução da missão da organização;
b) Decisões dos gestores de TI incompatíveis com as necessidades da organização;
c) Alocação indevida de recursos de TI por falta de entendimento sobre as prioridades da organização;
d) Desperdício de recursos devido a decisões erradas acerca da alocação de recursos de TI.
(Acórdão 1603/2008, p.7)

Como conseqüência da falta de alinhamento estratégico, não há como evidenciar o valor entregue pela TI.

Gerenciamento dos riscos relacionados à TI

Para o ITGI, 2003 (p.19), a Governança de TI está preocupada com duas coisas: “que a TI entregue valor para os negócios e que os riscos sejam mitigados...”.

A dependência das organizações às soluções de Tecnologia da Informação tem tornado mais relevantes os riscos referentes à tecnologia. Fragilidades e indisponibilidades nos sistemas e na infraestrutura utilizados pelas organizações podem causar perda de negócios e prejuízos financeiros e de imagem. (HUGHES, 2006 apud LUNARDI, 2008, p.57). Para Gerber e Solms (2005 apud LUNARDI, 2008, p.58), o gerenciamento dos riscos de TI não protege somente a tecnologia, mas também os negócios da organização, vez que garante proteção às informações corporativas e pessoais.

No âmbito do setor público brasileiro, têm-se a constatação do Tribunal de Contas da União, por meio do Acórdão 1603/2008 (p.31), que 75% dos órgãos/entidades objeto de pesquisa de auditoria, não efetuam análise de riscos na área de TI, o que demonstra que “as ações de segurança não são executadas de maneira sintonizada com as necessidades do negócio dessas organizações”. Para o Tribunal, sem análise de riscos, não há como o gestor priorizar ações e investimentos com base em critérios claros e voltados para as necessidades da organização, bem como “aumenta a exposição às ameaças de acesso indevido, indisponibilidade e perda de integridade (intencional, como no caso das fraudes, ou por falhas) das informações sob responsabilidade dessas organizações”. As conseqüências dessa fragilidade seriam:

a) Estabelecimento inadequado de prioridades para ações de segurança;
b) Desperdício de recursos em ações não-prioritárias, enquanto outras mais críticas deixam de ser realizadas.

Gerenciamento do desempenho da TI

Um sistema de mensuração de desempenho organizacional é entendido como o conjunto de pessoas, processos, métodos, ferramentas e indicadores estruturados para coletar, descrever e representar dados, a fim de gerar informações sobre múltiplas dimensões de desempenho para usuários de diferentes níveis hierárquicos. (NEELY, 2005 apud LUNARDI, 2008, p.63). Uma maneira de ajudar a organização a identificar a contribuição da TI para o alcance de seus objetivos estratégicos é o incentivo ao acompanhamento dos projetos tecnológicos para verificar o cumprimento do cronograma, orçamento, objetivos propostos, bem como avaliar se a infraestrutura e os serviços de TI estão satisfazendo as necessidades dos usuários (LOVE et al., 2005 apud LUNARDI, 2008, p.63).

No Acórdão 1603/2008 (p.37), o TCU registra que “a prestação de um bom serviço para os cidadãos é, em última instância, o negócio de toda instituição pública”, e a disponibilidade da infraestrutura de rede, o desempenho dos sistemas, o tempo de solução de problemas e outros dados semelhantes constituem indicadores para acordos de níveis de serviço e devem ser adequadamente verificados e tratados quando detectadas falhas, de modo a atender às necessidades do negócio. Então, o resultado do levantamento efetuado em órgãos do setor público brasileiro indica:

  • Ausência de acordo de níveis de serviço interno em 89% dos pesquisados, indicando que as áreas de TI desses órgãos/entidades ainda estão distantes dos seus usuários e não negociam adequadamente com eles a qualidade dos seus serviços;
  • Ausência de gestão de níveis de serviço dos serviços contratados por 74% dos pesquisados, indicando que não há preocupação com a avaliação e o controle dos resultados.

Gerenciamento de recursos de TI

Um bom gerenciamento dos recursos de TI tem o objetivo de ampliar o conhecimento e aperfeiçoar a infraestrutura de tecnologia da organização, seja por meio dos investimentos realizados, pela utilização da TI e pela própria alocação desses recursos (em pessoal, aplicativos, tecnologia, estrutura de suporte e dados). Assim, para que a TI possa auxiliar a organização a atingir seus objetivos de negócios, a mesma precisa contar com uma boa infraestrutura tecnológica, bem como pessoal técnico capacitado e treinado, e orçamento adequado que garanta a manutenção dos serviços de TI (LUNARDI, 2008, p.61).

No setor público brasileiro, torna-se cada vez mais importante garantir a correta aplicação dos recursos empregados em Tecnologia da Informação, seja pela necessidade de as organizações públicas atingirem seus objetivos institucionais, seja porque os gastos em TI, na Administração Pública Federal são vultosos – ultrapassam seis bilhões de reais por ano, e fragilidades nesse contexto geram prejuízos diretos e indiretos aos cofres públicos, conforme registro do TCU no Acórdão 1603/2008 (p.3). Nesse diapasão, utilizar-se-á a definição do ITGI, 2007 (p.12), segundo a qual recursos de TI podem ser definidos como: informação, aplicações, infraestrutura e pessoas, para relacionar as fragilidades identificadas na Governança de TI dos órgãos e entidades do setor público brasileiro.

a) Informação:

No Acórdão 1603/2008 (p.31), o TCU registra que é preocupante a falta de procedimentos adequados à segurança das informações dos órgãos objeto da pesquisa. Para o Tribunal “O resultado preocupa, pois a própria prestação do serviço de uma instituição pública aos cidadãos depende da confiabilidade das informações por ela tratadas e ofertadas.”. Como evidência, o Tribunal aponta as seguintes fragilidades:

  • Ausência de plano de continuidade de negócios (PCN) em 88% dos órgãos/entidades pesquisados constitui um alto risco para a segurança das informações tratadas por essas instituições governamentais;
  • Ausência de classificação das informações declarada por 80% dos pesquisados é indício de que o tratamento da segurança sobre as informações não é feito de forma consistente e independente do meio que as armazenam, nesses órgãos/entidades da Administração Pública Federal;
  • Apenas 36% dos pesquisados declararam ter área específica para lidar estrategicamente com segurança da informação. A inexistência dessa área representa um risco de ausência de ações de segurança da informação ou ocorrência de ações ineficazes, descoordenadas e sem alinhamento com o negócio.

Por fim a Política de Segurança da Informação (PSI) foi declarada inexistente nas organizações de 64% dos pesquisados. Como a definição dessa política é um dos primeiros passos para o reconhecimento da importância da segurança da informação na organização e seu tratamento, isso é um indício de que a gestão de segurança da informação é inexistente ou incipiente na maior parte desses órgãos/entidades da administração pública.

b) Aplicações:

Quanto às aplicações, por meio do Acórdão 1603/2008 (p.33), o TCU registra que o desenvolvimento de sistemas de informação é uma das principais atividades das áreas de TI dos órgãos públicos e a qualidade desse desenvolvimento interfere diretamente na qualidade dos serviços que presta a seus usuários. Porém, o levantamento realizado indica que 51% dos órgãos públicos objeto da pesquisa declararam que não adotam metodologia de desenvolvimento de sistemas, aumentando o risco de construir sistemas pouco robustos, suscetíveis a falhas, sem testes adequados e com documentação deficiente. Além disso, dos 130 órgãos que não utilizam metodologia de desenvolvimento de sistemas 68% oferecem serviço transacional pela Internet, elevando substancialmente o risco à segurança das informações.

c) Infraestrutura:

Sobre o tratamento dado à infraestrutura de TI dos órgãos públicos, o TCU, por meio do Acórdão 1603/2008, aponta fragilidades na gestão de mudanças, gerência de incidentes e gestão de capacidades e compatibilidade, a saber:

  • A ausência de uma gestão de mudanças em 88% dos pesquisados, declarada pelos próprios pesquisados, indica que a maior parte desses órgãos/entidades corre risco de instabilidade e falhas de segurança no tratamento das informações no seu ambiente de TI, quando da ocorrência de mudanças;
  • Ausência de área específica para tratamento de incidentes em 76% dos órgãos pesquisados, que representa o risco de que eventuais incidentes, envolvendo a disponibilidade, a integridade ou o sigilo das informações, não tenham tratamento adequado e consistente;
  • A ausência de gestão de capacidade e compatibilidade do ambiente de TI, em 84% dos pesquisados, expõe o risco de indisponibilidade de informações e descontinuidade na prestação de serviços em quantidade significativa dessas organizações da Administração Pública Federal.

d) Pessoas:

Quanto à estrutura de pessoal de TI, o TCU, por meio do Acórdão 1603/2008 (p.17), identifica que 29% dos órgãos públicos pesquisados possuem menos de 1/3 de suas áreas de TI compostas por servidores, o que pode acarretar risco de dependência de indivíduos sem vínculo com o órgão/entidade para a execução de atividades críticas ao negócio, além de risco de perda do conhecimento organizacional. Ademais, somente 37% dos servidores que atuam na área de TI dos órgãos/entidades possuem formação específica em TI (incluindo doutorado, mestrado, pós-graduação lato sensu e nível superior). Esse resultado preocupa em função do aumento da importância estratégica da TI para as organizações, que correm o risco de não terem pessoal qualificado suficiente para executar as atividades básicas nem para fiscalizar eventuais contratados. Outro aspecto relevante de causa das fragilidades da gestão de recursos de TI nos órgãos da Administração Pública Federal é a carência de recursos humanos, conforme registro do TCU no Acórdão 140/2005 (p.68), a saber:

92. Existe, pois, um núcleo de atividades de informática que são estratégicas: ou porque lidam com informações privilegiadas, ou porque tratam da fiscalização dos contratos, ou porque delas depende o funcionamento do próprio setor e das demais unidades que utilizam seus serviços, ou porque envolvem a tomada de decisão sobre a realização de despesas de vulto na aquisição de bens e contratação de serviços. Quando essas atividades não são regularmente executadas, as chances de serem causados prejuízos à Administração aumentam consideravelmente. Portanto, não é razoável que esses encargos sejam exercidos por servidores sem qualificação ou, dado o conflito de interesses, sejam “delegados” a pessoal terceirizado em razão das deficiências no quadro do órgão público. (Acórdão 140/2005, p.68, grifo nosso)
93. Não me parece que a situação constatada no Ministério da Agricultura seja um caso isolado, visto que a carência de recursos humanos na Administração Pública Federal é fato notório. (Acórdão 140/2005, p.68, grifo nosso)

Controle e a responsabilização pelas decisões de TI

Uma definição clara e não ambígua dos papeis e responsabilidades das partes envolvidas é pré-requisito crucial para uma boa Governança de TI. (VAN GREMBERGEN; DE HAES; GULDENTOPS, 2004, p.21). Para cada tarefa relativa à TI é necessário ter uma ou mais pessoas responsáveis pela sua execução e prestação de contas, quando solicitada, sendo papel da Governança de TI fornecer meios para assegurar que a mesma seja cumprida. Isto inclui definir, comunicar, dar apoio e aplicar conseqüências quando ocorrer uma não conformidade. (MAIZLISH; HANDLER, 2005 apud LUNARDI, 2008, p.64).

Também se constatam falhas de aderência a esse basilar, pelos órgãos do setor público brasileiro, seja pela falta de supervisão e controle gerencial, seja pela ausência de clara definição de papeis e responsabilidades das partes envolvidas na GTI. Essas falhas podem ser evidenciadas pelos registros de “falhas graves” efetuados pelo TCU no Acórdão 2471/2008 (p.3), a saber:

  • em geral, os setores de TI estão posicionados de forma inadequada na estrutura organizacional;
  • nos setores de TI, em geral, não há estrutura definida, há algum papel sensível sem responsabilidade definida ou sem responsável ou o papel sensível está ocupado por alguém que não é servidor ou empregado público;
  • em alguns entes, o quadro de pessoal de TI não é suficiente para desempenhar as atribuições da área ou atender às necessidades das demais unidades integrantes desses entes. Há situações em que as atividades ligadas à coordenação, à fiscalização e ao controle das ações do setor não são executadas com eficiência e eficácia e as atividades ligadas ao planejamento estratégico de informática, à coordenação, à fiscalização e ao controle das ações do setor não estão acometidas a servidores do ente jurisdicionado;
  • não há carreiras específicas para pessoal de TI na Administração Pública Federal Direta, o que contribui, de forma significativa, para a evasão do pessoal mais qualificado.

Falta de Governança de TI

Em síntese, as principais causas para as falhas identificadas pelo Tribunal de Contas da União, nos órgãos públicos objeto da auditoria, são:

  • freqüente carência de pessoal em quantidade e qualidade necessárias;
  • freqüente ausência ou precariedade do processo de planejamento institucional e de TI;
  • ausência ou precariedade de processos formais para gerenciar os serviços de TI, os processo de software, a segurança da informação e os investimentos de TI.
(CAVALCANTI, 2008)

Para CAVALCANTI, 2008, esses elementos sugerem “falta de Governança de TI” e que essa fragilidade é conseqüência da “falta de boa Governança Corporativa” no setor público brasileiro, o que pode ser evidenciado pelos seguintes indicadores:

  • precariedade na definição de diretrizes estratégicas;
  • falta de alocação dos recursos humanos, materiais ou financeiros para adequadamente cumprir as metas de TI;
  • precariedade dos controles sobre os processos de TI, que acontecem dentro e fora das áreas de TI.

De fato, além das irrefutáveis evidências apontadas pelo Tribunal de Contas da União, corroboram o entendimento sobre a ausência de GTI nas organizações públicas do Brasil as características das atividades inerentes aos gestores de TI nesse setor, mais apropriadas ao conceito de Gerenciamento de TI, seja pelo baixo nível hierárquico da maioria dos cargos de mandatário dessas unidades em relação à autoridade ministerial, seja por seu foco que é interno, voltado à administração dos processos e serviços de TI, com pouca ou nenhuma influência na estratégia organizacional.

Ferramentas pessoais