UNIVERSIDADE FEDERAL DA BAHIA

ESCOLA DE ADMINISTRAO
NCLEO DE PS-GRADUAO EM ADMINISTRAO CURSO DE MESTRADO PROFISSIONAL EM ADMINISTRAO

ANTONIO EDUARDO DE ALBUQUERQUE JUNIOR

BOAS PRTICAS DE GOVERNANA DE TECNOLOGIA DA INFORMAO: UM ESTUDO EM UNIDADES TCNICOCIENTFICAS DA FIOCRUZ

Salvador 2012

ANTONIO EDUARDO DE ALBUQUERQUE JUNIOR

BOAS PRTICAS DE GOVERNANA DE TECNOLOGIA DA INFORMAO: UM ESTUDO EM UNIDADES TCNICOCIENTFICAS DA FIOCRUZ

Dissertao apresentada ao curso de Mestrado Profissional em Administrao do Ncleo de Ps-Graduao em Administrao da Escola de Administrao da Universidade Federal da Bahia, como requisito parcial para a obteno do ttulo de Mestre em Administrao. Orientador: Prof. Dr. Ernani Marques dos Santos

Salvador 2012

Escola de Administrao - UFBA

A345 Albuquerque Junior, Antonio Eduardo de, Boas prticas de governana de tecnologia da informao: um estudo em unidades tcnico - cientficas da FIOCRUZ / Antonio Eduardo de Albuquerque Junior. 2012. 185 f. Orientador: Prof. Dr. Ernani Marques dos Santos Dissertao (mestrado profissional) - Universidade Federal da Bahia, Escola de Administrao, 2012. 1. Fundao Osvaldo Cruz Estudo de casos. 2. Tecnologia da informao Administrao. 3. Governana corporativa. I. Universidade Federal da Bahia. Escola de Administrao. II. Santos, Ernani Marques dos. III. Ttulo. CDD 658.4038

UNIVERSIDADE FEDERAL DA BAHIA

ESCOLA DE ADMINISTRAO
NCLEO DE PS-GRADUAO EM ADMINISTRAO CURSO DE MESTRADO PROFISSIONAL EM ADMINISTRAO

ANTONIO EDUARDO DE ALBUQUERQUE JUNIOR

BOAS PRTICAS DE GOVERNANA DE TECNOLOGIA DA INFORMAO: UM ESTUDO EM UNIDADES TCNICOCIENTFICAS DA FIOCRUZ

Dissertao apresentada ao Curso de Mestrado Profissional em Administrao da Escola de Administrao da Universidade Federal da Bahia como requisito parcial para a obteno do grau de Mestre em Administrao.

Banca Examinadora:

________________________________________________ Prof. Dr. Ernani Marques dos Santos Doutor em Administrao Universidade Federal da Bahia

________________________________________________ Prof. Dr. Joo Gualberto Rizzo Arajo Doutor em Administrao Centro Universitrio Jorge Amado

________________________________________________ Prof. Dr. Csar Alexandre de Souza Doutor em Administrao Universidade de So Paulo

Salvador 2012

A Elaine e Breno, minha famlia.

AGRADECIMENTOS

minha esposa Elaine o amor, o apoio e a pacincia. Breno, meu filho, todos os momentos de espairecimento e alegria. Aos meus pais, por terem me dado acesso educao e por terem me ensinado o seu valor. Ao meu orientador, Prof. Dr. Ernani Marques, que soube como mostrar os caminhos que precisavam ser seguidos durante a construo deste trabalho. Aos colegas da FIOCRUZ, que participaram direta e indiretamente da pesquisa, tanto em entrevistas quanto dando dicas e sugestes. Aos colegas e professores do curso e aos funcionrios do Ncleo de Ps-Graduao em Administrao.

Um sincero Muito Obrigado!

RESUMO

ALBUQUERQUE JUNIOR, Antonio Eduardo de. Boas Prticas de Governana de Tecnologia da Informao: Um Estudo em Unidades Tcnico-Cientficas da FIOCRUZ. Salvador, 2012. 185f. Dissertao (Mestrado em Administrao) Escola de Administrao, Universidade Federal da Bahia. A rpida evoluo dos recursos tecnolgicos e sua utilizao nos processos de negcio trouxeram muitos benefcios, mas tambm grande dependncia com relao aos servios de Tecnologia da Informao (TI). Dentre as novas tecnologias que foram incorporadas s atividades das organizaes, muitas se tornaram diferenciais competitivos, contribuindo para o processo de tomada de decises, fazendo com que a informtica deixasse de ser uma experincia sem retorno garantido para se tornar uma ferramenta de trabalho, inclusive para o nvel estratgico das organizaes. A dependncia que as organizaes tem da TI e a aproximao entre esta e os nveis estratgicos de deciso fizeram com que organizaes do mundo inteiro promovessem mudanas em seus processos internos de TI atravs da adoo de boas prticas de Governana de TI presentes em diversos modelos de melhores prticas existentes. Apesar disso, a aproximao entre a TI e os objetivos estratgicos no a realidade encontrada em diversas organizaes pblicas brasileiras, contexto em que se enquadra a Fundao Oswaldo Cruz (FIOCRUZ). A Governana de TI no servio pblico federal vem sendo alvo de auditorias e normas do Tribunal de Contas da Unio (TCU) e do Ministrio do Planejamento, Oramento e Gesto (MPOG), reforando a necessidade de adoo das boas prticas presentes nos modelos. Independentemente da atuao desses rgos de fiscalizao e normatizao, necessrio organizar as reas de TI das organizaes pblicas de maneira que deixem de ser meramente reativas para ajudar mais efetivamente as instituies a alcanarem seus objetivos e a prestarem melhores servios para a populao. Para isso, se faz necessrio estudar a adoo de boas prticas de Governana de TI na FIOCRUZ para melhor direcionar os esforos no sentido de empreender melhorias nos seus processos internos de TI. O objetivo deste trabalho desenvolver um estudo comparativo sobre a adoo de boas prticas de Governana de TI em unidades tcnico-cientficas da FIOCRUZ localizadas no Rio de Janeiro e nas unidades tcnico-cientficas localizadas nos estados da Bahia e de Minas Gerais visando identificar o nvel de adoo de boas prticas em cada unidade. Quanto metodologia, o trabalho um estudo de casos mltiplos com abordagem qualitativa e mtodo dedutivo, envolvendo pesquisa bibliogrfica e documental, entrevistas semi-estruturadas e observao direta. Como resultados da pesquisa, foi possvel identificar que uma das unidades regionais a que mais adota boas prticas de Governana de TI. A pesquisa identificou tambm oito causas para as diferenas na adoo de boas prticas de Governana de TI pelas quatro unidades tcnico-cientficas estudadas.

Palavras-chave: Governana de Tecnologia da Informao. Governana de TI. boas prticas. FIOCRUZ.

ABSTRACT
ALBUQUERQUE JUNIOR, Antonio Eduardo de. Good Practices in Information Technology Governance: A Study on Technical Scientific Units of FIOCRUZ. Salvador, 2012. 185f. Dissertation (Masters of Administration) School of Business Administration, Federal University of Bahia. The fast evolution of technological resources and their use in business processes have brought many benefits but also great dependence on the services of Information Technology (IT). Many of these new technologies that were incorporated into the activities of organizations become competitive advantage, contributing to the decision-making process, changing IT from a nonprofit investment experience to be a working tool for the strategic level of organizations. The dependence that organizations have on IT and the approach between IT and the strategic levels made organizations worldwide promote changes in their internal IT processes through the adoption of best practices of IT governance present in many models of best practices. Despite these changes in many organizations, the approach between IT and the strategic objectives is not the reality found in several Brazilian public organizations, where Oswaldo Cruz Foundation (FIOCRUZ) fits. IT Governance in Brazilian federal public service has been the subject of audits and standards of the Brazilian Court of Audit (TCU) and the Ministry of Planning, Budget and Management (MPOG), becoming the need to adopt best practices that are present in these models stronger. Regardless of the performance of the surveillance and standardization authorities, is very important to organize public organizations IT services because IT must become an affective function for public organizations achieve their objectives and provide better services. To do this, a study about adoption of best practices for IT Governance in FIOCRUZ is necessary for directing efforts to improve internal IT processes. The objective of this work is to develop a comparative study about the adoption of good practices of IT Governance on technical and scientific units located at FIOCRUZ in Rio de Janeiro and on the technical and scientific units located in the states of Bahia and Minas Gerais. This work is a multiple case study with qualitative approach and deductive method, involving research on books and documents, semi-structured interviews and observation. The research identified that a regional unit is the best one on IT Governance good practices adoption. The study identified eight reasons for the differences between adoption of IT Governance's best practices by the units. Keywords: Information Technology Governance. IT Governance. good practices. FIOCRUZ.

LISTA DE FIGURAS

Figura 1 O Ciclo da Governana de TI .............................................................................................. 37 Figura 2 Os modelos de melhores prticas no contexto da Governana de TI .................................. 44 Figura 3 Ncleo da biblioteca ITIL v3 ............................................................................................... 48 Figura 4 reas foco do modelo COBIT .............................................................................................. 52 Figura 5 Os quatro domnios do COBIT e seus relacionamentos ....................................................... 52 Figura 6 Modelo de anlise da adoo de boas prticas de Governana de TI ................................... 60 Figura 7 Estratgia da pesquisa ........................................................................................................... 74

LISTA DE QUADROS

Quadro 1 Processos e Funes da ITIL v3 .......................................................................................... 49 Quadro 2 Domnios e Processos do Modelo COBIT .......................................................................... 53 Quadro 3 Matriz de dimenses, componentes e indicadores para Governana de TI .................. 61-62 Quadro 4 Boas prticas de Governana de TI dentro do modelo de anlise ................................. 64-71 Quadro 5 Adoo de boas prticas de Governana de TI da dimenso Alinhamento Estratgico e Compliance ........................................................................ 96-99 Quadro 6 Adoo de boas prticas de Governana de TI da dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos .......................................... 120 Quadro 7 Adoo de boas prticas de Governana de TI da dimenso Estrutura, Processos, Operao e Gesto .................................................................. 124-125 Quadro 8 Adoo de boas prticas de Governana de TI da dimenso Medio de Desempenho .................................................................................................. 135

LISTA DE TABELAS

Tabela 1 Quantidades de funcionrios, de usurios e de equipamentos atendidos nas unidades ........ 91 Tabela 2 Quantidades e percentuais de boas prticas adotadas por cada unidade em cada dimenso .................................................................................... 93

SUMRIO

1 1.1 1.2 1.3

INTRODUO ......................................................................................................................... 13 O PROBLEMA ........................................................................................................................... 18 PRESSUPOSTOS DE PESQUISA ............................................................................................. 19 OBJETIVOS ............................................................................................................................... 19

1.3.1 Objetivo Geral ............................................................................................................................. 19 1.3.2 Objetivos Especficos .................................................................................................................. 20 1.4 1.5 2 2.1 2.2 2.3 2.4 2.5 2.6 JUSTIFICATIVAS ...................................................................................................................... 20 ESTRUTURA DO TRABALHO ................................................................................................ 21 REFERENCIAL TERICO .................................................................................................... 23 GOVERNANA CORPORATIVA E GOVERNANA DE TI ................................................ 26 O CICLO DE GOVERNANA DE TI ....................................................................................... 34 A BIBLIOTECA ITIL ................................................................................................................. 46 O MODELO COBIT ................................................................................................................... 50 GOVERNANA DE TI NA ADMINISTRAO PBLICA ................................................... 54 MODELO DE ANLISE ........................................................................................................... 59

2.6.1 As Boas Prticas de Governana de TI ....................................................................................... 63 3 4 4.1 4.2 METODOLOGIA ..................................................................................................................... 72 A FIOCRUZ .............................................................................................................................. 77 GOVERNANA DE TI NA FIOCRUZ ..................................................................................... 80 INSTITUTO DE COMUNICAO E INFORMAO CIENTFICA E TECNOLGICA (ICICT) ....................................................................................................... 84 4.3 4.4 4.5 5 5.1 5.2 INSTITUTO OSWALDO CRUZ (IOC) ..................................................................................... 85 CENTRO DE PESQUISA REN RACHOU (CPQRR) ............................................................ 86 CENTRO DE PESQUISA GONALO MONIZ (CPQGM) ...................................................... 86 APRESENTAO E ANLISE DOS DADOS ..................................................................... 88 BOAS PRTICAS DE ALINHAMENTO ESTRATGICO E COMPLIANCE ....................... 95 BOAS PRTICAS DE DECISO, COMPROMISSO, PRIORIZAO E ALOCAO DE RECURSOS ................................................................. 119

5.3 5.4 5.5

BOAS PRTICAS DE ESTRUTURA, PROCESSOS, OPERAO E GESTO ................. 124 BOAS PRTICAS DE MEDIO DE DESEMPENHO ........................................................ 134 COMPARAO ENTRE O TOTAL DE BOAS PRTICAS ADOTADAS POR CADA UNIDADE............................................................................................................. 137

5.6

IDENTIFICAO DAS CAUSAS DAS DIFERENAS DE ADOO DE BOAS PRTICAS ENTRE AS UNIDADES ................................................................... 140

6 6.1 6.2 6.3

CONSIDERAES FINAIS ................................................................................................. 149 PROPOSIES DE MELHORIAS PARA A GOVERNANA DE TI NA FIOCRUZ .......... 151 LIMITAES DA PESQUISA ................................................................................................. 155 SUGESTES PARA PESQUISAS FUTURAS ........................................................................ 156 REFERNCIAS ...................................................................................................................... 158 APNDICE .............................................................................................................................. 166

13

1 INTRODUO

A Tecnologia da Informao (TI), que j foi considerada uma rea de suporte aos negcios (REZENDE; ABREU, 2001), responsvel por automatizar transaes e solucionar problemas em processos internos, agora tem sido intensa e amplamente utilizada como uma ferramenta para alterar as bases operacionais, estratgicas e de competitividade das organizaes (ALBERTIN, 2001). Sistemas de informao que integram diferentes processos envolvendo diferentes funes internas das organizaes vem fazendo da TI uma provedora de informaes para a tomada de decises no nvel estratgico (HENDERSON; VENKATRAMAN, 1999). Segundo Ferreira e Ramos (2005, p.70), a TI est inserida em praticamente todas as atividades empresariais, dando suporte para a melhoria na qualidade de servios e produtos. Encontram-se exemplos do uso da TI nos nveis operacionais, de conhecimento, gerencial e estratgico. A tecnologia, segundo Gonalves (2000), altera a forma como o trabalho individual realizado, a maneira como as empresas trabalham juntas e a maneira como os grupos de trabalho realizam suas tarefas. Isso fez da TI no apenas um fator de sucesso para sobrevivncia e prosperidade das organizaes, mas tambm uma fonte de oportunidades de aumento de produtividade, de diferenciao e de vantagens competitivas (GREMBERGEN; HAES; GULDENTOPS, 2004), ou, segundo Luftman, Lewis e Oldach (1993), a TI fornece valor estratgico para todas as partes da organizao. Para Santos (2001), o acesso s informaes permite que a organizao tenha as condies para alcanar seus objetivos e aumentar sua competitividade. Segundo Souza e Zwicker (2009), para algumas organizaes, investir em TI uma necessidade, pois, em alguns casos, a TI pode ser a nica possibilidade vivel de registro de informaes de suas transaes. Ellis, Casey e Mesak (2002) afirmam que a importncia da TI tem crescido dentro das organizaes enquanto melhoram seus processos internos e elas se tornam mais competitivas. Para Gartner, Zwicker e Rdder (2009), os investimentos em TI possibilitam o aumento da velocidade da gerao, difuso e uso de novos conhecimentos, que ajudam as organizaes a se integrarem s mudanas no mercado. Apesar das melhorias nos processos internos e do aumento da competitividade, o uso da TI para gerenciamento, desenvolvimento e transferncia de informaes em uma

14

economia voltada para o conhecimento faz com que as organizaes, com seus produtos, servios e processos, experimentem um aumento significativo da dependncia da TI (ALBERTIN, 2001; BARBOSA et al., 2006; PELANDA, 2006; ALBERTIN; ALBERTIN, 2009), provocando tambm um aumento significativo dos gastos das organizaes com tecnologia (WEILL, 1992; BRYNJOLFSSON, 1993; ALBERTIN, 2001; CARR, 2003; PELANDA, 2006; DOLCI, 2009; ABREU; FAORO; GUASSELLI, 2009, MEIRELLES, 2010), que so imediatos e continuados (WEILL; ROSS, 2006), embora tenhamos observado uma reduo dos custos individuais de aquisio de recursos tecnolgicos nos ltimos anos. De acordo com Fernandes e Abreu (2008), para organizaes que tem dependncia estratgica de TI, ela uma fonte de investimentos e de despesas significativas. preciso garantir, portanto, que os riscos relacionados TI sejam mitigados e que ela traga os retornos esperados (GREMBERGEN; HAES; GULDENTOPS, 2004), de maneira que justifiquem os altos investimentos, pois, segundo Lucht, Hoppen e Maada (2007), para que as organizaes se mantenham competitivas e continuem buscando sucesso, precisam de informaes corretas, precisas e no momento adequado. A falta de direcionamento dos investimentos em TI aos objetivos organizacionais levou a discusses sobre o aumento dos gastos com TI, sua influncia na produtividade e sua posio estratgica nas organizaes por parte de autores como Carr (2003), que afirmou que a TI no deve ser vista como rea estratgica e sim como uma commodity, e Brynjolfsson (1993), que estudou o chamado paradoxo da produtividade, termo utilizado por Robert Solow em 1987 para definir o fenmeno do crescimento tmido da produtividade das organizaes em comparao com o aumento dos investimentos em tecnologia. Para Strassmann (1997), as melhores tecnologias vo ser sempre um aumento desnecessrio de custos para uma empresa pobremente gerenciada. Para assegurar a incorporao e a aplicao bem sucedida dos sistemas de informao atravs do investimento equilibrado em tecnologia, como observou Gama (2009), preciso alinhar os objetivos da TI e seus investimentos aos objetivos do negcio, o que, segundo Rodrguez e Vieira (2005; 2007), faz da TI uma ferramenta importante de suporte s estratgias competitivas da organizao. A maximizao do potencial da informao e, consequentemente, da TI para o negcio se d quando estas esto associadas s estratgias da organizao (ALBUQUERQUE, 2003). Para que se alcance esse alinhamento, so necessrias mudanas nos processos internos de TI, fazendo com que esta deixe de ser uma rea com o objetivo bsico de automatizar transaes (SILVA, 2009), e que os gastos relacionados a TI passem a ser

15

justificados como investimentos estratgicos. Isso reforado por Fernandes e Abreu (2008, p.11), ao afirmarem que Quanto mais as operaes dirias e as estratgias corporativas chaves dependerem da TI, maior o papel estratgico da TI.

A TI evoluiu de uma orientao tradicional de suporte administrativo para um papel estratgico dentro da organizao. A viso da TI como arma estratgica competitiva tem sido discutida e enfatizada, pois no s sustenta as operaes de negcio existentes, mas tambm permite que se viabilizem novas estratgias empresariais. (LAURINDO et al., 2001, p.161).

Os fatos de serem significativos os investimentos em tecnologia e da TI ter sido posta em uma posio estratgica por muitas organizaes levaram a uma necessidade de governana eficaz, de maneira que esses investimentos reflitam os interesses e objetivos das organizaes. Para alcanar essa governana eficaz, as organizaes promoveram mudanas em seus processos internos com a adoo de prticas e controles especficos para TI. Esses controles e prticas especficos para TI so baseados em prticas e controles de Governana Corporativa, segundo Brown e Grant (2005) e Lunardi (2008). Essas prticas, que compem o que Fernandes e Abreu (2008) chamam de modelos de melhores prticas, auxiliam na implantao da Governana de TI, que, por sua vez, tem foco no alinhamento estratgico do uso da TI para alcanar objetivos do negcio (LIU; RIDLEY, 2005). Para Haes e Grembergen (2004), essas boas prticas devem incluir uma variedade de estruturas, processos e mecanismos e devem compor a estrutura de Governana de TI da organizao. A Governana de TI definida como aspectos de liderana, estrutura organizacional e processos organizacionais para garantir o suporte e o aprimoramento dos objetivos e estratgias da organizao pela rea de TI (IT GOVERNANCE..., 2007). Uma Governana de TI eficaz ajuda a garantir que a TI d suporte aos objetivos de negcio, maximiza seus investimentos e gerencia adequadamente os riscos relacionados s suas atividades (CALLAHAN; BASTOS; KEYES, 2004), ou, em outras palavras, ajuda as organizaes a alinhar seus investimentos em TI com suas prioridades de negcio (WEILL; ROSS, 2004). Este um assunto que vem recebendo muita ateno em empresas e pesquisas cientficas (BROWN; GRANT, 2005; HAES; GREMBERGEN, 2005; GRANT et al., 2007), e o tema deste trabalho.

16

Mas o uso intensivo da TI no se restringe apenas ao setor privado. Com o aumento da demanda da populao por servios pblicos, as instituies pblicas vem procurando melhorar sua eficincia e isso se reflete nos investimentos em TI, uma vez que a tecnologia est embutida em grande parte das aes dos governos para melhoria dos servios prestados sociedade. Segundo Oliveira (2009), os resultados das organizaes pblicas no so medidos por lucro ou prejuzo, mas pela habilidade em desempenhar suas respectivas misses, provendo servios para a sociedade. A tecnologia tem tido um impacto importante na capacidade dos governos em prover servios, mas esta, por si s, no garante a melhoria no desempenho da administrao pblica, principalmente porque neste setor os controles polticos e administrativos so desagregados (CAMPBELL; MCDONALD; SETHIBE, 2009). Essa demanda crescente envolvendo tecnologia tem levado as instituies pblicas a uma dependncia da TI que ocorre em um ambiente com caractersticas distintas das de organizaes do setor privado, como identificaram Liu e Ridley (2005), Nfuka e Rusu (2010), Cepik, Canabarro e Possamai (2010). Esse novo entendimento, da TI com um papel central para tornar a administrao pblica mais responsiva e orientada para a prestao de servios, foi observado por Cepik, Canabarro e Possamai (2010, p.14), que afirmaram que a TI o elemento fundamental e transformador da organizao pblica, deixando de ser objeto apenas de gesto para ser objeto de governana. Os autores complementam dizendo que a Governana de TI no setor pblico foca na maneira como se utiliza a tecnologia para que atenda s demandas e objetivos da administrao pblica e de seus usurios. Para Laia et al. (2011), a tecnologia tem tido um papel importante na abertura de canais de comunicao com a sociedade e na divulgao de iniciativas da administrao pblica. Raup-Kounovsky et al. (2009) afirmam que TI o maior motor de inovaes no setor pblico e que os investimentos estratgicos pelo setor pblico podem trazer enormes benefcios, mas, se esses investimentos forem descoordenados, podem ser uma fonte de desperdcio de recursos pblicos. Reforando a necessidade de Governana de TI na administrao pblica, o Governo Federal publicou nos ltimos anos normas que, junto com as leis e decretos que j existiam, estabelecem controles e prticas obrigatrios para os rgos do Poder Executivo Federal. Esses controles e prticas esto previstos em uma srie de modelos de melhores prticas amplamente adotados no mundo inteiro.

17

Segundo Lunardi et al. (2007) e Moraes e Mariano (2008), dentre esses diversos modelos de melhores prticas, destacam-se o Control Objectives for Information and Related Technology (COBIT) e a biblioteca Information Technology Infrastructure Library (ITIL) por serem os padres mais amplamente adotados. Esses modelos ajudam tambm na avaliao da conformidade das prticas e controles adotados por organizaes, tanto para fins de melhoria nos processos quanto para fins de certificao. Fernandes e Abreu (2008) propem um ciclo de Governana de TI, composto por quatro etapas, cada qual contendo um ou mais componentes que guardam uma relao estreita tanto com o modelo COBIT quanto com a biblioteca ITIL, alm de outros modelos de melhores prticas, e cuja finalidade apoiar e orientar a implantao da Governana de TI em uma organizao. Este trabalho um estudo de casos da Fundao Oswaldo Cruz (FIOCRUZ), uma fundao pblica federal, vinculada ao Ministrio da Sade, que desenvolve atividades de pesquisa, ensino, produo e prestao de servios no campo da sade pblica. A FIOCRUZ tem onze unidades tcnico-cientficas e quatro unidades tcnico-administrativas localizadas no Rio de Janeiro, onde est a sede da instituio, alm de cinco unidades tcnico-cientficas em outros estados do Brasil e uma Coordenao Regional, tambm chamadas de unidades regionais. A estrutura descentralizada da FIOCRUZ faz com que as suas unidades tcnicocientficas e tcnico-administrativas gozem de grande autonomia administrativa e de execuo oramentria. Independentemente das obrigaes criadas pelas normas do Governo Federal no sentido de implantar controles e prticas, essa descentralizao seria suficiente para exigir uma estrutura de Governana de TI para garantir que cada unidade execute seus projetos e investimentos em TI visando os objetivos comuns da instituio, sem deixar de atender aos seus objetivos individuais. Apesar disso, a autonomia das unidades, somada ausncia de uma estrutura central de Governana de TI, fizeram com que cada uma organizasse sua rea de TI de maneira independente, adotando ou no boas prticas e controles de Governana de TI, o que pode ter levado a grande diferena de adoo desses controles e boas prticas entre unidades diferentes. Em 2009 foi criada uma coordenao responsvel por tomar decises estratgicas de TI que envolvam todas as unidades da FIOCRUZ de maneira centralizada. Essa rea

18

composta por pessoas que at aquele momento trabalharam com comunicao e TI em outras unidades localizadas no Rio de Janeiro, sem contar, portanto, com a participao de representantes das unidades de outros estados. Nesse contexto, os fatos de a coordenao responsvel pelas decises estratgicas gerais de TI ser composta por pessoas de unidades do Rio de Janeiro, de estar essa coordenao tambm localizada no Rio de Janeiro e a proximidade que as unidades localizadas no Rio de Janeiro tem desse grupo que toma decises estratgicas podem representar uma vantagem quanto adoo de boas prticas de Governana de TI, visto que o fato de estarem prximas pode facilitar a participao na tomada de decises e pode permitir conhecer as decises tomadas antes das unidades de outros estados. Alm da influncia da distncia com relao ao centro de decises estratgicas de TI, nas unidades regionais, a adoo de controles e boas prticas pode sofrer influncia tambm de outros fatores, como a interferncia direta de prticas e controles adotados em outras unidades regionais e de outras partes interessadas, como pesquisadores, e restries oramentrias pelo fato dessas unidades terem despesas que as unidades localizadas no campus da sede no tem, como segurana, manuteno predial, gua e energia.

1.1 O PROBLEMA

Diante do exposto, esta pesquisa procura identificar quais boas prticas so adotadas em unidades tcnico-cientficas da FIOCRUZ, uma instituio pblica com uma estrutura organizacional complexa e geograficamente distribuda, para apoiar as aes de Governana de TI que s recentemente passaram a ser adotadas de maneira centralizada pela instituio. Para isso, apresenta-se como questo de pesquisa a seguinte pergunta: em que medida a adoo de boas prticas de Governana de TI por duas unidades tcnico-cientficas da FIOCRUZ localizadas no Rio de Janeiro se diferencia das adotadas em unidades localizadas na Bahia e em Minas Gerais?

19

1.2 PRESSUPOSTOS DE PESQUISA

Para responder questo de pesquisa de uma maneira que permita fazer um diagnstico da adoo de boas prticas com base em um processo de implantao de Governana de TI e procurando identificar as causas da situao identificada, foram estabelecidos os seguintes pressupostos de pesquisa:

1) h maior adoo de boas prticas de modelos de melhores prticas de Governana de TI nas unidades localizadas no Rio de Janeiro do que nas regionais; 2) h maior adoo de boas prticas relacionadas a alinhamento estratgico para as atividades de TI nas unidades localizadas no Rio de Janeiro do que nas unidades regionais; 3) h maior adoo de boas prticas relacionadas a priorizao e alocao de recursos de TI nas unidades localizadas no Rio de Janeiro do que nas unidades regionais; 4) h maior adoo de boas prticas relacionadas a estrutura, processos, operao e gesto de TI nas unidades localizadas no Rio de Janeiro do que nas unidades regionais; 5) h maior adoo de boas prticas relacionadas a medio de desempenho nas unidades localizadas no Rio de Janeiro do que nas unidades regionais;

1.3 OBJETIVOS

1.3.1 Objetivo Geral

O objetivo geral desta pesquisa desenvolver um estudo comparativo sobre a adoo de boas prticas de Governana de TI em unidades tcnico-cientficas da FIOCRUZ localizadas no Rio de Janeiro e nas unidades tcnico-cientficas localizadas nos estados da Bahia e de Minas Gerais visando identificar o nvel de adoo e as causas para as diferenas entre as boas prticas adotadas pelas unidades.

20

1.3.2 Objetivos Especficos

Para alcanar o objetivo geral do trabalho, foi necessrio estabelecer e cumprir os seguintes objetivos especficos:

a) Identificar indicadores de adoo de boas prticas de Governana de TI presentes em modelos de melhores prticas amplamente adotados. b) Fazer um diagnstico da situao atual da adoo de boas prticas de Governana de TI em quatro unidades tcnico-cientficas. c) Identificar as causas para que o fenmeno investigado ocorra; d) Identificar pontos de melhorias do processo de Governana de TI na FIOCRUZ.

1.4 JUSTIFICATIVAS

A pesquisa justifica-se porque prope uma maneira prtica de verificar a adoo de boas prticas Governana de TI presentes nos modelos de melhores prticas ITIL e COBIT, diferente das avaliaes encontradas na maioria dos trabalhos cientficos sobre o tema, que baseiam seus estudos em controles e prticas de apenas um modelo de melhores prticas. O trabalho tambm prope indicadores da adoo de boas prticas para os componentes do ciclo de Governana de TI de Fernandes e Abreu (2008), bem como as boas prticas associadas a esses indicadores. A pesquisa aborda o tema Governana de TI em uma fundao pblica de pesquisa, organizao sem fins lucrativos que sofre grande influncia de profissionais cujo trabalho tem pouca relao com atividades de gesto, como pesquisadores e tecnologistas, nas decises de gesto e na cultura organizacional, um contexto em que no foram encontrados trabalhos acadmicos sobre o tema aps pesquisas utilizando as palavras-chave governana, governana de TI, governana de tecnologia da informao, governance, IT governance e

21

information technology governance em diversos peridicos disponveis no Portal Capes, em stios de peridicos on-line e em bases de dados de teses e dissertaes de diversas instituies de ensino e pesquisa. Foram feitas pesquisas pelas mesmas palavras-chave em stios e CD-Roms de anais de congressos cientficos e em portais de busca na Internet com a inteno de localizar artigos que tratassem do tema nesse mesmo contexto, mas tambm sem sucesso. O trabalho importante pela necessidade de melhorar os processos internos de TI das unidades da FIOCRUZ por meio da identificao da necessidade e da adoo de boas prticas presentes em modelos adotados no mundo inteiro, alm da necessidade de facilitar o atendimento s normas voltadas para Governana de TI que vem sendo publicadas pelo Governo Federal na instituio. O estudo considerado importante para coordenadores de TI da instituio e a Governana de TI vem sendo foco de aes por parte da Presidncia da FIOCRUZ no sentido de centralizar e organizar a gesto da TI em todas as unidades. A pesquisa importante tambm porque compreenso do processo de adoo das boas prticas previstas nos modelos de melhores prticas estudados e o alinhamento dos objetivos e aes da rea de TI aos objetivos da organizao podem contribuir para a melhoria dos servios e do direcionando dos investimentos em TI, de acordo com as necessidades da instituio. Por fim, o trabalho justifica-se por apresentar um diagnstico da adoo de boas prticas de Governana de TI nas reas de TI de unidades tcnico-cientficas da FIOCRUZ, apontando aquelas que precisam ser adotadas para melhor atender s necessidades da organizao, uma instituio que ocupa um lugar de destaque no servio pblico, e que tem grande importncia para o desenvolvimento tecnolgico, para o Sistema nico de Sade (SUS) e, consequentemente, para a sociedade de maneira geral.

1.5 ESTRUTURA DO TRABALHO

Alm desta Introduo, das Referncias e do Apndice, este trabalho composto de mais cinco captulos, apresentados a seguir, na sequncia em que esto dispostos: Referencial Terico, que o captulo que trata da literatura sobre o tema, com discusses

22

sobre a importncia estratgica da TI, a Governana de TI no setor pblico brasileiro e apresenta o modelo de anlise utilizado neste trabalho; Metodologia, captulo que apresenta as escolhas metodolgicas feitas para consecuo da pesquisa; A FIOCRUZ, captulo que traz informaes sobre a organizao e sobre sua Governana de TI; Estudos de Caso, que apresenta mais detalhadamente cada unidade pesquisada; Apresentao e Anlise dos Dados, que mostra os dados coletados na pesquisa e a anlise realizada pelo pesquisador para cada dimenso do modelo de anlise, alm de uma comparao entre as boas prticas adotadas por unidades regionais e do Rio de Janeiro para comprovao dos pressupostos da pesquisa, bem como as causas dos resultados encontrados na opinio dos entrevistados; e as Consideraes Finais do trabalho.

23

2 REFERENCIAL TERICO

A TI, ou, como tambm conhecida, a Tecnologia da Informao e Comunicao (TIC) (BARBOSA et al., 2006; LAIA et al., 2011), definida de maneira mais restrita ou mais abrangente na literatura. Uma definio mais abrangente afirma que o termo cobre tanto conceitos mais antigos e, portanto, mais conhecidos pelos usurios, como processamento de dados, informtica, infraestrutura, hardware e software, quanto incorpora os Sistemas de Informao, os recursos humanos, a organizao administrativa e os processos internos (LAURINDO et al., 2001). Outras definies abrangentes de TI afirmam que ela engloba todo o conjunto de equipamentos, aplicaes e servios relacionados computao (LUFTMAN; LEWIS; OLDACH, 1993), ou que ela engloba recursos de hardware e software, os sistemas de telecomunicaes e a gesto de informaes e dados utilizados para a gerao e uso das informaes (REZENDE; ABREU, 2001). Turban et al. (2010) apresentam uma definio de TI que diz que o termo denomina um sistema de informao ou, de maneira ainda mais ampla, descreve sistemas de informao, usurios e gesto de TI em uma organizao, concordando com Gartner, Zwicker e Rdder (2009), que utilizaram a definio ampla ao estudarem o retorno sobre os investimentos em TI. Quando definida de maneira mais restrita, TI composta das tecnologias utilizadas no processamento, armazenamento e transporte de dados em formato digital (CARR, 2003), o que est de acordo com uma definio estrita tambm apresentada por Turban et al. (2010), que diz que TI inclui o aspecto tecnolgico de um sistema de informao, incluindo hardware, banco de dados, software e redes, entre outros dispositivos. Outra definio restrita diz que TI engloba hardware, software e infraestrutura de rede, mas inserindo a TI dentro do contexto de Sistemas de Informaes (ALBUQUERQUE, 2003). Neste trabalho, optou-se por utilizar a definio mais abrangente de TI, conforme definido por Laurindo et al. (2001), pelo destaque que a literatura vem dando ao estudo da Governana de TI, tema que trata justamente da organizao interna e dos processos internos de funcionamento e gesto dos servios de TI. Diante da facilidade em adquirir produtos e de todo um contexto apontando que o mais indicado seria a contratao indireta dos servios, Carr (2003) defendeu que a TI havia

24

se tornado uma commodity, um recurso amplamente disponvel, afirmando que, por ser commodity, no deveria ser vista como uma rea estratgica e que os gastos com TI deveriam ser reduzidos, limitados reduo de riscos e custos. O autor sustentou sua argumentao, em seu artigo IT Doesnt Matter, com base na premissa de que estratgico aquilo que escasso e, por isso, traz uma vantagem competitiva, e que a TI, por ser amplamente disponvel, no deve ser considerada estratgica. Ele baseou-se tambm em uma pesquisa com 7.500 empresas dos Estados Unidos em que constatou-se que as que investiram menos em TI tiveram maior retorno financeiro do que as que investiram mais. Mas Carr (2003) utilizou uma definio estrita de TI. Para ele, a TI apenas um mecanismo que tem como funes bsicas processar, armazenar e transportar dados, ou, em outras palavras, a infraestrutura de TI, o hardware e o software. Ele deixou de considerar, portanto, os Sistemas de Informao, os recursos humanos, a organizao administrativa e os servios e processos internos de TI, o que, segundo Weill (1992), deveria ser considerado como TI em pesquisas que tratassem da relao entre desempenho e investimentos feitos em tecnologia da informao. Embora no concordem explicitamente com Carr (2003), Abreu, Faoro e Guasselli (2009) afirmam que h dvidas sobre ganhos significativos em produtividade proporcionados por investimentos em TI, concordando com Brynjolfsson (1993), que estudou o paradoxo da produtividade da TI, enquanto Ellis, Casey e Mesak (2002) dizem que os gastos com TI esto associados a retornos incertos. Esta viso reforada pela opinio de Larry Ellison, Diretor-Executivo da Oracle Corporation, que afirmou que muitas companhias investem muito em TI e tm muito pouco retorno, acrescentando que elas devem procurar uma forma de melhorar seu ambiente de TI reduzindo seu custo (PHILLIPS, 2002). Independentemente de ser a TI estratgica ou no, diversos autores apontam um crescimento significativo nos gastos com tecnologia, como Weill (1992), Brynjolfsson (1993), Albertin (2001), Pelanda (2006), Fernandes e Abreu (2008) e Dolci (2009). Santos (2001) apontou que esses gastos no acontecem apenas durante a aquisio de TI, mas tambm quando se decide por mudar de tecnologia ou fabricante de um produto depois que ocorre o fenmeno chamado de aprisionamento tecnolgico. Meirelles (2010) mostrou que os gastos com TI no Brasil esto em torno de 6,4% do faturamento lquido das empresas, enquanto que, a ttulo de comparao, investe-se em mdia aproximadamente 0,42% da receita lquida em capacitao de pessoal, como mostra o cruzamento de informaes

25

divulgadas pela Associao Brasileira de Treinamento e Desenvolvimento (ABTD) (2007), que disse que so investidos em treinamento 3,2% do total da folha de pagamento, e pelo Instituto Brasileiro de Geografia e Estatstica (IBGE) (2007), que disse que os gastos com pessoal correspondem a 13,1% da receita lquida das empresas. Embora os gastos com TI sejam significativos, Gartner, Zwicker e Rdder (2009), que realizaram uma pesquisa com 98 empresas que figuram entre as maiores do pas, descobriram que os investimentos em TI trazem retorno para as organizaes. Em uma pesquisa bibliogrfica sobre o valor estratgico da TI para as organizaes, Ferreira e Ramos (2005) identificaram que parte dos autores que desenvolveram pesquisa sobre o tema conseguiu mostrar a relao da TI com o retorno sobre os investimentos, enquanto outra parte no conseguiu comprovar se os altos investimentos em TI trazem benefcios reais. Os autores concluem que ainda no existem estudos conclusivos que mostrem qual o impacto da TI na produtividade das organizaes, ou que mensurem seus retornos tangveis e intangveis com segurana (2005, p.77). Em sentido inverso aos argumentos de Carr (2003) quanto importncia estratgica da TI, autores como Luftman, Lewis e Oldach (1993), Laurindo et al. (2001), Rezende e Abreu (2001), Pelanda (2006), Silva (2009) e Oliveira (2009) defendem a idia de que a TI estratgica, e que, por isso, exige governana e direcionamento estratgico por parte das organizaes. Silva (2009) refora essa idia ao afirmar que a TI deixou de ser vista como uma rea cujo objetivo era basicamente automatizar as transaes, concordando com Henderson e Venkatraman (1999), que dizem que a TI tem potencial no apenas para suportar as estratgias de negcio, mas tambm para desenhar novas estratgias para o negcio. Para estes autores, a inabilidade para ter retorno da TI , em parte, por falta de alinhamento entre as estratgias de TI e do negcio. Para Fernandes e Abreu (2008), quanto maior a dependncia que o negcio tem da TI em suas operaes-chave e nos planos futuros, mais a TI estratgica. Ferreira e Ramos (2005) citam uma pesquisa realizada por Thomas Pisello e Paul Strassmann em 2003, com 10.000 empresas em todo o mundo, que aponta que a inteligncia e o controle dos gastos com TI maximizam o retorno sobre os investimentos. Ainda que fosse uma commodity, os esforos das organizaes para com a TI no poderiam ser limitados a reduzir riscos e custos. Uma mudana na logstica do sistema de distribuio de uma empresa de vendas no varejo pode trazer uma vantagem competitiva para a organizao ou mesmo para toda sua cadeia de suprimento, mesmo estando as estradas,

26

ferrovias e todos os modais de transporte commodities estabelecidos e disponveis para todas as empresas h muitas dcadas. Diversas empresas que investiram estrategicamente em TI tiveram um retorno significativo, como Dell, Gol, eBay, PayPal, Sacks, Seven Eleven e WalMart, mostrando que investimentos em TI podem mudar uma indstria, criar uma nova indstria ou tornar o negcio muito mais eficiente. A TI passou a ser utilizada como apoio s decises estratgicas e em processos ou projetos estrategicamente importantes. Estar amplamente disponvel e ser utilizada por todas as reas da organizao, inclusive nos nveis estratgicos de deciso, devem ser entendidos como provas da necessidade de governar a TI, pois no utiliz-la ou utiliz-la de maneira inadequada pode por a organizao em uma situao de desvantagem frente aos seus concorrentes. Os investimentos ou gastos precisam ser direcionados para as necessidades e objetivos organizacionais, o que dificultado sem uma orientao estratgica para a rea de TI orientao que dada por controles e prticas de Governana de TI. Independentemente de ser uma rea estratgica, os altos custos, os riscos relacionados e a importncia que a TI adquiriu fazem com que ela precise ser gerida conforme boas prticas de Governana presentes em diversos modelos e normas existentes, dentre os quais se destacam o COBIT e o ITIL, os dois modelos de melhores prticas de Governana de TI mais adotados, segundo Lunardi et al. (2007).

2.1 GOVERNANA CORPORATIVA E GOVERNANA DE TI

A Governana Corporativa definida pelo Instituto Brasileiro de Governana Corporativa (IBGC) (2010) como o sistema pelo qual as organizaes so dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietrios, conselho de administrao, diretoria e rgos de controle. Para a Organizao para a Cooperao e Desenvolvimento Econmico (OCDE), Governana Corporativa um elemento-chave para aumentar a eficincia econmica e o crescimento, que envolve uma srie de relacionamentos entre os gestores e principais interessados das organizaes, oferecendo uma estrutura atravs da qual os seus objetivos so definidos, bem como os meios para alcan-los e monitor-los, ou, como resumiram Weill e

27

Ross (2006), a criao de uma estrutura que determinasse os objetivos organizacionais e monitorasse o desempenho para assegurar a concretizao desses objetivos. Segundo Mello (2006, p.11), citando o Cadbury Committee (1992), a Governana Corporativa um sistema pelo qual as organizaes so dirigidas e controladas, que denota a maneira pela qual as corporaes so governadas e administradas. A ateno que a Governana Corporativa vem tendo nos ltimos anos, segundo Brown e Grant (2005), resultado do colapso de grandes empresas no incio dos anos 2000 e da aprovao, em 2002, do Sarbanes-Oxley Act nos Estados Unidos. Fernandes e Abreu (2008) afirmam que esses fatos trouxeram mais complexidade ao negcio e gesto da TI, e que a Resoluo 3.380 do Banco Central do Brasil (BACEN) inclui a TI dentro da Governana Corporativa em instituies financeiras brasileiras. A Governana de TI deve ser uma parte integrante da estrutura de governana da organizao, para Callahan, Bastos e Keyes (2004). J Pelanda (2006), Adachi (2008), Lunardi (2008), Oliveira (2009), Abreu, Faoro e Guasselli (2009) afirmam que a Governana de TI surgiu como um subconjunto ou parte integrante da Governana Corporativa e foi largamente discutida a partir dos escndalos corporativos do incio dos anos 2000. Desde seu surgimento, no incio dos anos 1990 (PELANDA, 2006; GRANT et al., 2007; LUNARDI, 2008; SIMONSON; LAGERSTROM; JOHNSON, 2008; ABREU; FAORO; GUASSELLI, 2009), a Governana de TI s veio ser estudada diretamente no final da dcada de 1990 (PELANDA, 2006; LUNARDI, 2008; ABREU; FAORO; GUASSELLI, 2009), o que coincide com o perodo em que foi criado o IT Governance Institute (ITGI) (GRANT et al., 2007) para promover a melhoria do pensamento e dos padres internacionais de direo e controle da tecnologia da informao nas organizaes, que atua oferecendo pesquisas, recursos eletrnicos e estudos de caso para auxiliar as organizaes nas responsabilidades de Governana de TI dos seus lderes e do seu conselho de diretores (IT GOVERNANCE ..., 2007). Governana de TI tem sido tema de anlises e pesquisas tanto no meio acadmico quanto nas organizaes desde o surgimento do termo (PELANDA, 2006; GRANT et al., 2007; LUNARDI, 2008). Essas anlises e pesquisas tem permitido o desenvolvimento e aprimoramento de conceitos, mtodos e mecanismos para avaliao e implantao de Governana de TI nas organizaes. As prticas, processos e controles de Governana de TI vem sendo testados, aprimorados e compilados em diversas normas e modelos de melhores prticas, que tem sido adotados, em parte ou no todo, por instituies de normatizao e por

28

departamentos de TI de organizaes pblicas e privadas de todo o mundo, a fim de que os investimentos em TI estejam na direo dos objetivos institucionais. Apesar de ser um tema que tem recebido muita ateno em pesquisas cientficas, a Governana de TI o elo mais fraco da estrutura de Governana Corporativa, segundo Brown e Grant (2005). O que pode ajudar a explicar isso a inexistncia de um consenso sobre a definio de Governana de TI, fato discutido por Brown e Grant (2005), Haes e Grembergen (2005) e Grant et al. (2007). Grant et al. (2007) afirmam que, apesar de haver muitos trabalhos sobre Governana de TI, sua compreenso geral ainda confusa e, por isso, h necessidade de se criar um conceito coerente e sinttico. Embora ainda se discuta um conceito para Governana de TI, Weill e Ross (2006, p.14) afirmam que ela importante porque harmoniza decises sobre a administrao e a utilizao da TI com comportamentos desejveis e objetivos do negcio. Com base em pesquisas realizadas pelo Center for Information Systems Research (CISR), da Sloan School of Management do Massachusetts Institute of Technology (MIT), estes autores concluram que, entre as empresas que estudaram, as que seguiam uma estratgia eficiente e que tinham desempenho acima da mdia na Governana de TI tinham tambm lucros superiores. Nesse livro, Weill e Ross (2006, p.8) definem Governana de TI como a especificao dos direitos decisrios e do framework de responsabilidades para estimular comportamentos desejveis na utilizao da TI. Adachi (2008, p.37) define Governana de TI como o elemento que permite que a organizao possa formular e controlar a estratgia de TI e dar direo apropriada com o propsito de alcanar a vantagem competitiva para a corporao. A definio de Barbosa et al. (2006, p.4) diz que a Governana de TI a responsabilidade dos executivos de uma organizao na conduo dos processos, pessoas e estruturas da rea de TIC a fim de que atenda seus objetivos estratgicos. Vieira (2005) define Governana de TI como um movimento que visa melhorias no processo de anlise de riscos de investimentos em TI e a garantia do gerenciamento e do controle das iniciativas de TI nas organizaes.

29

Lunardi (2008) afirma que a Governana de TI um meio de justificar e otimizar os investimentos em tecnologia, e a define como um sistema responsvel pela distribuio de responsabilidades e direitos sobre as decises de TI, bem como pelo gerenciamento e controle dos recursos tecnolgicos da organizao, buscando, dessa forma, garantir o alinhamento da TI com as estratgias e objetivos organizacionais (2008, p.38). O ITGI (2007) diz que a Governana de TI responsabilidade dos executivos e da alta direo e que consiste em aspectos de liderana, estrutura organizacional e processos que garantam que a rea de TI da organizao suporte e aprimore os objetivos e as estratgias da organizao (2007, p.7), sendo esta a definio de Governana de TI adotada neste trabalho. Segundo Simonson, Lagerstrom e Johnson (2008), Governana de TI no apenas para alcanar eficincia na organizao da TI, mas serve principalmente para trazer para a organizao o melhor suporte necessrio para conduzir o negcio. Para Broadbent e Kitzis (2004), Governana de TI diz respeito a como as decises de TI so tomadas, quem consegue tomar essas decises e quem responde por elas. Haes e Grembergen (2004) afirmam que definies claras das regras e das responsabilidades das partes envolvidas um prrequisito crucial para governana efetiva de TI. A ateno que a TI vem tendo, os investimentos envolvidos com TI e o impacto estratgico das decises de TI aumentam a importncia da Governana de TI, afirmaram Weill e Ross (2006), que identificaram tambm os sintomas da Governana ineficaz, apresentados a seguir:

a) a alta gerncia v pouco valor nos investimentos em TI; b) a TI frequentemente uma barreira para a implementao de novas estratgias; c) os mecanismos para tomar decises de TI so lentos ou contraditrios; d) a alta gerncia no consegue explicar a Governana de TI; e) os projetos de TI frequentemente atrasam e excedem o oramento; f) a alta gerncia v a terceirizao como um reparo rpido para problemas de TI; e g) a governana muda frequentemente.

30

Fernandes e Abreu (2008) propem um ciclo de Governana de TI com quatro etapas, que tem como principal objetivo o alinhamento da TI aos objetivos do negcio com base na continuidade do negcio, no atendimento s estratgias organizacionais e aos marcos regulatrios. O ciclo inclui as seguintes etapas: alinhamento estratgico e compliance; deciso, compromisso, priorizao e alocao de recursos; estrutura, processos, operaes e gesto; e medio de desempenho. Para alcanar essas etapas, os autores identificam dezesseis modelos e normas de melhores prticas de Governana de TI, que Oliveira (2009) chama de frameworks e padres. O ciclo de Governana de TI de Fernandes e Abreu (2008) ser tratado em maiores detalhes mais adiante. Grant et al. (2007) afirmam que h uma infinidade de modelos conceituais e frameworks abstratos e desconexos de Governana de TI, mas, para o ITGI (2008a), a adoo de melhores prticas de TI tem crescido graas s exigncias feitas indstria de TI para que melhore a qualidade, confiabilidade e adequao a requisitos regulamentares e contratuais. Entre essas normas e modelos de melhores prticas, utilizando a nomenclatura de Fernandes e Abreu (2008), dois se destacam, segundo Lunardi et al. (2007), Moraes e Mariano (2008), Lunardi, Becker e Maada (2010):

a) o modelo COBIT (IT GOVERNANCE..., 2007), que ajuda a estruturar processos de governana em uma organizao de TI, ou, segundo Fernandes e Abreu (2008), um modelo para auditoria e controle de processos de TI; b) a biblioteca ITIL (OFFICE..., 2007a), que voltada para a gesto dos processos de servios de TI prestados em uma organizao, ou, segundo a definio dada por Rubin (2004), um conjunto de recomendaes que descreve as melhores prticas de gesto especificamente para a rea de TI.

Esses modelos de melhores prticas de Governana de TI pedem, alm de mudanas nos processos internos, uma nova maneira de gerir a TI. O modelo COBIT, segundo o ITGI (2008a), pode ser utilizado como o nvel mais alto e geral de Governana de TI, enquanto os processos de nvel mais detalhado e prtico so cobertos pela biblioteca ITIL, que trata mais especificamente de servios de TI. Com as orientaes desses dois modelos de

31

melhores prticas, o gestor deixa de ter um perfil mais tcnico e operacional e passa a ter um perfil mais ttico ou estratgico, e os investimentos em TI deixam de ser decididos apenas pelos profissionais da rea de TI, que podem tender a utilizar argumentos mais tcnicos em suas decises, para serem definidos por atores de diferentes reas ou de nveis mais altos de deciso, dando uma viso holstica da organizao e com base no planejamento estratgico institucional. discutvel a eficcia desses modelos como solues definitivas para os problemas de TI nas organizaes, principalmente no que tange ao retorno dos investimentos. Apesar disso, h um consenso de que Governana de TI e modelos de melhores prticas so balizadores para o alinhamento estratgico entre TI e negcio. Para o ITGI (2008a), a adoo efetiva de melhores prticas ajuda no retorno dos investimentos em TI por meio dos seguintes fatores:

a) melhoria da qualidade, responsividade e confiana nas solues e servios de TI; b) melhoria da capacidade de concretizar, prever e repetir resultados bem-sucedidos; c) aumento da confiana e do envolvimento dos usurios e patrocinadores; d) reduo de riscos, incidentes e falhas de projeto; e) melhoria da capacidade da organizao de gerenciar e monitorar os benefcios realizados pela TI.

Lunardi, Becker e Maada (2010) afirmam que a gesto da integrao entre TI e negcio de maneira que os investimentos estejam de acordo com os objetivos da organizao exige ter as pessoas certas nas posies certas. As pessoas certas nas posies certas pode ser possvel atravs da centralizao das decises relacionadas TI em comits de TI, que Lunardi, Becker e Maada (2009) consideram como um dos mecanismos que a organizao pode utilizar para que tenha alinhamento estratgico. Para Turban et al. (2010), a existncia de estruturas organizacionais que facilitam a implementao da estratgia, dos objetivos e das polticas de TI uma questo crucial relacionada Governana de TI. Para Callahan, Bastos e Keyes (2004), a eficcia do Comit Gestor de TI de importncia estratgica para o sucesso global da organizao na obteno de uma vantagem competitiva a partir de seu investimento em TI.

32

As decises desses Comits Executivos de TI (IT GOVERNANCE..., 2007) ou Comits de TI (SISTEMA..., 2008), devem ser includas em um documento que traduza o planejamento estratgico para a TI institucional documento que pode ser chamado de Plano Estratgico de TI (PETI) (REZENDE, ABREU, 2001; CARVALHO, 2006; IT GOVERNANCE..., 2007; SHU, 2008), Plano de TI (FERNANDES; ABREU, 2008) ou, conforme a Secretaria de Logstica e Tecnologia da Informao (SLTI) (SECRETARIA..., 2008) do Ministrio do Planejamento, Oramento e Gesto (MPOG), de Plano Diretor de Tecnologia da Informao (PDTI), nomenclatura adotada neste trabalho. Segundo Shu (2008), um PDTI foca naquilo que deve ser feito pela rea de TI. So estratgias a serem executadas para alcanar metas estratgicas de alto nvel. Dessa forma, o PDTI deve oferecer detalhes de sua implementao, pois procura alcanar os objetivos do Plano Estratgico Institucional, o que exige mudanas constantes e adaptaes s mudanas nos planos institucionais e nas tecnologias disponveis. Com o planejamento estratgico de TI, as decises sobre os investimentos em TI deixam de ser exclusivas dos profissionais tcnicos do nvel operacional de TI e passa para os Comits de TI. A avaliao dos servios prestados e dos projetos executados pela rea de TI deixa de ser subjetiva e passa a ser baseada em mtricas objetivas e claras, definidas com base nos objetivos estratgicos da organizao. Carvalho (2006) diz que o PDTI difere do antigo Plano Diretor de Informtica (PDI) por este ltimo ser limitado apenas aos planos para a rea de informtica e seus recursos. Como possvel observar no Modelo de Referncia de Plano Diretor de Tecnologia da Informao 2008-2009, da SLTI (SECRETARIA..., 2008) do MPOG, no h uma nica metodologia para elaborao de um PDTI e outras podem ser utilizadas. Segundo Rezende e Abreu (2001), a elaborao do PDTI um processo dinmico de estruturao operacional, ttica e estratgica das informaes, da TI e seus recursos, dos sistemas de informao e das pessoas envolvidas para atender s decises, aes e processos organizacionais. Para Fernandes e Abreu (2008), o PDTI o produto principal do alinhamento estratgico da TI com as estratgias da instituio. Fernandes e Abreu (2008) dizem que o PDTI deve contemplar informaes sobre: princpios de TI, arquitetura de TI, infraestrutura de TI, necessidades de aplicaes, objetivos de desempenho e nveis de servio, capacidade requerida de atendimento (em relao aos

33

recursos humanos e de infraestrutura), organizao das operaes de servios de TI, estratgia para fornecedores de servios, competncias requeridas, polticas de segurana da informao, investimentos e custeio. Trata, portanto, de diversos aspectos da estrutura e do funcionamento da rea de TI na organizao. A previso de investimentos e custeio no PDTI, segundo estes autores, no deve ser superior a trs anos. O documento mostra, portanto, em que a rea de TI deve se transformar ou como deve se manter durante um perodo, o que vai direcionar as aquisies, contrataes, treinamentos e mudanas na infraestrutura para atender tanto necessidades mais urgentes quanto demandas estratgicas. Ele pode incluir tambm planos de mudanas na organizao e nos processos internos da TI para adequao s estratgias organizacionais e planos de adoo de polticas relacionadas a tratamento das informaes sensveis da organizao. Segundo Luftman, Lewis e Oldach (1993), o planejamento estratgico de TI garante implementaes de tecnologia e infraestrutura alinhadas ao negcio atravs de um quadro lgico que permite a anlise de escolhas estratgicas. Para Albuquerque (2003, p.21), o alinhamento entre a estratgia de TI e a estratgia de negcio visa introduzir uma perspectiva mais integradora e qualitativa, buscando captar a relao entre as prticas gerenciais e estratgias associadas ao uso da TI, alm da anlise do prprio processo de avaliao da TI em si. Turban et al. (2010) pem o alinhamento entre a estratgia de TI e a estratgia do negcio, bem como a disseminao da estratgia, dos objetivos e das polticas de TI na organizao e o controle e a medio do desempenho de TI como questes cuja abordagem est na essncia da Governana de TI. fundamental a avaliao constante da Governana de TI, que deve indicar mudanas e melhorias que vo se refletir em mudanas no planejamento estratgico de TI, para que as sejam feitas adequaes nas prticas e controles de maneira que reflitam as necessidades e objetivos da organizao. Esse processo funciona como um ciclo, que exige constante planejamento, aplicao, verificao e mudanas. A seguir, o ciclo de Governana de TI proposto por Fernandes e Abreu (2008), utilizado como base para este trabalho, ser apresentado em maiores detalhes.

34

2.2 O CICLO DE GOVERNANA DE TI

Segundo Fernandes e Abreu (2008, p.15), a Governana de TI tem como base a continuidade do negcio, o atendimento s estratgias do negcio e o atendimento a marcos de regulao externos, e seu objetivo principal o alinhamento entre a TI e os objetivos do negcio. Os autores afirmam tambm que Governana de TI deve:

a) garantir que a TI alinhe suas estratgias e objetivos ao negcio; b) garantir que, mesmo na ocorrncia de interrupes e falhas em seus servios, o negcio possa continuar; c) garantir que normas e resolues externas sejam cumpridas.

Ainda segundo Fernandes e Abreu (2008), dentro do objetivo principal da Governana de TI, outros objetivos podem ser identificados:

a) Permitir que a TI se posicione de maneira mais clara e consistente em relao s demais reas de negcio, o que significa que a TI deve entender as estratgias de negcio e traduzi-las em planos para sistemas, infraestrutura, organizao e processos. b) Alinhar e priorizar as iniciativas de TI com a estratgia do negcio, tendo em vista as prioridades do negcio e as restries de oramento. A priorizao gera um Portflio de TI, que liga as atividades dirias e a estratgia. c) Alinhar a arquitetura de TI, a infraestrutura e as aplicaes s necessidades da organizao atravs de projetos e servios planejados e priorizados. d) Prover a TI dos processos necessrios para atender os servios de TI conforme padres que atendam s necessidades do negcio. Isso inclui tanto processos de gesto quanto operacionais, que devem estar inseridos em uma estrutura organizacional que deve conter as competncias, pessoas e ativos necessrios. e) Prover a TI da estrutura de processos que possibilite a gesto dos seus riscos para a continuidade das operaes da organizao. Deve ser considerada a mitigao dos riscos para o negcio nos processos de gesto e operacionais. f) Prover regras claras para as responsabilidades sobre decises e aes relativas TI na organizao, o que significa identificar as responsabilidades sobre as decises relativas a

35

princpios de TI, arquitetura de TI, infraestrutura de TI, necessidades, investimentos, segurana da informao, fornecedores e parcerias, permitindo que os modelos adequados de tomada de decises sejam adotados e funcionem.

Os autores afirmam que, para atingir todos esses objetivos, a implantao de Governana de TI exige o cumprimento de quatro etapas ou domnios de um processo cclico, sendo que cada uma dessas etapas tem seus componentes internos, que precisam estar integrados. A seguir esto as quatro etapas ou domnios apresentados pelos autores:

a) Alinhamento Estratgico e Compliance; b) Deciso, Compromisso, Priorizao e Alocao de Recursos; c) Estrutura, Processos, Operaes e Gesto; d) Medio de Desempenho.

A etapa de Alinhamento Estratgico e Compliance tem como principal produto o PDTI, e inclui os seguintes processos:

a) Princpios de TI; b) Arquitetura de TI; c) Infraestrutura de TI; d) Necessidades de Aplicaes; e) Objetivos de Desempenho; f) Capacidade Atendimento, que inclui tanto a capacidade requerida de recursos humanos quanto de infraestrutura; g) Processos e Organizao, com a organizao das operaes e servios de TI; h) Estratgia de Outsourcing; i) Competncias necessrias;

36

j) Segurana da Informao; k) Plano de TI, o prprio documento do PDTI, contendo os investimentos e custeio que devero ser executados na sua vigncia.

A etapa de Deciso, Compromisso, Priorizao e Alocao de Recursos tem como componentes os seguintes:

a) Mecanismos de Deciso; b) Portflio de TI.

A etapa de Estrutura, Processos, Operaes e Gesto composta de:

a) Operaes de Servios; b) Relacionamento com Usurios; c) Relacionamento com Fornecedores.

A etapa de Medio de Desempenho contm apenas o componente Gesto do Desempenho de TI. A Figura 1 mostra uma representao grfica do ciclo de Governana de TI de Fernandes e Abreu (2008). O cumprimento das etapas do ciclo facilitado pela adoo de boas prticas contidas nos diversos modelos e normas existentes, dentre eles, ITIL e COBIT, segundo Lunardi et al. (2007) e Moraes e Mariano (2008). Esses dois modelos de melhores prticas so descritos em maiores detalhes nas sees seguintes. Fernandes e Abreu (2008) afirmam que a etapa de Alinhamento Estratgico e Compliance inclui processos ligados ao planejamento estratgico de TI, que considera o planejamento estratgico da instituio e os requisitos relacionados a normas externas. Esta uma etapa que no deve ficar exclusivamente a cargo dos profissionais de TI, devendo contar

37

com o apoio da Direo e com a participao multidisciplinar de profissionais de diversas reas da organizao, que podem compor o j citado Comit de TI ou Comit Gestor de TI, que dever elaborar e manter o PDTI alinhado com as estratgias e objetivos organizacionais. Para os autores, o processo de Alinhamento Estratgico tem a finalidade de definir o alinhamento estratgico de TI em termos de arquitetura, infraestrutura, aplicaes, organizao e processos com as necessidades atuais e futuras da organizao. Ele serve como base para todos os outros processos de todas as outras etapas, e derivado do planejamento estratgico institucional e das definies feitas atravs do processo Princpios de TI.

Figura 1 O Ciclo da Governana de TI Adaptado de: Fernandes e Abreu (2008, p.14)

38

Princpios de TI so as regras gerais da organizao que servem para subsidiar a tomada de deciso sobre a arquitetura e a infraestrutura de TI, a aquisio e desenvolvimento de software e equipamentos, a gesto de ativos e o uso de padres, e que devem ser seguidas por todos os colaboradores da organizao (FERNANDES; ABREU, 2008). Weill e Ross (2006, p.29) definem princpios de TI como um conjunto relacionado de declaraes de alto nvel sobre como a Tecnologia da Informao utilizada no negcio, e Broadbent e Kitzis (2004) definem como afirmaes que determinam a forma de conduta prtica da rea de TI. Segundo Weill e Ross (2006), os princpios de TI podem ser utilizados para educar os executivos sobre a estratgia tecnolgica e sobre as decises de investimento, e complementam afirmando que esses princpios devem definir o que se espera em termos de comportamento dos profissionais e usurios de TI. Para Broadbent e Kitzis (2004), os princpios de TI levam s estratgias de TI e so derivados dos princpios e das estratgias do negcio. Weill e Ross (2004) afirmam que as decises sobre princpios de TI devem cobrir questes como a forma como os princpios de negcio so traduzidos em princpios para a rea de TI para guiar a tomada de decises, qual o papel da TI na organizao e quais os comportamentos desejveis para a TI da organizao. O processo Necessidades de Aplicaes permite identificar as aplicaes que a organizao precisa para atender s estratgias e prover a continuidade do negcio, alm de determinar quais aplicaes devero ser mantidas, melhoradas, substitudas e implantadas (FERNANDES; ABREU, 2008). Para Weill e Ross (2006), a especificao das necessidades de negcio de aplicaes de TI, sejam elas desenvolvidas internamente ou externamente. Weill e Ross (2004) dizem tambm que as decises de necessidades de aplicaes devem levar em conta questes como quais as oportunidades de mercado e de processos da organizao para novas aplicaes, ou como as necessidades do negcio podem ser abordadas dentro dos padres de arquitetura. Weill e Ross (2006, p.29) definem Arquitetura de TI como a organizao lgica de dados, aplicaes e infra-estruturas, definida a partir de um conjunto de polticas, relacionamentos e opes tcnicas adotadas para obter a padronizao e a integrao tcnicas e de negcio desejadas. A Arquitetura de TI tem seu foco na padronizao de processos, dados e tecnologia (FERNANDES; ABREU, 2008). Para Weill e Ross (2004), as decises sobre arquitetura de TI devem considerar questes como identificar quais so os processos centrais para a organizao, quais informaes so essenciais para esses processos, como

39

essas informaes podem estar integradas e o que pode ser padronizado para facilitar essa integrao. A Infraestrutura de TI faz a ligao entre a organizao e seus parceiros, fornecedores e outras infraestruturas, definindo os servios de gesto de dados, comunicaes, ativos de TI, infraestrutura e segurana da informao, entre outros, bem como os recursos computacionais e a disposio desses recursos na organizao, segundo Fernandes e Abreu (2008). Para Weill e Ross (2006, p.29), a Infraestrutura de TI so servios de TI coordenados de maneira centralizada e compartilhados, que provm a base para a capacidade de TI da empresa. As decises sobre infraestrutura de TI devem considerar quais servios so mais crticos para que a organizao alcance seus objetivos, quais servios devem ser implementados por toda a organizao e qual o plano para manter a atualizao tecnolgica da infraestrutura de TI. Os Objetivos de Desempenho direcionam a administrao da TI para atender a metas de desempenho compatveis com os objetivos traados para a prestao dos servios (FERNANDES; ABREU, 2008, p.18). Diferem dos acordos de nveis de servio, que so estabelecidos entre a rea de TI ou empresa prestadora de servios de TI e a organizao cliente. Ambos contm indicadores que orientam na avaliao e melhoria dos processos e servios. Capacidade de Atendimento o processo que define a quantidade de recursos para atendimento s demandas da organizao, em termos de recursos humanos e computacionais. Indica se a infraestrutura existente atende demanda por sistemas e servios (FERNANDES; ABREU, 2008). A Estratgia de Outsourcing o processo que decide sobre o que deve ser terceirizado, como deve ser feita a terceirizao, como escolher a empresa que executar o servio, como esse servio dever ser gerenciado e monitorado e como realizar a troca de fornecedores, entre outras coisas (FERNANDES; ABREU, 2008). Weill e Ross (2004) afirmam que, ao desenhar a Governana de TI, deve-se perguntar quais servios da infraestrutura de TI devem ser terceirizados. Segurana da Informao o processo que culmina na elaborao da Poltica de Segurana da Informao, que determina, segundo Fernandes e Abreu (2008), as diretrizes e aes de segurana da informao para aplicativos, infraestrutura, dados, pessoas e

40

relacionamentos com outras organizaes. Segundo a Associao Brasileira de Normas Tcnicas (ABNT) (2005), a Poltica de Segurana da Informao visa mostrar formalmente a orientao e o apoio da direo da organizao segurana da informao, em conformidade com os requisitos do negcio, com as normas, leis e regulamentaes pertinentes. A Poltica de Segurana da Informao deve refletir o risco que a TI representa para a continuidade do negcio na profundidade e abrangncia do seu escopo (FERNANDES; ABREU, 2008). Competncias so as habilidades e conhecimentos necessrios para o desenvolvimento e implantao das iniciativas de TI e que estaro presentes na estrutura organizacional e nos processos de servios de TI (FERNANDES; ABREU, 2008, p.19). Processos e Organizao determinam como os servios de TI sero prestados e como os produtos sero desenvolvidos, gerenciados e disponibilizados aos usurios, segundo Fernandes e Abreu (2008). O Plano de Tecnologia da Informao, conforme j foi visto neste trabalho, o documento que traduz o plano estratgico de TI para a organizao, que vem sendo chamado neste trabalho de PDTI. o principal produto do processo de alinhamento estratgico, como observaram Fernandes e Abreu (2008), que dizem que deve contemplar ainda os Princpios de TI, a Arquitetura de TI, a Infraestrutura de TI, as Necessidades de Aplicaes, os Objetivos de Desempenho e os nveis de servio acordados, a Capacidade de Atendimento, os processos e a organizao da TI, a estratgia de terceirizao, as Competncias necessrias, a Poltica de Segurana da Informao e os investimentos e custeio previstos para sua vigncia. Em outras palavras, o PDTI deve conter o resultado de todos os processos e componentes da etapa de Alinhamento Estratgico e Compliance do ciclo de Governana de TI, expressos de uma maneira que todos da organizao possam compreender os objetivos, produtos e servios de TI. A etapa Deciso, Compromisso, Priorizao e Alocao de Recursos, segundo Weill e Ross (2006, p.29), contempla decises sobre quanto e onde investir em TI, incluindo a aprovao de projetos e as tcnicas de justificao. Em outras palavras, define a estrutura de tomada de decises sobre TI e prepara o Portflio de TI. Os Mecanismos de Deciso definem quem decide o qu em termos de princpios de TI e dos componentes do PDTI. Weill e Ross (2006) identificaram seis padres de decises em TI: monarquia do negcio, monarquia de TI, feudalismo, federalismo, duoplio de TI e

41

anarquia. Segundo os autores, a depender do tipo de deciso, uma mesma organizao utiliza diferentes padres de tomada de deciso. Esses padres de deciso vo compor os Mecanismos de Deciso da organizao para deliberar sobre projetos, servios e aplicaes. A definio dos princpios de TI na etapa anterior vai proporcionar a definio das prioridades de TI, gerando um Portflio de TI, que o instrumento de priorizao dos investimentos em TI, elaborado com base nas expectativas de retorno de projetos e ativos de TI para a organizao e no alinhamento estratgico (FERNANDES; ABREU, 2008). Para Weill e Ross (2006), o Portflio de TI requer que a TI e seus clientes concordem quanto aos indicadores de sucesso, e deve ser amplamente divulgado na organizao, segundo Fernandes e Abreu (2008). Estes autores afirmam ainda que a criao do Portflio de TI estabelece os limites e prioridades de atuao da TI. Por conter todos os projetos, servios e ativos de TI da organizao, garante que somente esses projetos, servios e aplicaes priorizados sejam executados, prestados ou desenvolvidos, mostrando os riscos envolvidos, eliminando a redundncia nas iniciativas, otimizando a alocao de recursos e ajudando nas decises sobre mudanas de prioridades. A administrao do Portflio de TI exige que os recursos financeiros destinados a cada projeto ou item sejam categorizados conforme os objetivos do negcio. Os ativos de TI podem ser classificados, para compor o Portflio, como estratgico, informativo, transacional e de infraestrutura, o que facilita a tomada de decises sobre os investimentos de TI (WEILL; ROSS, 2006). Para priorizao dos investimentos em TI, devem ser consideradas quais mudanas ou melhorias nos processos so estrategicamente mais importantes para a organizao, qual a importncia dos investimentos que afetam toda a organizao e dos investimentos que afetam apenas uma rea especfica, se os investimentos atuais refletem essa importncia identificada (WEILL; ROSS, 2004). A etapa Estrutura, Processos, Operao e Gesto define: a estrutura necessria para prestao dos servios, execuo dos projetos e operao do ambiente; quais processos so necessrios para apoiar os servios; quais conhecimentos e habilidades so necessrios; quais so as competncias necessrias; e como o trabalho ser dividido entre os profissionais e de acordo com seus conhecimentos, habilidades e competncias (FERNANDES; ABREU, 2008). Operaes de Servios define como as operaes dentro da rea de TI so executadas e para quem se destinam. Fernandes e Abreu (2008) entendem que deve haver aderncia da operao de servios s necessidades da operao de TI. Os autores afirmam que

42

os servios aos usurios e clientes, os requisitos de compliance desses servios, os nveis de servios esperados, os processos envolvidos com esses servios e o conhecimento necessrio para apoiar os processos e a estrutura organizacional esto includos na lgica de estruturao das Operaes de Servios. As principais operaes de TI, segundo estes autores, so: operaes de sistemas, operaes de suporte tcnico, operaes de infraestrutura, operaes de segurana da informao, operaes de processos, operaes de suporte chefia de TI, diretoria de TI ou chief information officer (CIO), e outras operaes, como garantia de qualidade, engenharia de software, gerenciamento de configurao, novas tecnologias, entre outros. As operaes de suporte ao CIO incluem planejamento de TI, gerenciamento de contratos, escritrio de projetos e oramento da TI. As operaes de processos incluem a elaborao, a melhoria e a implantao de processos. Esse processo define, a partir do Portflio de TI, um Catlogo de Servios de TI que deve mostrar para todos os usurios quais so os servios que a rea de TI presta. O Catlogo de Servios de TI dever estar disponvel e ser amplamente divulgado na organizao, e poder ser dividido em categorias de servios, que podem ser: servios prestados aos usurios; servios prestados TI; e servios prestados a clientes e fornecedores (FERNANDES; ABREU, 2008). O Catlogo de Servios extremamente importante para a compreenso dos usurios sobre as atividades desenvolvidas pela rea de TI. O Office of Government Commerce (OGC) (2007e) define Catlogo de Servios como o conjunto de servios prestados pela rea de TI que esto atualmente visveis e disponveis para os usurios e aqueles que ainda no foram implantados mas esto disponveis para implantao. O processo Relacionamentos com Usurios trata da comunicao e das relaes entre a TI e os usurios, incluindo a solicitao de servios de TI e a avaliao desses servios, das responsabilidades de usurios e de profissionais de TI nos projetos desenvolvidos, da priorizao dos atendimentos e da capacitao dos profissionais de TI e dos usurios, segundo Fernandes e Abreu (2008). Para estes autores, todas as demandas de manuteno devem ser atendidas sempre atravs da Central de Servios, que deve funcionar como um ponto nico de acesso dos usurios aos servios da rea de TI, segundo OGC (2007e). Relacionamento com Fornecedores trata de todos os processos de relacionamento da TI da organizao com os fornecedores de produtos e servios, incluindo solicitaes de oramentos, e definies sobre avaliao de qualidade de servios prestados pelos fornecedores e acordos de nvel de servio (FERNANDES; ABREU, 2008).

43

Gesto do Desempenho de TI, que o nico processo da etapa de Medio de Desempenho do ciclo de Governana de TI de Fernandes e Abreu (2008), trata do monitoramento do desempenho das operaes de TI e dos acordos de nvel de servios, conforme os objetivos de desempenho, em termos de desenvolvimento de aplicaes, suporte, entrega de servios, segurana da informao, acordos de nvel operacional e nveis de servios de contratos. Weill e Ross (2004) afirmam que cada servio da infraestrutura de TI deve ter um nvel de servio definido. Esse processo responsvel pela implantao dos indicadores de desempenho, pelo monitoramento, pela tomada de deciso sobre desempenho e as melhorias e o controle dos servios. Fernandes e Abreu (2008) afirmam que os controles e prticas presentes nos modelos de melhores prticas podem ser alinhados ao seu ciclo de Governana de TI. Os autores observam tambm que os modelos de melhores prticas COBIT e ITIL atendem grande maioria dos componentes de cada etapa do seu ciclo. Para ilustrar, os autores apresentam uma figura em que os diversos modelos de melhores prticas citados em seu livro so mapeados ao ciclo de Governana de TI. Segundo eles, existem ainda lacunas a serem resolvidas quanto a esse mapeamento. Essas lacunas esto no componente Princpios de TI da etapa Alinhamento Estratgico e Compliance, e no componente Mecanismos de Deciso da etapa Deciso, Compromisso, Priorizao e Alocao de Recursos. A Figura 2 mostra os modelos de melhores prticas COBIT e ITIL relacionados aos componentes das etapas do ciclo de Governana de TI. Percebe-se que o modelo de melhores prticas mais abrangente o COBIT, que se relaciona com todos os componentes das quatro etapas do ciclo. A biblioteca ITIL relacionase tambm com todos os componentes das etapas Estrutura, Processos, Operao e Gesto e Medio de Desempenho, mas no est ligada etapa Deciso, Compromisso, Priorizao e Alocao de Recursos nem a alguns componentes da etapa Alinhamento Estratgico e Compliance. Embora Fernandes e Abreu (2008) no tenham demonstrado que h uma relao entre os processos da ITIL e o processo Estratgia de Outsourcing do ciclo de Governana de TI, essa relao existe, pois a biblioteca ITIL trata, em diversas passagens, da contratao de servios de TI externos, embora no tenha um processo especfico para decises relacionadas a TI. O mesmo pode ser dito para o processo Portflio de TI, que tem uma relao muito

44

prxima com o processo Gerenciamento de Portflio de Servios do livro que trata de Estratgia de Servio (OFFICE..., 2007b).

Figura 2 Os modelos de melhores prticas no contexto da Governana de TI. Adaptado de: Fernandes e Abreu (2008, p.165)

Na implantao da Governana de TI, o modelo COBIT orienta mostrando aquilo que deve ser feito, enquanto a biblioteca ITIL ajuda a definir como deve ser feito (IT GOVERNANCE..., 2008a). Fernandes e Abreu (2008, p.423) afirmam que A utilizao dos modelos, sejam em carter total ou parcial, depender da estratgia de cada empresa. Ainda conforme esses autores, a organizao no precisa necessariamente se prender a apenas um modelo de melhores prticas. Eles recomendam selecionar, de um ou mais modelos, aquilo que se aplica melhor ao negcio. Essa possibilidade foi identificada tambm por Rubin

45

(2004), que afirmou que a adoo de apenas um modelo pode no ser suficiente, e a organizao pode contar com um mix de modelos de Governana de TI, enquanto Rodrguez e Vieira (2007) afirmam que a melhor opo pode ser a adoo combinada de mais de um modelo. O ITGI confirmou essa possibilidade ao publicar dois livros em que apresenta o alinhamento entre processos do COBIT 4.1 e da ITIL v3, alm dos controles de segurana da informao presentes na norma ISO/IEC 27002 (IT GOVERNANCE..., 2008a) e um mapeamento entre o ITIL v3 e o COBIT 4.1 (IT GOVERNANCE..., 2008b). Conforme a publicao, esses padres e prticas so tipicamente utilizados para:

a) Apoiar a Governana de TI envolve apropriao dos processos de TI, responsabilizao e clara prestao de contas das atividades de TI, alinhamento entre os objetivos de TI e os objetivos do negcio, definio de prioridades e alocao de recursos, otimizao de custos, identificao de riscos significativos, garantia de que os recursos de TI esto organizados de maneira eficiente e com capacidade suficiente para executar a estratgia de TI, e garantia de monitoramento e medio das atividades crticas de TI. b) Definir requisitos para os servios e projetos internos ou executados por prestadores de servios envolve a definio clara dos objetivos e mtricas de TI relacionados ao negcio, a definio dos servios e projetos para o usurio final, a criao de acordos de nvel de servio e contratos que possam ser monitorados, a garantia de que os requisitos dos clientes sejam transformados em requisitos tcnicos e operacionais de TI, a considerao dos portflios de projetos e servios de TI na definio das prioridades e na alocao de recursos. c) Verificar a capacidade do fornecedor ou demonstrar competncia para o mercado envolve auditorias e avaliaes independentes, acordos contratuais, atestados e certificaes. d) Facilitar a melhoria contnua por meio de avaliaes de maturidade, anlises de lacunas (gaps), avaliaes comparativas (benchmarking), planejamento de melhorias, preveno de retrabalho na criao de boas abordagens. e) Avaliar e auditar a partir de uma viso externa envolve o entendimento mtuo de objetivos e critrios, avaliaes comparativas (benchmarking) para justificar fraquezas e falhas no controle, aumentando a profundidade e o valor das recomendaes seguindo abordagens aceitas de maneira geral.

A adoo de prticas e controles de modelos de melhores prticas traz alguns benefcios, que foram observados por Callahan, Bastos e Keyes (2004):

46

a) a proteo das partes interessadas; b) o esclarecimento e o gerenciamento adequado dos riscos de TI; c) o controle e a proteo dos investimentos em TI; d) a gesto adequada dos ativos de informao; e) o melhor aproveitamento dos benefcios e oportunidades relacionados a TI; f) a sustentao das operaes atuais e o alinhamento entre os objetivos da TI e do negcio.

Alm disso, a adoo de modelos testados e adotados mundialmente, que j contam com uma estrutura de certificao e capacitao de profissionais, traz uma economia de tempo e recursos que dificilmente uma organizao ter se tentar criar e adotar um modelo prprio, que nunca foi adotado ou testado. Para Haes e Grembergen (2004), o elemento chave na Governana de TI o alinhamento entre a TI e o negcio para levar realizao de valor do negcio, e para alcanar essa meta, preciso que a Governana de TI seja reconhecida como parte da Governana da organizao e que seja criada uma estrutura de Governana de TI utilizando melhores prticas. As organizaes precisam priorizar onde e como utilizar os padres e prticas de Governana de TI para evitar implementaes caras e sem foco (IT GOVERNANCE..., 2008a). Para isso, preciso que os gestores se apropriem da Governana de TI e definam a direo que dever ser tomada pela organizao, o que pode envolver a adoo de mais de um modelo de melhores prticas, no todo ou em parte. Isso exige a garantia de que a TI est na agenda de discusses dos nveis ttico e estratgico para seleo desses controles e prticas para que se tenha Governana de TI.

2.3 A BIBLIOTECA ITIL

A biblioteca ITIL a consolidao de melhores prticas em uma biblioteca que apresenta uma viso consistente e holstica do Gerenciamento de Servios de Tecnologia da

47

Informao, definindo cada processo de gerenciamento de TI, suas funes, atividades e objetivos, tendo o cliente com ponto principal. Esse modelo perfeitamente aplicvel s reas de TI que tm suporte, administrao do ambiente computacional e prospeco de novas tecnologias como atividades, pois tem a gesto de servios de TI como seu principal foco, conforme Fernandes e Abreu (2008). Para o ITGI (2008a), ITIL baseado em processos de melhores prticas para suporte e gerenciamento de servios de TI, mas no define um quadro de controle. O gerenciamento de servios de TI utilizando ITIL envolve o planejamento, terceirizao, projeto, implementao, operao, apoio e melhoraria dos servios de TI, de maneira que estejam adequados s necessidades da organizao. Para o ITGI (2008b), o ITIL fornece um conjunto abrangente e detalhado de boas prticas de gesto de servios de TI com uma abordagem de qualidade. Como se trata de uma biblioteca, ITIL disponibilizada como uma srie de cinco livros, que, segundo os autores, correspondem aos cinco estgios do ciclo de vida do servio de TI, definindo os objetivos, as atividades, as entradas e sadas de cada um dos processos, sem dar, entretanto, uma descrio especfica de como as atividades devem ser executadas, j que as organizaes tm caractersticas prprias que impedem que procedimentos adotados em uma sejam perfeitamente aplicveis em outra. Os cinco livros que compem o ncleo da biblioteca ITIL so os seguintes:

a) Estratgia de Servio (Service Strategy) trata da estratgia para desenho, desenvolvimento e implementao dos processos dos outros livros (OFFICE..., 2007b); b) Desenho de Servio (Service Design) orienta para o desenho e o desenvolvimento dos servios e dos processos de gerenciamento de servios (OFFICE..., 2007c); c) Transio de Servio (Service Transition) orienta sobre o planejamento e o suporte implementao de servios novos e de mudanas nos existentes (OFFICE..., 2007d); d) Operao de Servio (Service Operation) orienta sobre atividades dirias de operao dos servios de TI existentes a entrega e o suporte aos servios (OFFICE..., 2007e); e) Melhoria Contnua do Servio (Continual Service Improvement) trata de melhorias na qualidade dos servios de TI atravs de princpios, prticas e mtodos de gerenciamento de qualidade (OFFICE..., 2007f).

48

Os cinco livros da biblioteca ITIL v3 e a forma como eles esto integrados esto representados na Figura 3. Os processos e funes da ITIL descritos em cada um dos livros esto representados no Quadro 1.

Figura 3 Ncleo da biblioteca ITIL v3 Fonte: OGC (2007c, p.6)

Segundo Fernandes e Abreu (2008, p.273), a adoo das prticas da ITIL tem como objetivo principal prover um conjunto de prticas de gerenciamento de servios de TI testadas e comprovadas no mercado [...], que podem servir como balizadoras, tanto para organizaes que j possuem operaes de TI em andamento e pretendem empreender melhorias, quanto para a criao de novas operaes. Fernandes e Abreu (2008) dizem ainda que a adoo das boas prticas da biblioteca ITIL permite que a organizao utilize seus ativos de TI com eficcia e eficincia por meio do aumento da maturidade da gesto e da melhoria da qualidade dos seus servios, que devem ser voltados para as necessidades dos seus clientes e usurios. possvel identificar no objetivo principal da ITIL os seguintes objetivos:

a) alinhamento entre os servios e recursos de TI e as necessidades da organizao e dos seus clientes;

49

b) melhoria da qualidade dos servios de TI; c) reduo dos custos dos servios de TI; d) direcionamento dos investimentos em TI para os objetivos da organizao; e) aumento da eficcia e da eficincia dos processos de TI.

LIVROS
Estratgia de Servio Desenho de Servio

PROCESSOS
Gerenciamento Financeiro de TI Gerenciamento de Portflio de Servios Gerenciamento da Demanda Gerenciamento do Catlogo de Servios Gerenciamento do Nvel de Servio Gerenciamento da Capacidade Gerenciamento da Disponibilidade Gerenciamento da Continuidade de Servio Gerenciamento de Segurana da Informao Gerenciamento de Fornecedor Gerenciamento de Mudana Gerenciamento da Configurao e de Ativo de Servio Gerenciamento da Liberao e Implantao Validao e Teste de Servio Avaliao Gerenciamento do Conhecimento Gerenciamento de Evento Gerenciamento de Incidente Cumprimento de Requisio Gerenciamento de Problema Gerenciamento de Acesso Relatrio de Servios Medio de Servio Quadro 1 Processos e Funes da ITIL v3 Adaptado de Fernandes e Abreu (2008, p. 275)

FUNES

Transio de Servio

Operao de Servio

Central de Servios Gerenciam. Tcnico Gerenciam. de Aplicativo Gerenciam. das Operaes de TI

Melhoria Contnua do Servio

Alm disso, ITIL permite avaliar a qualidade dos servios prestados por empresas terceirizadas atravs de indicadores objetivos, sendo, portanto, uma fonte importante de prticas de Governana de TI. De acordo com o ITGI (2008a), a ITIL destinada a apoiar, mas sem ditar os processos de negcio de uma organizao. Seu papel descrever as abordagens, as funes, papis e processos sobre os quais as organizaes podem basear suas prprias prticas. ITIL orienta as organizaes at determinado nvel, de maneira que sua implementao dependa de conhecimentos especficos dos processos das organizaes.

50

Os benefcios da adoo da biblioteca ITIL incluem a reduo de custos operacionais, reduo na quantidade de incidentes de TI atendidos, reduo nos custos de suporte, aumento da quantidade de incidentes atendidos dentro do tempo de resposta, reduo da indisponibilidade dos sistemas, aumento do retorno sobre os investimentos em TI, economia de recursos gastos com TI, reduo do custo total de propriedade de TI, melhoria da satisfao dos clientes, reduo gradativa dos custos de treinamento, melhoria da produtividade das equipes de servios atravs do conhecimento sobre responsabilidades individuais, reduo dos custos relacionados a incidentes e problemas, melhor utilizao dos recursos de TI, maior clareza quanto ao custeio dos servios de TI, melhoria da satisfao dos colaboradores e reduo da rotatividade dos colaboradores, entre outros observados por Fernandes e Abreu (2008).

2.4 O MODELO COBIT

O COBIT um guia independente de plataforma tecnolgica, criado pelo ITGI e recomendado pela Information Systems Audit and Control Association (ISACA). eficiente como auxlio Governana de TI, pois trata do gerenciamento e controle das iniciativas de TI alinhados aos objetivos da organizao. Para o ITGI (2008a), COBIT oferece melhores prticas e ferramentas para monitorar e gerenciar atividades de TI. O modelo um conjunto de melhores prticas aplicvel para auditoria e controle de processos de TI (FERNANDES; ABREU, 2008), que representa o consenso de especialistas em governana de TI, ao tempo que descreve modelos de maturidade dos processos. As melhores prticas esto descritas em processos de alto nvel e objetivos de controle, com mtricas para avaliao dos processos, que tm o propsito de indicar qual o nvel de maturidade e onde a gesto do servio de TI pode melhorar, permitindo o alinhamento entre os objetivos da TI e os objetivos da organizao. Segundo Carvalho (2006), ele usa indicadores de desempenho para monitorar e melhorar a qualidade da gesto de TI, ajudando a direcionar os investimentos e a conseguir melhores resultados. O ITGI (2008b) diz que o modelo ajuda a documentar as prticas ideais para um departamento de TI, alm de fornecer maneiras de medir, monitorar e comparar resultados com base em mtricas, metas e um modelo de maturidade.

51

O principal objetivo das prticas do COBIT , de acordo com Fernandes e Abreu (2008, p.175), contribuir para o sucesso da entrega de produtos e servios de TI, a partir da perspectiva das necessidades do negcio [grifo dos autores], com foco mais acentuado no controle do que na execuo. O modelo de processos do COBIT, de acordo com o ITGI (2007), permite que as atividades e os recursos de TI sejam gerenciados e controlados de maneira apropriada com base nos objetivos de controle do modelo, e alinhados e monitorados atravs dos seus objetivos e mtricas. As reas foco do COBIT, segundo ITGI (2007), so: Alinhamento Estratgico, Entrega de Valor, Mensurao de Desempenho, Gesto de Recursos e Gerenciamento de Risco. O Alinhamento Estratgico tem foco na garantia da ligao entre os planos de negcios e os planos de TI, alinhando as operaes de TI com as operaes da organizao. A rea foco Entrega de Valor garante que TI entrega os benefcios previstos na estratgia da organizao, procurando otimizar os custos de TI. A Gesto de Recursos refere-se melhor utilizao possvel dos investimentos e o gerenciamento apropriado dos recursos crticos de TI, includos a os conhecimentos, as pessoas e a infraestrutura. A Gesto de Risco trata dos riscos identificados, das responsabilidades sobre o tratamento ou mitigao dos riscos, dos requisitos de conformidade e da insero do gerenciamento de riscos nas atividades da companhia. Mensurao de Desempenho trata do acompanhamento e monitoramento da implementao da estratgia de TI, envolvendo a execuo de projetos, o uso dos recursos, a medio de desempenho dos ativos da infraestrutura de TI, a entrega dos servios e o cumprimento de acordos de nvel de servio. As reas foco do modelo COBIT esto representados na Figura 4. A orientao do COBIT para processos se faz presente nos 34 processos de TI que ele descreve, que esto distribudos em quatro domnios. Cada domnio est associado a uma ou mais reas foco de Governana de TI. De acordo com o ITGI (2007), os quatro domnios da TI descritos no COBIT so os seguintes:

a) Planejamento e Organizao (PO) um domnio ttico e estratgico, que, atravs de planejamento, comunicao e gerenciamento, indica como a TI deve atender aos objetivos do negcio; b) Aquisio e Implementao (AI) inclui os processos de identificao das necessidades, desenvolvimento, aquisio, implantao e manuteno de solues de TI;

52

c) Entrega e Suporte ou Delivery and Support (DS) inclui os processos de entrega (prestao) dos servios oferecidos pela TI; d) Monitorao e Avaliao ou Monitor and Evaluate (ME): inclui os processos relacionados com a qualidade e com a avaliao da TI.

Figura 4 reas foco do modelo COBIT. Fonte: ITGI (2007, p.8)

A Figura 5 mostra os quatro domnios do COBIT e seus relacionamentos, e o Quadro 2 mostra os processos agrupados por domnio.

Figura 5 Os quatro domnios do COBIT e seus relacionamentos. Fonte: ITGI (2007, p.14)

53

Assim como a ITIL, o COBIT um modelo aceito e utilizado internacionalmente, com foco nos objetivos da organizao. Por esse motivo, ele vem sendo utilizado em auditorias, avaliaes de processos de TI utilizando seu modelo de maturidade, e como base para o alcance de metas organizacionais atravs do alinhamento dos objetivos da TI. De acordo com o ITGI (2007), a avaliao da capacidade dos processos com base nos modelos de maturidade descritos no COBIT um fator importante para que se tenha Governana de TI em uma organizao. ITGI (2008a) diz que COBIT baseado em outros frameworks, inclusive na biblioteca ITIL, mas no inclui passos e tarefas em seus processos, pois, embora esteja organizado em domnios e processos, uma estrutura de controle e gerenciamento, e no um uma estrutura de processos.

DOMNIOS
Planejamento e Organizao

PROCESSOS

PO1 Definir um plano estratgico de TI PO2 Definir a arquitetura da informao PO3 Determinar as diretrizes da tecnologia PO4 Definir os processos, organizao e relacionamentos de TI PO5 Gerenciar o investimento de TI PO6 Comunicar metas e diretrizes gerenciais PO7 Gerenciar os recursos humanos de TI PO8 Gerenciar a qualidade PO9 Avaliar a gerenciar os riscos de TI PO10 Gerenciar projetos Aquisio e AI1 Identificar solues automatizadas Implementao AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter infraestrutura tecnolgica AI4 Habilitar operao e uso AI5 Adquirir recursos de TI AI6 Gerenciar mudanas AI7 Instalar e homologar solues e mudanas Entrega e Suporte DS1 Definir e gerenciar nveis de servios DS2 Gerenciar servios terceirizados DS3 Gerenciar o desempenho e a capacidade DS4 Assegurar a continuidade dos servios DS5 Garantir a segurana dos sistemas DS6 Identificar e alocar custos DS7 Educar e treinar usurios DS8 Gerenciar a central de servios e os incidentes DS9 Gerenciar a configurao DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente fsico DS13 Gerenciar operaes Monitorao e Avaliao ME1 Monitorar e avaliar o desempenho da TI ME2 Monitorar e avaliar os controles internos ME3 Assegurar conformidade com requisitos externos ME4 Prover governana de TI Quadro 2 Domnios e Processos do Modelo COBIT

54

Segundo ITGI (2007, p.10), os benefcios do COBIT so os seguintes: melhor alinhamento com base no foco no negcio; transparncia das aes da TI para os executivos; diviso clara das responsabilidades com base na orientao para processos; aceitao geral por terceiros e rgos reguladores; utilizao de linguagem comum, facilitando o entendimento entre as partes interessadas sobre servios e recursos de TI; melhor controle do ambiente de TI. Fernandes e Abreu (2008) observam tambm benefcios na adoo do COBIT: melhoria do entendimento dos processos de TI, clareza quanto s responsabilidades e protocolos de comunicao entre os grupos interessados, clareza sobre a situao atual dos processos de TI e seus pontos de vulnerabilidade, reduo da exposio a riscos, maior solidez e assertividade no planejamento das aes de melhoria, maior visibilidade sobre o impacto dos esforos de melhoria nos processos de TI em todos os nveis da organizao, reduo dos custos operacionais e de propriedade dos aplicativos e infraestrutura de TI e melhoria da imagem da TI para os clientes. Independente da avaliao da capacidade dos processos por meio do modelo de maturidade do COBIT, a simples adoo de prticas recomendadas pelo modelo j um forte indicador de que h interesse organizacional em melhorar a Governana de TI.

2.5 GOVERNANA DE TI NA ADMINISTRAO PBLICA

Embora no tenham tratado especificamente de instituies pblicas, Weill e Ross (2006) estudaram 74 organizaes governamentais e privadas sem fins lucrativos, como escolas e universidades pblicas, departamentos de polcia, instituies de caridade, escolas e universidades privadas e organizaes no governamentais (ONGs), e constataram que a TI consumia em mdia 8,4% dos recursos do oramento anual dessas organizaes, embora elas tivessem um desempenho de Governana de TI 10% inferior aos das organizaes com fins lucrativos. Para os autores, o ambiente dessas organizaes complexo e, por isso, traz desafios para a Governana de TI. Os autores observaram tambm que as organizaes sem fins lucrativos que tiveram melhor desempenho tem algumas diferenas em relao s outras,

55

entre elas a utilizao de mecanismos formais de Governana de TI, como comits executivos de TI, conselhos de TI, comits de liderana de TI, comit de arquitetura, entre outros, embora tenham feito a ressalva de que apenas esses mecanismos no so suficientes. Alm disso, identificaram que a Governana de TI bem sucedida depende ainda mais de parcerias e de decises conjuntas envolvendo lderes de TI e negcio. Vieira (2005) afirma que h uma preocupao crescente com gesto de recursos de TI no setor pblico, e inclui a Governana de TI e a segurana da informao como dois dos principais focos de investimentos em TI por organizaes estatais. A necessidade de Governana Corporativa no setor pblico foi tambm identificada por Mello (2006), enquanto Nfuka e Rusu (2010) dizem que a dependncia da TI no setor pblico requer Governana de TI efetiva, pois uma rea onde h uma necessidade maior de promover aes de accountability, onde h mais controles burocrticos, menos autonomia gerencial e mais preocupaes polticas, organizacionais, tcnicas, econmicas e culturais. Raup-Kounovsky et al. (2009) consideram que crtico alinhar Governana e o contexto de governo antes de desenhar a estrutura de Governana de TI em uma organizao pblica. Para eles, um estado com uma estrutura governamental muito federada vai ter dificuldade de implementar uma estrutura de governana centralizada, e a atribuio de papis e responsabilidades em organizaes pblicas complexas difcil. Alm disso, na administrao pblica brasileira, com exceo de algumas empresas estatais, a maioria das instituies no enfrenta a concorrncia de outras organizaes. Em parte por isso, muitos dos gestores pblicos tm pouca preocupao com o estabelecimento formal de metas, objetivos estratgicos e resultados, fato comprovado na auditoria operacional feita pelo Tribunal de Contas da Unio (TCU) no ano de 2007 em 255 rgos e entidades pblicas federais, onde se verificou que 47% delas no tinham planejamento estratgico institucional, conforme o Acrdo 1603/2008, de 13 de agosto de 2008 (BRASIL, 2008b). A auditoria comprovou tambm que 59% das organizaes pblicas no tinham planejamento estratgico de TI naquele ano, o que evidencia a dificuldade que a administrao pblica tem de adotar prticas e modelos de gesto. O Acrdo 1603/2008 do TCU diz no seu sumrio: Situao da Governana de Tecnologia da Informao TI na Administrao Pblica Federal. Ausncia de planejamento estratgico institucional. Deficincia na estrutura de pessoal. Tratamento inadequado

56

confidencialidade, integridade e disponibilidade das informaes (BRASIL, 2008b). No mesmo Acrdo, h a recomendao para que a SLTI promova aes para garantir que as propostas oramentrias relacionadas rea de TI sejam alinhadas aos objetivos dos respectivos rgos e com base em atividades que efetivamente pretendam ser executadas.

A rea de TI foi considerada, por muito tempo, uma caixa preta, sobre a qual a administrao tinha pouco controle e da qual no se sabia ao certo o que esperar como benefcio para a organizao. Com o aumento da importncia estratgica das reas de TI, essa situao no pde mais se sustentar. H uma busca pela aplicao de modelos de governana de TI, com o objetivo de tornar as reas de TI controlveis, com resultados mensurveis e orientados aos objetivos do negcio da organizao. (BRASIL, 2008b).

Os fatos de que quase metade das organizaes pblicas federais no faziam planejamento estratgico institucional e de que mais da metade dessas organizaes no possuam qualquer instrumento ou mesmo a cultura de planejar estrategicamente suas aes e seus investimentos em TI naquele momento foram agravados ao se observar que, nos anos de 2007 e 2008, os rgos gastaram em mdia mais de R$ 2,38 bilhes com servios de TI por ano, resultando em um total de mais de R$ 4.77 bilhes no perodo, segundo dados publicados por Henkin e Selao (2010). Esses dados podem ser complementados com informaes do Ministrio do Desenvolvimento, Indstria e Comrcio Exterior (MDIC) (2010), que dizem que os gastos totais com TI realizados pelo Governo Federal em 2007 foram de cerca de R$ 6 bilhes. Diante desses nmeros e em resposta ao TCU, foi publicada em 19 de maio de 2008 a Instruo Normativa SLTI/MPOG N 4/2008 (IN N 4/2008) (BRASIL, 2008a), que dispe sobre o processo de contratao de servios de Tecnologia da Informao pela Administrao Pblica Federal direta, autrquica e fundacional, e a Estratgia Geral de TI 2008 (EGTI 2008), de 20 de novembro de 2008, que foi desenvolvida com o objetivo de estabelecer as bases para a transio entre a situao atual de gesto dos ambientes de informtica do Executivo Federal (SISTEMA..., 2008, p.2). Esses documentos foram elaborados pela SLTI, que o rgo central do Sistema de Administrao de Recursos de Informtica e Informao (SISP), institudo em 1994 e atualmente regulado pelo Decreto N 7.579, de 11 de outubro de 2011 (Decreto N 7.579/2011). O SISP tem como uma das suas finalidades definir a poltica estratgica de gesto de TI do Poder Executivo Federal, e isso feito pela SLTI, a quem compete definir, elaborar, divulgar e implementar as polticas, diretrizes e normas gerais

57

relativas gesto dos recursos do SISP e ao processo de compras de tecnologia da informao do Governo Federal (BRASIL, 2011). Dessa forma, a IN N 4/2008, a EGTI 2008 e outras instrues normativas, portarias e padres referentes TI publicados recentemente pelo Governo Federal foram elaborados pela SLTI como rgo central do SISP, e isso inclui a arquitetura Padres de Interoperabilidade de Governo Eletrnico (e-PING)1 e o Modelo de Acessibilidade de Governo Eletrnico (e-MAG)2. A publicao da IN N 4/2008 obrigou todas as instituies que participam do SISP a criarem seus respectivos PDTIs alinhados s estratgias dos seus rgos ou entidades. O PDTI foi definido na instruo normativa como instrumento de diagnstico, planejamento e gesto dos recursos e processos de Tecnologia da Informao que visa a atender s necessidades de informao de um rgo ou entidade para um determinado perodo (BRASIL, 2008a). A IN N 4/2008 obrigou tambm que as aquisies e servios de TI fossem contratados em conformidade com os PDTIs e, sempre que fosse possvel, que fossem estabelecidos acordos de nvel de servio nos contratos de prestao de servios de TI, prticas presentes nos modelos de melhores prticas COBIT e ITIL. A EGTI 2008 estabeleceu como metas de cada rgo para o ano de 2009 uma srie de controles e prticas de Governana de TI, como a existncia e o uso de um PDTI, o funcionamento efetivo de um Comit de TI, a adoo de padres de interoperabilidade, a adoo de metodologias de desenvolvimento e a segurana da informao. Para reforar e complementar a IN N 4/2008, foi publicada, em 12 de agosto de 2009, a Portaria SLTI/MPOG N 8/2009 (BRASIL, 2009), vedando a contratao de servios de TI por instituies que no possuem um PDTI a partir de 01 de janeiro de 2010, mas permitindo que fossem feitos contratos durante o ano de 2009 desde que a instituio j tenha publicado uma portaria instituindo um Comit de Tecnologia da Informao para elaborao do PDTI, e desde que a publicao do mesmo tivesse sido feita at 31 de dezembro de 2009.

A arquitetura e-PING um documento de referncia que define um conjunto mnimo de premissas, polticas e especificaes tcnicas que regulamentam a interoperabilidade entre sistemas e aplicaes de TI, estabelecendo as condies de interao com todas as esferas de governo e com a sociedade, cuja utilizao obrigatria em instituies do Poder Executivo Federal. 2 O modelo e-MAG um conjunto de recomendaes de acessibilidade para implementao em stios e portais do Governo Federal na Internet.

58 Durante o perodo de transio ser permitida aos rgos e entidades integrantes do SISP, que ainda no possuam o Comit de Tecnologia da Informao constitudo, a contratao de servios de Tecnologia da Informao, desde que este esteja em processo de implementao e que esteja operante ainda no ano de 2009. (BRASIL, 2009).

Ainda em cumprimento ao determinado no Acrdo 1603/2008, a SLTI publicou em 18 de fevereiro de 2010 a Estratgia Geral de TI 2010 (EGTI 2010) (SECRETARIA..., 2010a), que apresenta estatsticas sobre os resultados obtidos com a primeira EGTI e traz novas metas relacionadas com contrataes de TI, capacitao de recursos humanos dos rgos da administrao pblica, melhoria quantitativa dos recursos humanos dos rgos, adoo de padres e modelos e melhoria da gesto de TI. Alguns meses depois, em 12 de novembro de 2010, utilizando as informaes coletadas e divulgadas na EGTI 2010 e durante o ano, foi publicada a Instruo Normativa SLTI/MPOG N 4/2010 (IN N 4/2010) (BRASIL, 2010), que revoga a antecessora e estabelece um processo de contratao e fiscalizao de contratos de servios de TI pelos rgos integrantes do SISP, definindo papis e responsabilidades em todas as etapas da contratao, desde a escolha da soluo de TI e elaborao do projeto bsico da contratao at a fiscalizao e finalizao do contrato. Pouco depois, em 22 de dezembro de 2010, foi publicada pela SLTI a Estratgia Geral de TI 2011-2012 (EGTI 2011-2012) (SECRETARIA..., 2010b), trazendo uma anlise ambiental das reas de TI dos rgos membros do SISP, os objetivos estratgicos do SISP, as metas e os indicadores de desempenho, os princpios e diretrizes para o SISP e os resultados das metas da aplicao da EGTI 2010. Considerando a necessidade de alinhamento entre a TI e os planos estratgicos das instituies identificados pelo TCU, as normas publicadas pelo Governo Federal e os gastos realizados com TI, fica evidente a necessidade de que instituies pblicas federais avaliem suas aes diante das melhores prticas recomendadas pelos modelos de Governana de TI. Esse o entendimento que demonstrou ter a SLTI/MPOG quando publicou e atualizou as instrues normativas e as estratgias gerais de TI, claramente elaboradas com base em melhores prticas de Governana de TI. Isso demonstra tambm o reconhecimento por parte do Governo Federal da importncia da utilizao de melhores prticas de Governana de TI para a administrao pblica federal.

59

Fernandes e Abreu (2008, p.14) afirmam que a Governana de TI no somente a implantao de modelos de melhores prticas, e que ela busca o compartilhamento de decises de TI com os demais dirigentes da organizao, assim como estabelece as regras, a organizao e os processos que nortearo o uso da tecnologia da informao [...], determinando como a TI deve prover os servios para a empresa. Mas os autores apresentam tambm vrios mecanismos e componentes integrados que compem o ciclo de Governana de TI. Esses mecanismos e componentes esto previstos nos processos, controles e prticas presentes em diversos modelos de melhores prticas de Governana de TI existentes. Observando o ciclo de Governana de TI, os dois modelos de melhores prticas mais adotados ITIL e COBIT e as normas e padres que as organizaes so obrigadas a seguir e adotar, possvel identificar os indicadores e boas prticas associados ao ciclo de Governana de TI. Com esses indicadores e boas prticas, possvel identificar quais boas prticas so adotadas ou no por uma organizao, bem como as etapas do ciclo de Governana de TI cujas prticas e controles precisam ainda de algum esforo por parte dos gestores e profissionais de TI, ainda que nenhum modelo tenha sido formalmente adotado pela organizao. Com base nessa possibilidade, foi construdo o modelo de anlise dessa pesquisa, apresentado na seo seguinte.

2.6 MODELO DE ANLISE

A partir do referencial terico, foram utilizadas as etapas que compem o ciclo de Governana de TI proposto por Fernandes e Abreu (2008, p.17) como dimenses e seus processos como componentes da pesquisa, o que serviu de base para elaborao do modelo de anlise, representado na Figura 6. O significado e a funo de cada etapa e de cada componente do ciclo permitiram identificar a maioria dos indicadores de adoo de boas prticas de Governana de TI do modelo de anlise, mas foram utilizadas tambm outras fontes de informaes para extrair esses indicadores, uma vez que os autores no apresentam seus indicadores explicitamente em seu livro.

60

Assim, os detalhes sobre os processos do ciclo de Governana de TI (FERNANDES; ABREU, 2008), as informaes dos processos da biblioteca ITIL, presentes nos livros do OGC (2007a; 2007b; 2007c; 2007d; 2007e; 2007f) e do modelo COBIT, presentes no livro do ITGI (2007), bem como os resultados da pesquisa exploratria de Albuquerque Junior, Machado e Santos (2011), permitiram identificar os indicadores de adoo de boas prticas de Governana de TI desta pesquisa. Desses indicadores, foram elaboradas as perguntas do instrumento de coleta de dados. Como cada processo do modelo COBIT tem mais de um objetivo de controle e como cada processo da biblioteca ITIL trata de diversos aspectos, cada processo desses dois modelos de melhores prticas pode estar relacionado a mais de um componente do ciclo de Governana de TI, e um componente do ciclo de Governana de TI pode estar relacionado a objetivos de controle e aspectos de diferentes processos do COBIT e ITIL. O Quadro 3 mostra as dimenses, os componentes e os 71 indicadores identificados e utilizados na pesquisa.

Figura 6 Modelo de anlise da adoo de boas prticas de Governana de TI. Adaptado de: Fernandes e Abreu (2008)

61

A dimenso Alinhamento Estratgico e Compliance tem 48 indicadores, sendo, portanto, a que tem mais indicadores. Seus indicadores procuram identificar, entre outras coisas, se h compromisso da direo da unidade com a Governana de TI, se h participao dos coordenadores de TI das unidades pesquisadas nas decises estratgicas, a existncia de documentao dos requisitos de negcio para a rea de TI, dos princpios de TI e se eles foram definidos com base nos objetivos estratgicos da unidade, bem como a existncia de um Comit Gestor de TI formalmente designado e um PDTI publicado e se as normas federais relativas Governana de TI so respeitadas.
DIMENSES COMPONENTES INDICADORES
Compromisso da direo da unidade Participao do chefe da rea de TI nas decises estratgicas da unidade Requisitos de negcio para a TI Comit Gestor de TI Plano Diretor de TI Adoo e aderncia (compliance) a modelos de melhores prticas, normas de Governana de TI e legislao Princpios de TI Sistemas e aplicaes necessrios Padronizao de dados de sistemas e aplicaes Identificao e catlogo de sistemas Reutilizao de componentes de sistemas e aplicaes Integrao e compartilhamento de dados entre sistemas e aplicaes Integrao e compartilhamento de infraestrutura entre sistemas e aplicaes Necessidades de servios de infraestrutura de TI Necessidades de recursos computacionais Banco de dados de gerenciamento de configurao Biblioteca de software institucional Metas de desempenho para a rea de TI Acordos de nvel de servio Planejamento da capacidade de equipamentos Planejamento da capacidade de software Planejamento da capacidade de recursos humanos Estratgia de outsourcing de TI Plano de Continuidade do Negcio Poltica de Segurana da Informao Comit de Segurana da Informao Competncias existentes Competncias necessrias Capacitao dos profissionais de TI Capacitao dos usurios Mapeamento de processos de TI Funes internas da rea de TI Responsabilid. sobre as funes internas da rea de TI Plano Diretor de TI ou Plano Estratgico de TI publicado

Alinhamento Estratgico

Princpios de TI Necessidades de Aplicaes

Arquitetura de TI

Alinhamento Estratgico e Compliance

Infraestrutura de TI

Objetivos de Desempenho Capacidade de Atendimento Estratgia de Outsourcing Segurana da Informao

Competncias

Processos e Organizao Plano de TI

62

DIMENSES (cont.)

COMPONENTES (cont.)

INDICADORES (cont.)

Princpios de TI documentados Necessidades de aplicaes documentadas Arquitetura de TI documentada Infraestrutura de TI documentada Objetivos de desempenho documentados Capacidade de atendimento documentada Alinhamento Estratgico e Plano de TI Estratgia de outsourcing documentada Compliance Competncias de TI documentadas Necessidades de capacitao em TI documentadas Processos de TI documentados Responsabilidades de TI documentadas Avaliao dos servios Priorizao de projetos de TI Estruturas para tomada de decises sobre TI Deciso, Compromisso, Mecanismos de Deciso Priorizao e Alocao Portflio de Projetos de TI Portflio de TI de Recursos Catlogo de Servios de TI Documentao de procedimentos de operao Central de Servios de TI Base de Conhecimentos Metodologias de desenvolvimento de sistemas Metodologias de gerenciamento de projetos Operaes de Servios Monitoramento de ativos de TI Dedicao s atividades de gesto de TI Dedicao s atividades de desenvolvimento Estrutura, Processos, Dedicao s atividades de infraestrutura Operao e Gesto Escritrio de projetos de TI Tratamento de incidentes de segurana da informao Avaliao pelos usurios dos servios prestados Relacionamento com os Responsabilidades dos usurios Usurios Acesso aos servios de TI Documentao de controle de contratos Relacionamento com Documentao de contatos dos fornecedores Fornecedores Contratos de TI Medio do Gesto de Desempenho da Acordos de nvel de servio em contratos de TI Desempenho TI Acordo de nvel de servio com a unidade Quadro 3 Matriz de dimenses, componentes e indicadores para Governana de TI.

A dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos tem trs indicadores, que identificam como so tomadas as decises estratgicas de TI, a existncia de estruturas organizacionais para a tomada de decises relativas TI e a existncia e composio do Portflio de TI e de um Catlogo de Servios da unidade. A dimenso Estrutura, Processos, Operao e Gesto tem 18 indicadores para identificar a existncia de procedimentos, metodologias e tecnologias adotadas para apoiar os servios prestados aos usurios e a gesto da rea de TI, como documentao de

63

procedimentos, avaliao dos servios de TI, existncia de estruturas ou grupos de profissionais para atendimento de demandas, gesto de projetos ou incidentes de segurana da informao e relacionamentos com fornecedores. A dimenso Medio de Desempenho tem apenas um componente (Gesto de Desempenho da TI) e dois indicadores, que tratam de aspectos relativos ao monitoramento de acordos de nvel de servio em contratos de prestao de servios de TI com empresas prestadoras de servios terceirizados e da medio de desempenho dos servios de TI atravs de acordos de nvel de servio entre a rea de TI e a unidade, como criao de indicadores de desempenho, estabelecimento de acordos de nvel de servio e o monitoramento do desempenho.

2.6.1 As Boas Prticas de Governana de TI

A pesquisa bibliogrfica e documental envolvendo o ciclo de Governana de TI, os modelos de melhores prticas ITIL e COBIT, a literatura que trata do tema principalmente Fernandes e Abreu (2008) e as normas federais aplicadas rea de TI permitiram identificar os indicadores de Governana de TI utilizados neste trabalho. A partir dos indicadores, foram identificadas 137 boas prticas de Governana de TI associadas a todos os componentes e dimenses do modelo de anlise atravs da pesquisa bibliogrfica realizada principalmente nos livros da biblioteca ITIL (OFFICE..., 2007a; 2007b; 2007c; 2007d; 2007e; 2007f), no modelo COBIT (IT GOVERNANCE..., 2007), mas tambm nos livros de Fernandes e Abreu (2008) e de Weill e Ross (2006). Algumas das boas prticas foram identificadas com base no mapeamento feito por Fernandes e Abreu (2008) entre os dois modelos de melhores prticas e seu ciclo de Governana de TI. Foram associadas tambm ao indicador Adoo e aderncia (compliance) a modelos de melhores prticas, normas de Governana de TI e legislao a utilizao da arquitetura e-PING e do padro e-MAG, que obrigatria para a administrao pblica federal. O Quadro 4 mostra as boas prticas identificadas juntamente com os indicadores, componentes e dimenses do modelo de anlise.

DIMENSES

COMPONENTES

INDICADORES
Compromisso da direo da unidade Participao do chefe da rea de TI nas decises estratgicas da unidade Requisitos de negcio para a TI

BOAS PRTICAS
A direo da unidade demonstra compromisso com a Governana de TI O chefe da rea de TI participa das decises estratgicas da unidade Requisitos de negcio para a rea de TI da unidade definidos e documentados Requisitos de negcio para a rea de TI definidos com base nas necessidades estratgicas da unidade Existe de um Comit Gestor de TI ou de algum grupo com funo de tomar decises estratgicas relacionadas rea de TI Existe de um documento formalizando o Plano Diretor de TI da unidade A unidade utiliza, total ou parcialmente, modelos de melhores prticas de Governana de TI A unidade respeita as Instrues Normativas do Governo Federal A unidade utiliza a arquitetura de interoperabilidade e-PING A unidade utiliza o padro de acessibilidade e-MAG A unidade respeita a Poltica de Segurana da Informao e Comunicaes da FIOCRUZ A unidade tem seus Princpios de TI definidos e documentados A unidade definiu seus Princpios de TI com base no planejamento estratgico da unidade e nos requisitos de negcio para a rea de TI A rea de TI identificou os sistemas e aplicaes necessrios para o alcance de seus objetivos estratgicos Os sistemas e aplicaes necessrios foram identificados com base nos requisitos para a rea de TI A rea de TI tem documentada a definio de padres de dados e rotinas de sistemas desenvolvidos localmente A rea de TI tem identificados e documentados todos os seus sistemas A rea de TI tem documentado um processo ou procedimento para reutilizao de cdigos ou componentes de sistemas

Alinhamento Estratgico

Comit Gestor de TI Plano Diretor de TI Adoo e aderncia (compliance) a modelos de melhores prticas, normas de Governana de TI e legislao

Alinhamento Estratgico e Compliance

Princpios de TI

Princpios de TI

Necessidades de Aplicaes

Sistemas e Aplicaes Necessrios Padronizao dos Dados de Sistemas e Aplicaes Identificao e Catlogo de Sistemas Reutilizao de Componentes de Sistemas e Aplicaes

Arquitetura de TI

64

DIMENSES (cont.)

COMPONENTES (cont.)

INDICADORES (cont.)
Integrao e Compartilhamento de Dados entre Sistemas e Aplicaes Integrao e Compartilhamento de Infraestrutura entre Sistemas e Aplicaes Necessidades de servios de infraestrutura de TI Necessidades de recursos computacionais Banco de dados de gerenciamento de configurao Biblioteca de software institucional Metas de Desempenho para a rea de TI Acordos de Nvel de Servio Planejamento da Capacidade de Equipamentos

BOAS PRTICAS (cont.)

A rea de TI tem documentado um processo de integrao e compartilhamento de dados entre sistemas Foi feita anlise das possibilidades de compartilhamento de infraestrutura entre sistemas e aplicaes Foram identificados os servios de infraestrutura de TI necessrios para atender unidade Foram identificadas as necessidades de hardware e software para atender unidade A rea de TI utiliza um Banco de Dados de Gerenciamento da Configurao A rea de TI tem mapeados todos os dispositivos e equipamentos de TI no Banco de Dados de Gerenciamento da Configurao A rea de TI tem uma biblioteca de software institucional A rea de TI controla as licenas de software utilizadas na unidade A rea de TI avaliada com base em metas quantitativas de desempenho Os servios de TI so avaliados utilizando acordos de nvel de servio A rea de TI faz planejamento de capacidade da infraestrutura de hardware Os objetivos de desempenho e os nveis de servio acordados so utilizados para planejar a capacidade de equipamentos O crescimento vegetativo da utilizao de recursos de TI considerado no planejamento da capacidade de infraestrutura A rea de TI faz planejamento da capacidade dos sistemas de aplicaes Os objetivos de desempenho e os nveis de servio acordados so considerados no planejamento de capacidade de sistemas e aplicaes O crescimento vegetativo da utilizao de recursos de TI considerado no planejamento da capacidade de sistemas e aplicaes

Arquitetura de TI (cont.)

Infraestrutura de TI Alinhamento Estratgico e Compliance (cont.) Objetivos de Desempenho

Capacidade de Atendimento Planejamento da Capacidade de Software

65

DIMENSES (cont.)

COMPONENTES (cont.)
Capacidade de Atendimento (cont.) Estratgia de Outsourcing

INDICADORES (cont.)
Planejamento da Capacidade de Recursos Humanos Estratgia de Outsourcing de TI Plano de Continuidade do Negcio Poltica de Segurana da Informao Comit de Segurana da Informao

BOAS PRTICAS (cont.)

A rea de TI faz planejamento da capacidade de recursos humanos Informaes sobre projetos atuais e futuros de TI so consideradas no planejamento da capacidade de recursos humanos A rea de TI tem definida e documentada uma estratgia de outsourcing A unidade tem um Plano de Continuidade do Negcio documentado A rea de TI tem um Plano de Continuidade dos Servios de TI documentado A unidade tem uma Poltica de Segurana da Informao documentada A rea de TI tem um grupo designado para tratar de assuntos relacionados Poltica de Segurana da Informao A unidade tem um grupo formalmente designado para elaborar a Poltica de Segurana da Informao A Poltica de Segurana da Informao da unidade foi aprovada pelo Diretor A rea de TI tem mapeadas e documentadas as competncias dos seus profissionais A rea de TI tem mapeadas e documentadas as competncias que precisam ser contratadas via terceirizao Necessidades de capacitao dos profissionais de TI identificadas e documentadas Necessidades de capacitao dos profissionais de TI identificadas com base no PDTI e nos documentos de planejamento estratgico da unidade Necessidades de capacitao dos usurios de TI identificadas e documentadas A rea de TI participa da identificao das necessidades de capacitao dos usurios Processos internos da rea de TI mapeados e documentados Responsveis pelos processos internos da rea de TI identificados rea de TI dividida internamente por rea de conhecimento Atendimento ao usurio organizado em nveis de atendimento Responsveis pelas funes internas da rea de TI formalmente designados

Segurana da Informao

Alinhamento Estratgico e Compliance (cont.) Competncias

Competncias Existentes Competncias Necessrias Capacitao dos Profissionais de TI Capacitao dos Usurios Mapeamento de Processos de TI Funes Internas da rea de TI Responsabilidades Sobre as Funes Internas da rea de TI

Processos e Organizao

66

DIMENSES (cont.)

COMPONENTES (cont.)

INDICADORES (cont.)
Plano Diretor de TI ou Plano Estratgico de TI publicado Princpios de TI documentados Necessidades de aplicaes documentadas Arquitetura de TI documentada Infraestrutura de TI documentada

BOAS PRTICAS (cont.)

Existncia de um documento de PDTI da unidade publicado Princpios de TI includos no PDTI da unidade Necessidades de aplicaes includas no PDTI da unidade Arquitetura de TI includa no PDTI da unidade Infraestrutura de TI includa no PDTI da unidade Necessidades de hardware includas no PDTI da unidade Necessidades de software includas no PDTI da unidade Lista dos softwares suportados pela rea de TI includa no PDTI da unidade Lista do hardware suportado pela rea de TI includa no PDTI da unidade Metas quantitativas de desempenho da rea de TI includas no PDTI da unidade Histrico de utilizao dos recursos de hardware includo no PDTI da unidade Planejamento de capacidade de hardware includo no PDTI da unidade Histrico de utilizao dos recursos de software includo no PDTI da unidade Planejamento de capacidade de software includo no PDTI da unidade Planejamento de capacidade de recursos humanos includo no PDTI da unidade Estratgia de outsourcing includa no PDTI da unidade Competncias de TI includas no PDTI da unidade Competncias de TI que precisam ser desenvolvidas includas no PDTI da unidade Competncias de TI que precisam ser contratadas includas no PDTI da unidade Necessidades de capacitao dos profissionais de TI includas no PDTI da unidade Necessidades de capacitao dos usurios de TI includas no PDTI da unidade Processos da rea de TI includos no PDTI da unidade

Alinhamento Estratgico e Compliance (cont.)

Plano de TI

Objetivos de desempenho documentados Capacidade de atendimento documentada Estratgia de outsourcing documentada Competncias de TI documentadas Necessidades de capacitao em TI documentadas Processos de TI documentados

67

DIMENSES (cont.)

COMPONENTES (cont.)

INDICADORES (cont.)
Processos de TI documentados (cont.)

BOAS PRTICAS (cont.)

Identificao dos responsveis pelos processos internos da rea de TI includa no PDTI da unidade Identificao dos responsveis pelas funes internas da rea de TI includa no PDTI da unidade Identificao dos responsveis pelas atividades desempenhadas pela rea de TI includa no PDTI da unidade Nveis de servio requeridos pela unidade includos no PDTI Projetos de desenvolvimento de software priorizados includos no PDTI da unidade Projetos de infraestrutura priorizados includos no PDTI da unidade Unidade tem uma estrutura para decidir sobre os Princpios de TI Unidade tem uma estrutura para decidir sobre Arquitetura de TI Unidade tem uma estrutura para decidir sobre Infraestrutura de TI Unidade tem uma estrutura para decidir sobre Necessidade de Aplicaes de TI Unidade tem uma estrutura para decidir sobre investimentos e priorizao de recursos de TI Pessoal da rea de TI participa das decises estratgicas relacionadas TI da unidade Pessoal da rea de TI participa das decises sobre segurana da informao da unidade A Diretoria da unidade conhece as responsabilidades sobre as decises estratgicas de TI Projetos em execuo e para serem executados includos no PDTI da unidade Projetos e seus nveis de prioridade includos no PDTI ou em outro documento Projetos crticos includos no PDTI ou em outro documento Riscos relacionados aos projetos da rea de TI includos no PDTI ou em outro documento Catlogo de servios de TI includo no PDTI Servios da rea de TI considerados crticos identificados e documentados Riscos relacionados aos servios da rea de TI identificados e documentados Prejuzos provocados pela interrupo dos servios de TI identificados e documentados 68

Alinhamento Estratgico e Compliance (cont.)

Plano de TI (cont.)

Responsabilidades de TI documentadas Avaliao dos servios Priorizao de projetos de TI

Mecanismos de Deciso

Estruturas para Tomadas de Decises sobre TI

Deciso, Compromisso, Priorizao e Alocao de Recursos Portflio de Projetos de TI Portflio de TI Catlogo de Servios de TI

DIMENSES (cont.)

COMPONENTES (cont.)

INDICADORES (cont.)
Documentao de Procedimentos de Operao Central de Servios de TI

BOAS PRTICAS (cont.)

Procedimentos para atividades de operao documentados rea de TI tem uma Central de Servios de TI Profissionais de help desk dedicados s atividades de suporte remoto Central de Servios de TI funcionando como ponto nico de acesso dos usurios aos servios de TI Procedimentos para atividades de suporte e solues de incidentes e problemas de TI documentados A rea de TI tem um processo para documentao de solues para incidentes e problemas A rea de TI utiliza anlise por pontos de funo para medir o esforo necessrio para desenvolver sistemas A rea de TI utiliza modelos de melhores prticas para desenvolvimento de sistemas A rea de TI tem um padro ou modelo documentado para modelagem de sistemas A rea de TI utiliza uma metodologia ou modelo de gerenciamento de projetos A rea de TI utiliza uma ferramenta automatizada para monitoramento de ativos de TI O coordenador de TI est dedicado s atividades de coordenao/ gesto Os contratos de TI contam com fiscais administrativos formalmente designados Os contratos de TI contam com fiscais requisitantes formalmente designados Os fiscais tcnicos dos contratos de TI tem atribuies exclusivamente tcnicas Os profissionais da rea de desenvolvimento so dedicados s atividades da sua rea Os profissionais da rea de infraestrutura so dedicados s atividades da sua rea A rea de TI conta com uma estrutura ou grupo para gerenciar ou apoiar a execuo dos projetos de TI

Base de Conhecimentos

Estrutura, Processos, Operao e Gesto

Metodologias de desenvolvimento de sistemas Operaes de Servios Metodologias de gerenciamento de projetos Monitoramento de ativos de TI Dedicao s atividades de gesto de TI Dedicao s atividades de desenvolvimento Dedicao s atividades de infraestrutura Escritrio de projetos de TI

69

DIMENSES (cont.)

COMPONENTES (cont.)
Operaes de Servios (cont.)

INDICADORES (cont.)
Tratamento de incidentes de segurana da informao Avaliao pelos usurios dos servios prestados

BOAS PRTICAS (cont.)

A rea de TI conta com uma estrutura ou grupo para tratar de incidentes de segurana da informao Os servios prestados pela rea de TI so avaliados pelos usurios de alguma maneira As responsabilidades dos usurios quanto utilizao dos recursos computacionais e segurana da informao esto documentadas Os usurios declaram ter conhecimento sobre suas responsabilidades quanto utilizao de recursos computacionais e segurana da informao A rea de TI tem um processo ou procedimento para dar retorno aos usurios sobre suas demandas Os critrios de priorizao para atendimento aos incidentes e problemas pela rea de TI so claros para os usurios A rea de TI utiliza um sistema para registro e acompanhamento de suas solicitaes Os usurios conhecem os meios de acesso aos servios de TI Os usurios respeitam os meios de acesso aos servios de TI O Catlogo de Servios de TI foi publicado A rea de TI utiliza um procedimento de documentao de incidentes e fatos relacionados aos contratos de TI Responsveis por realizar contatos com fornecedores de servios, bens e materiais de TI identificados Garantia de que as responsabilidades dos fornecedores e prestadores de servios de TI foram compreendidas por eles e pela unidade Plano para operacionalizar os servios de TI aps finalizao inesperada de contrato documentado Plano para transferncia de contratos entre prestadores de servios ou fornecedores documentado Procedimento da CGTI da FIOCRUZ para execuo de licitaes e contratao de servios de TI adotado na unidade

Responsabilidades dos usurios Relacionamento com os Usurios

Estrutura, Processos, Operao e Gesto (cont.)

Acesso aos servios de TI

Documentao de controle de contratos Responsabilidades relacionadas a contatos com fornecedores

Relacionamento com Fornecedores

Contratos de TI

70

DIMENSES (cont.)

COMPONENTES (cont.)

INDICADORES (cont.)

BOAS PRTICAS (cont.)

Medio de Desempenho

Acordos de nvel de servio em todos os contratos de TI Pena prevista para descumprimento de acordos de nvel de servio em contratos Acordos de nvel de servio de TI em contratos de TI Gesto de Desempenho da Acordos de nvel de servio definidos com base nos objetivos de desempenho de TI TI da unidade Acordo de nvel de servio estabelecido entre a rea de TI e a unidade Acordo de nvel de servio Acordos de nvel de servio com base nos objetivos de desempenho de TI da com a unidade unidade Quadro 4 Boas prticas de Governana de TI dentro do modelo de anlise.

71

72

3 METODOLOGIA

Quanto aos objetivos, este trabalho caracterizado como descritivo, pois procurou identificar opinies, comportamentos e situaes na instituio pesquisada sem que houvesse interferncia do pesquisador (BASTOS, 1999), e descrever com exatido a Governana de TI em unidades de uma instituio (FLICK, 2009). Esta pesquisa teve o objetivo de descrever um fenmeno e estabelecer relaes entre variveis, utilizando como tcnicas a entrevista e a observao, o que tambm a caracteriza como descritiva (GIL, 2010). Quanto aos procedimentos, o trabalho caracterizado como estudo de caso, pois investigou um fenmeno contemporneo (YIN, 2010), explorando profundamente a instituio quanto a esse fenmeno (CRESWELL, 2010). Este estudo de caso envolveu pesquisa em fonte de pessoas, embora tenha tido tambm atividades de pesquisa bibliogrfica e documental, o que caracteriza pesquisa em fonte de papel (BASTOS, 1999) e, por envolver mais de uma unidade autnoma de uma mesma instituio, o trabalho caracterizado como estudo de casos mltiplos (YIN, 2010). Segundo Gil (2010), o estudo de caso envolve investigao profunda e exaustiva de um objeto, de maneira que o conhecimento sobre esse objeto seja amplo e detalhado, e Flick (2009) afirma que o objetivo do estudo de caso pode ser a descrio de uma organizao ou instituio, reforando a caracterizao deste trabalho como descritivo. Quanto ao objeto, o trabalho uma pesquisa predominantemente de campo, uma vez que os dados foram coletados nos locais onde ocorrem os fenmenos e atravs de entrevistas com pessoas diretamente envolvidas (FLICK, 2009), embora tenha caractersticas de pesquisa bibliogrfica, que se apresentam em consultas a documentos e bibliografia sobre o tema (BASTOS, 1999). A abordagem do trabalho predominantemente qualitativa, pois procurou investigar uma relao dinmica entre a realidade, o fenmeno investigado e as pessoas entrevistadas, o que exige a interpretao das respostas ao invs do uso de tcnicas e mtodos estatsticos (SILVA; MENEZES, 2001). Para Flick (2009), a abordagem qualitativa particularmente relevante quando se faz pesquisa social. Ainda para este autor, a pesquisa qualitativa demonstra uma variedade de perspectivas, conhecimentos e prticas dos

73

entrevistados, considerando que os pontos de vista e as prticas no campo so diferentes devido s diferenas de perspectivas e contextos relacionados. O mtodo dedutivo, pois utilizou o ciclo de Governana de TI existente, bem como processos e prticas presentes em modelos de melhores prticas existentes, com a finalidade de identificar as prticas j adotadas pelas unidades tcnico-cientficas estudadas. Para Bastos (1999), o mtodo dedutivo onde ocorre a promoo da conexo descendente, em que os pressupostos de raciocnio partem de premissas gerais para premissas particulares. A pesquisa envolveu quatro etapas principais: a pesquisa bibliogrfica e documental sobre Governana de TI e sobre os modelos de melhores prticas mais utilizados, alm de normas e documentos relacionados organizao, e posterior composio de um modelo de anlise apropriado para realizao da pesquisa; o diagnstico da situao atual, atravs de entrevistas semi-estruturadas, pesquisa documental e observao direta; e a identificao das diferenas entre as boas prticas presentes no modelo de anlise e as de fato adotadas pelas unidades. A observao, segundo Quivy e Campenhoudt (1998), permite reunir dados relativos a diferentes indicadores, o que pode, inclusive, responder a perguntas do roteiro da entrevista semi-estruturada sem que elas necessitem ser feitas aos entrevistados. Para Bastos (1999), a observao direta intensiva compreende, alm da observao propriamente dita do local onde ocorrem os fenmenos, a coleta de dados atravs de entrevistas. A realizao de entrevistas permitiu um contato direto com os entrevistados, o que, para Quivy e Campenhoudt (1998), permite extrair informaes e elementos de reflexo ricos e matizados. A estratgia utilizada na pesquisa est a seguir e representada tambm na Figura 7: a) pesquisa bibliogrfica em normas tcnicas, livros, endereos eletrnicos, peridicos, trabalhos cientficos anteriores, na legislao em vigor e em normas e documentos internos da instituio; b) elaborao do modelo de anlise e identificao dos indicadores para realizao da pesquisa, com base no referencial terico; c) identificao das boas prticas, com base no referencial terico, no modelo de anlise e nos indicadores identificados; d) elaborao do roteiro de entrevista com base nas boas prticas identificadas e no modelo de anlise;

74

e) realizao de pr-teste na unidade tcnico-cientfica da FIOCRUZ localizada no estado do Paran e de ajustes no roteiro de entrevista conforme necessidades identificadas no prteste realizado; f) escolha das unidades tcnico-cientficas a serem estudadas; g) realizao de quatro estudos de caso, com observao do ambiente, pesquisa documental e realizao de entrevistas semi-estruturadas com os coordenadores de TI de duas unidades tcnico-cientficas localizadas no Rio de Janeiro e das unidades tcnicocientficas localizadas na Bahia e em Minas Gerais; h) anlise dos dados coletados por meio de codificao temtica e identificao das diferenas entre as prticas adotados pelas unidades; i) avaliao dos pressupostos de pesquisa diante dos resultados obtidos; j) identificao das causas da situao encontrada, de acordo com as opinies dos entrevistados; k) identificao de pontos de melhorias nos processos de Governana de TI da FIOCRUZ.

Figura 7 Estratgia da pesquisa.

Por ser a distncia entre as unidades e a sede da FIOCRUZ um fator determinante dos cinco pressupostos da pesquisa, o estudo foi feito em unidades localizadas no campus da sede da instituio e em unidades de estados diferentes do Rio de Janeiro. Decidiu-se tambm por pesquisar unidades cuja principal atividade a pesquisa cientfica, pois grande parte das

75

decises tomadas nessas unidades, inclusive as relacionadas a TI, sofre influncias de atores que no atuam diretamente na gesto da organizao. Alm disso, as unidades cuja pesquisa a principal atividade atuam de maneira semelhante, com objetivos semelhantes e comuns. Diante desses critrios, no foram pesquisadas: unidades tcnico-administrativas, que tem seu foco em aes estruturantes e que abrangem toda a FIOCRUZ; unidades tcnico-cientficas de apoio pesquisa, como aquela dedicada produo de animais; unidades de produo de frmacos ou vacinas; unidades que tem seu foco na preservao do acervo histrico; unidades cuja atividade principal o ensino; e unidades cuja atividade principal a prestao direta de servios de sade. Dessa forma, o foco desta ficou restrito s unidades tcnico-cientficas cuja atividade principal a pesquisa cientfica. A escolha das unidades que foram pesquisadas foi tambm influenciada pela convenincia de serem locais onde seria facilitado o acesso do pesquisador s informaes. Os entrevistados foram os coordenadores de TI das quatro unidades tcnicocientficas escolhidas, por serem eles os profissionais que esto mais envolvidos com os processos de Governana de TI das unidades pesquisadas e por conhecerem melhor o ambiente de TI das suas respectivas unidades. As perguntas foram elaboradas e apresentadas aos entrevistados de maneira que pudessem responder da forma mais conveniente para eles, mas dentro do assunto pesquisado. Foi feito um pr-teste presencial na unidade tcnico-cientfica da FIOCRUZ localizada no Paran, que permitiu realizar ajustes no roteiro da entrevista a fim de reduzir a quantidade de perguntas e, consequentemente, o tempo de entrevista. A verso do roteiro utilizada nas entrevistas ficou organizada da seguinte maneira: oito perguntas para caracterizao do entrevistado; sete perguntas para caracterizao da rea de TI da unidade estudada; quatro perguntas iniciais, que, a depender da resposta do entrevistado, poderiam levar o pesquisador a incluir ou no outras perguntas no decorrer da entrevista; 140 perguntas sobre as boas prticas de Governana de TI que, a depender das respostas dadas s perguntas iniciais e a diversas outras perguntas, poderiam ser feitas ou no no decorrer da entrevista. Ao final das entrevistas, quando o pesquisador j dispunha das informaes sobre as quantidades de boas prticas adotadas pelas unidades, foi feita uma pergunta complementar aos entrevistados, que no estava includa no roteiro de entrevista, sobre as causas da situao identificada no estudo.

76

A pesquisa foi presencial, realizada nas unidades estudadas, o que permitiu tambm observar a dinmica das reas de TI dessas unidades e conhecer suas respectivas estruturas. As entrevistas, realizadas em setembro e outubro de 2011, foram gravadas e, durante sua realizao, quando as respostas fornecidas pelos entrevistados no deram informaes suficientes para verificar a existncia ou no das boas prticas relacionadas pergunta, foram feitas perguntas adicionais questionando se a rea de TI da unidade adota ou no as boas prticas em questo, perguntas estas mais diretas e cujas respostas foram essencialmente dicotmicas. Parte das perguntas sobre Governana de TI tinha como fonte de informaes tanto o entrevistado quanto a pesquisa em documentos da instituio principalmente aquelas sobre os PDTIs das unidades, pois havia a possibilidade de ter acesso aos documentos e, assim, de identificar boas prticas sem a necessidade de fazer perguntas especficas sobre elas durante a entrevista. Dessa forma, a adoo de parte das boas prticas na unidade que disponibilizou seu PDTI para o pesquisador foi verificada atravs de pesquisa documental, eliminando a necessidade de fazer diversas perguntas durante a entrevista. Depois de realizadas as entrevistas, as gravaes foram transcritas para anlise. As transcries foram tratadas por meio de anlise de contedo por codificao temtica, como proposto por Flick (2009). As perguntas no roteiro de entrevista estavam agrupadas de acordo com as dimenses, componentes e indicadores do modelo de anlise, o que, por si s, j garantiu a contextualizao das respostas. A anlise da transcrio das respostas permitiu, assim, identificar as boas prticas de Governana de TI adotadas nas unidades.

77

4 A FIOCRUZ

A FIOCRUZ uma fundao pblica de direito pblico, com sede na cidade do Rio de Janeiro, rgo de cincia e tecnologia do Ministrio da Sade. Criada em 1900 com o nome de Instituto Soroterpico Federal, a instituio tinha a funo combater inicialmente a peste bubnica, doena que j havia chegado ao Rio de Janeiro, ento capital federal, e posteriormente a febre amarela. Depois de ter seu nome alterado para Instituto de Patologia Experimental de Manguinhos em 1905, Instituto Oswaldo Cruz em 1908 e Fundao Instituto Oswaldo Cruz em 1970, somente no ano de 1974 a FIOCRUZ recebeu sua denominao atual (FUNDAO..., 2010b), enquanto o nome Instituto Oswaldo Cruz ficou sendo utilizado por uma de suas unidades tcnico-cientficas. Atualmente a FIOCRUZ atua em projetos de pesquisa e desenvolvimento tecnolgico para gerao de conhecimento principalmente em doenas como aids, malria, Chagas, tuberculose, hansenase, sarampo, rubola, esquistossomose, meningites e hepatites. Atua tambm em outros temas ligados sade, como histria da cincia, mudanas climticas e violncia. Sua atuao se estende tambm formao e qualificao de profissionais para o SUS e para atuao em cincia e tecnologia em cursos tcnicos profissionalizantes, psgraduao stricto sensu e lato sensu, cursos de aperfeioamento e atualizao, alm de residncia mdica. Essa atuao resulta em trabalhos relevantes para o conhecimento cientfico, em produtos com aplicao potencial, como vacinas, medicamentos, mtodos de diagnstico e processos de monitoramento da sade do trabalhador, e em servios prestados diretamente populao, como tratamento de crianas com fibrose cstica, tratamento de pacientes com doenas infecciosas, ambulatrio para pacientes com hansenase, servios de referncia para diagnstico de aproximadamente 30 doenas e avaliao de alimentos, soros, vacinas, medicamentos, cosmticos, sangue e derivados (FUNDAO..., 2010b). A instituio tem quatro unidades tcnico-administrativas localizadas no Rio de Janeiro e 16 unidades tcnico-cientficas distribudas em seis estados, alm de um escritrio em Maputo, capital do Moambique, e de uma Coordenao Regional, localizada em Braslia, no Distrito Federal.

78

As unidades tcnico-administrativas tem a funo de desenvolver, implementar e manter estratgias, planos, processos, sistemas e outros instrumentos que servem FIOCRUZ de maneira geral. Esto hierarquicamente ligadas Diretoria Executiva da Vice-Presidncia de Desenvolvimento Institucional e Gesto do Trabalho da FIOCRUZ e esto localizadas no campus de Manguinhos, onde tambm fica a Presidncia da instituio. As unidades tcnicoadministrativas so as seguintes: a) Diretoria de Administrao do Campus (DIRAC); b) Diretoria de Administrao (DIRAD); c) Diretoria de Recursos Humanos (DIREH); d) Diretoria de Planejamento Estratgico (DIPLAN).

As unidades tcnico-cientficas so aquelas que desempenham atividades de pesquisa, ensino, produo, prestao de servios sociedade ou de apoio s pesquisas e cincia, como a produo medicamentos, de vacinas e kits de diagnstico, criao de animais de laboratrio para utilizao nas pesquisas desenvolvidas pela instituio, atividades de comunicao e informao cientfica, documentao e preservao de acervos relacionados histria da sade. Apesar de todas desenvolverem pesquisa e atividades de ensino, h aquelas cujo foco principal educao em sade, e h outras cujo foco principal pesquisa e desenvolvimento tecnolgico em sade, alm das que executam atividades de apoio, como criao de animais de laboratrio. A cidade do Rio de Janeiro, onde est localizada a sede da FIOCRUZ, concentra a maioria das unidades tcnico-cientficas. As 11 unidades tcnicocientficas localizadas no Rio de Janeiro so as seguintes: a) Instituto de Tecnologia em Imunobiolgicos (Bio-Manguinhos); b) Centro de Criao de Animais de Laboratrio (CECAL); c) Instituto de Comunicao e Informao Cientfica e Tecnolgica (ICICT); d) Casa de Oswaldo Cruz (COC); e) Escola Nacional de Sade Pblica Srgio Arouca (ENSP); f) Escola Politcnica de Sade Joaquim Venncio (EPSJV);

79

g) Instituto de Tecnologia em Frmacos (Far-Manguinhos); h) Instituto Fernandes Figueiras (IFF); i) Instituto de Pesquisa Evandro Chagas (IPEC); j) Instituto Nacional de Controle e Qualidade em Sade (INCQS); k) Instituto Oswaldo Cruz (IOC).

Com exceo do IFF, que fica no bairro do Flamengo, e de Far-Manguinhos, que fica no bairro de Jacarepagu, todas as unidades do Rio de Janeiro esto localizadas no campus de Manguinhos. Fora do Rio de Janeiro, a FIOCRUZ est presente nos estados do Amazonas, Bahia, Minas Gerais, Paran, Pernambuco e no Distrito Federal, alm de estar prevista a expanso para os estados do Piau, Rondnia, Mato Grosso do Sul e Cear (FUNDAO..., 2010b). Todas as outras, com exceo da j citada unidade do Distrito Federal, so unidades tcnico-cientficas regionais, que tem a pesquisa como principal atividade. Essas unidades tcnico-cientficas so hierarquicamente ligadas Presidncia da FIOCRUZ e tem em comum, alm das atividades desenvolvidas, os fatos de estarem distantes da sede e de serem responsveis pela manuteno dos seus respectivos campi. As unidades tcnico-cientficas existentes atualmente so as seguintes: a) Centro de Pesquisa Aggeu Magalhes (CPqAM), em Recife, PE; b) Centro de Pesquisa Ren Rachou (CPqRR), em Belo Horizonte, MG; c) Centro de Pesquisa Lenidas e Maria Deane (CPqLMD), em Manaus, AM; d) Instituto Carlos Chagas (ICC), em Curitiba, PR; e) Centro de Pesquisa Gonalo Moniz (CPqGM), em Salvador, BA.

Por ser uma fundao pblica do Poder Executivo Federal, a FIOCRUZ integra o SISP, que define polticas e padres de funcionamento e interoperabilidade dos servios de TI do Poder Executivo Federal. Apesar das unidades tcnico-cientficas tambm estarem submetidas s polticas e padres definidos pelo SISP e pela prpria FIOCRUZ, elas gozam de grande independncia na execuo oramentria e so geridas de maneira autnoma, o que

80

se reflete na gesto de suas reas de TI, no importando se a unidade est localizada em Manguinhos ou em outro campus.

4.1 GOVERNANA DE TI NA FIOCRUZ

At a criao da Coordenao de Gesto de Tecnologia da Informao (CGTI), em agosto de 2009 (FUNDAO..., 2009), no havia na FIOCRUZ uma instncia que tivesse a funo de dirigir de maneira centralizada a TI institucional. Historicamente, no foram muitas as tentativas de planejar aes relacionadas a TI de maneira centralizada e estratgica na FIOCRUZ, e poucas dessas aes planejadas foram levadas adiante. Isso foi observado por Marques (2011) ao pesquisar os documentos e relatrios produzidos nos Congressos Internos da FIOCRUZ3, realizados nos anos de 1988, 1994, 1998, 2002, 2005 e 2010. As decises tomadas antes da CGTI eram normalmente discutidas em reunies da Subcmara Tcnica de Informtica e no obrigavam as unidades a segui-las eram apenas recomendaes feitas pelos profissionais de TI das unidades que participavam dessas reunies. As reas de TI das unidades da FIOCRUZ podem ter diferentes denominaes, como servio, seo, setor, departamento ou coordenao. Em sua pesquisa, que envolveu todas as unidades da FIOCRUZ, Marques (2011) descobriu que a rea de TI no est presente no organograma de cinco das 21 unidades. Descobriu tambm que, a depender da unidade, a TI pode estar subordinada ao servio de Administrao, Vice-Diretoria de Gesto ou ViceDiretoria de Ensino, Informao e Comunicao, e que, em um caso, a TI est subordinada a duas reas distintas. Alm disso, em dez unidades, a rea de TI acumula responsabilidades no relacionadas a TI, como Informao, Comunicao e Planejamento. Marques (2011) identificou tambm que apenas 24,5% dos 314 profissionais de TI da FIOCRUZ so servidores pblicos. Alm disso, trs das 21 unidades no contam com profissionais de atendimento e suporte ao usurio, mas todas contam com profissionais trabalhando com desenvolvimento de sistemas. Os fatos de desenvolverem atividades semelhantes pesquisa, ensino, desenvolvimento tecnolgico, informao e atividades de
3

O Congresso Interno da FIOCRUZ uma reunio que acontece a cada quatro anos, onde a comunidade, representada por delegados eleitos nas unidades, participa das deliberaes sobre assuntos estratgicos relacionados Instituio.

81

apoio, como gesto e comunicao e de integrarem a mesma organizao levam as unidades a necessitarem de servios, sistemas e aplicaes semelhantes ou comuns a todas elas. Por isso, particularmente estranho algumas unidades no terem profissionais de suporte embora todas utilizem computadores e precisem de suporte e manuteno dos seus equipamentos mas todas terem profissionais de desenvolvimento de sistemas atividade que, por uma questo de eficincia, poderia ser centralizada. Apenas dez profissionais de segurana da informao trabalham na FIOCRUZ. Isso significa que existem unidades que no contam com esse perfil de profissional (MARQUES, 2011). Tambm estranho uma instituio que tem a informao como um dos seus principais insumos e produtos, que lida com informaes sigilosas de pacientes e com outros dados que devem ser protegidos por questes ticas, que realiza licitaes e que busca constantemente a inovao tecnolgica e, consequentemente, a garantia do respeito propriedade intelectual no ter um grupo de profissionais especializados em segurana da informao. Em pesquisa exploratria realizada em uma unidade tcnico-cientfica da FIOCRUZ, Albuquerque Junior e Santos (2011) identificaram que a maioria dos funcionrios da rea de TI da unidade desconhece a norma NBR ISO/IEC 27002:2005 e outros conceitos sobre segurana da informao. Os autores identificaram tambm que poucos controles de segurana da informao previstos na norma so adotados na unidade e que, dos 39 objetivos de controle previstos na norma, apenas dois so alcanados. Os autores concluem que isso resultado da falta de direcionamento estratgico da instncia central de TI da instituio, que no promove a elaborao de Polticas de Segurana da Informao em suas unidades descentralizadas. Albuquerque Junior, Machado e Santos (2011) descobriram que a quantidade de profissionais de TI, entre servidores pblicos e terceirizados, varia de trs a 19 nas cinco unidades tcnico-cientficas da FIOCRUZ que pesquisaram. Isso reflete as desigualdades entre as unidades da instituio. Na pesquisa, que procurou identificar a percepo da importncia de indicadores da adoo de boas prticas de Governana de TI para profissionais de TI e gestores das unidades, os autores concluram que os respondentes consideravam mais importantes indicadores de boas prticas que esto no incio do ciclo de Governana de TI proposto por Fernandes e Abreu (2008), relacionados dimenso Alinhamento Estratgico e Compliance, bem como indicadores relacionados a Segurana da Informao, mostrando uma preocupao tanto dos profissionais da rea de TI quanto dos gestores com questes mais estruturais de Governana de TI, como alinhamento estratgico, comits, planos e polticas de

82

TI. A pesquisa mostrou tambm que os indicadores relacionados a questes mais operacionais tem pouca importncia para o grupo de respondentes. Considerando as atividades desenvolvidas nas unidades tcnico-cientficas e tcnico-administrativas e os tipos de dependncia que as organizaes podem ter da TI apontadas por Fernandes e Abreu (2008), possvel dizer que a FIOCRUZ pode ser enquadrada como uma organizao cujas operaes-chave so altamente dependentes da TI, a exemplo da execuo de licitaes atravs de prego eletrnico pela Internet, do acesso a sistemas hospedados em outras instituies do Governo Federal, de sistemas e processos transversais hospedados no Rio de Janeiro e acessados por todas as unidades regionais, de projetos de pesquisa envolvendo participantes de diferentes unidades regionais ou de outras instituies brasileiras ou estrangeiras que exigem intensa troca de informaes atravs da Internet, da facilidade que o uso de recursos computacionais traz para a pesquisa bibliogrfica em bases de dados de teses e artigos cientficos, das ferramentas on-line de submisso de artigos para peridicos e congressos, alm do imenso acervo de dados e informaes eletrnicas geradas pelas pesquisas desenvolvidas na instituio e armazenadas nas redes de computadores das unidades. A importncia que essas operaes fortemente ligadas tecnologia tem para a FIOCRUZ o suficiente para classificar a TI como rea estratgica para uma organizao, segundo Fernandes e Abreu (2008). Alm disso, h uma necessidade clara de adotar boas prticas de Governana de TI em uma instituio que desenvolve tecnologia e que tem uma preocupao natural com direitos autorais e preservao das informaes utilizadas ou geradas em suas pesquisas e em suas atividades administrativas. O grupo de trabalho que viria a se tornar a CGTI da FIOCRUZ elaborou um relatrio que apresentou uma proposta de criao de uma instncia central de TI (FUNDAO..., 2009) fato que viria a se concretizar pouco depois e um PDTI FIOCRUZ 2010 (FUNDAO..., 2010a), primeiro documento elaborado com a finalidade de ser um planejamento estratgico de TI da FIOCRUZ. O PDTI FIOCRUZ 2010 foi divulgado em 2010 sem dar, entretanto, orientaes para a organizao das reas de TI nem para elaborao de PDTIs nas unidades descentralizadas. Assim sendo, as unidades que decidiram elaborar seus prprios PDTIs fizeram isso conforme o que os profissionais de TI locais sabiam sobre o assunto, ou seguindo o modelo publicado pelo SLTI (2008), com poucas orientaes da FIOCRUZ. As unidades que no elaboraram um PDTI prprio se limitaram a

83

enviar para a CGTI da FIOCRUZ as informaes sobre as aquisies e contratos que pretendiam realizar naquele ano para compor o PDTI geral da FIOCRUZ. Depois de ser formalmente criada, a CGTI da FIOCRUZ elaborou ainda um PDTI vigente entre junho de 2011 e maio de 2012, publicado para as regionais em setembro de 2011, e uma Poltica de Segurana da Informao e Comunicaes (POSIC) para toda a FIOCRUZ, publicada em fevereiro de 2011. O novo PDTI foi elaborado da mesma forma que o anterior: cada unidade fez seu prprio planejamento, com base nos respectivos Planos Quadrienais, sem seguir uma orientao central nem projetos ou programas identificados pela CGTI da FIOCRUZ como sendo estratgicos para a instituio. A POSIC foi elaborada por um grupo formado por servidores da FIOCRUZ, mas no houve um processo de consulta ou algum tipo de participao dos usurios ou dos profissionais de TI das unidades. Outros dois documentos foram elaborados e divulgados pela CGTI da FIOCRUZ: a Recomendao Tcnica IN-001, que trata de especificaes para nomes de caixas postais e protocolo de correio eletrnico; e uma orientao sobre aquisies de solues de TI conforme a IN N 4/2010. Dessa forma, dos quatro documentos elaborados e publicados pela CGTI da FIOCRUZ, um o PDTI geral da FIOCRUZ (que no orienta a elaborao dos PDTIs das unidades, mas apenas compila as informaes sobre previso de execuo oramentria das unidades em um s documento), o segundo uma recomendao (que as unidades no so obrigadas a seguir), o terceiro um manual elaborado com base em uma norma do MPOG, e apenas um uma poltica que obrigatoriamente deve ser seguida por todas as unidades da FIOCRUZ, mas que no traz orientaes sobre como as unidades devem elaborar suas prprias polticas e normas. Como cada unidade da FIOCRUZ geriu seus servios de TI de maneira independente por muitos anos, e s recentemente houve aes no sentido de centralizar parte das decises relacionadas TI, alguns gestores de unidades perceberam a importncia e a dependncia que tm da TI e adotaram boas prticas de Governana de TI, antecipando as normas originadas da necessidade detectada pelo TCU. A adoo de boas prticas por algumas unidades, entretanto, foi pouco divulgada nas outras unidades, mesmo entre os profissionais de TI, quando essa divulgao poderia servir para orientar as demais unidades na melhoria dos seus processos internos de TI, na ausncia de orientaes centrais da FIOCRUZ. Espera-se que a CGTI da FIOCRUZ, como uma parte importante da estrutura de Governana de TI, aponte quais projetos ou processos identificados dentro dos documentos de

84

planejamento estratgico da FIOCRUZ exigem a realizao de aes estratgicas pelas reas de TI das unidades. Essas aes estratgicas de TI, juntamente com os planos estratgicos individuais das unidades, devem se materializar nos PDTIs de cada unidade, que, por fim, devem compor o PDTI da FIOCRUZ. Alm disso, espera-se da CGTI da FIOCRUZ o estabelecimento de polticas e normas que orientem a criao e a gesto da estrutura organizacional de TI das unidades, incluindo suas estruturas prprias de deciso, seus processos internos, suas polticas e normas prprias e a adoo de outras boas prticas de Governana de TI. A dependncia que a instituio tem da TI, o fato de ter ficado tanto tempo sem uma rea central para orientar na elaborao de planos e definir polticas e normas gerais para a FIOCRUZ e a autonomia com que as unidades foram geridas tornaram necessria a identificao das boas prticas que foram adotados em unidades da FIOCRUZ localizadas no Rio de Janeiro e em outros estados, fazendo um diagnstico da situao atual da adoo de boas prticas e das causas da situao encontrada, e indicando caminhos que podero ser seguidos para que seja implantada uma Governana de TI eficaz. As unidades regionais da FIOCRUZ tm uma caracterstica comum, que no compartilhada com as unidades localizadas no campus de Manguinhos, no Rio de Janeiro: suas despesas condominiais, como segurana, gua, energia eltrica, manuteno predial, servios de telefonia e comunicao de dados, so inteiramente custeadas com recursos do oramento das prprias unidades, enquanto que, nas unidades localizadas no campus de Manguinhos, esses servios so custeados de maneira centralizada. Tendo a pesquisa como atividade finalstica, as unidades tcnico-cientficas tem necessidades semelhantes de boas prticas de Governana de TI e sofrem influncias de pessoas com perfis semelhantes nas decises relacionadas TI. As prximas sees tratam das unidades estudadas nesta pesquisa.

4.2

INSTITUTO

DE

COMUNICAO

INFORMAO

CIENTFICA

TECNOLGICA (ICICT)

Criado em 1986, o ICICT a unidade tcnico-cientfica localizada no campus de Manguinhos que desenvolve atividades de pesquisa e ensino nas reas de comunicao,

85

informao e inovao cientfica e tecnolgica em sade nos seus trs laboratrios. Seu programa de ps-graduao oferece cursos lato sensu de Especializao e stricto sensu de Mestrado e Doutorado. A unidade atua nos campos da informao e comunicao cientfica e tecnolgica em sade atravs da produo, anlise, tratamento e disseminao do conhecimento cientfico. O ICICT ministra tambm cursos de atualizao, responde pelo selo FIOCRUZ Vdeo e coordena o Sistema Nacional de Informaes Txico-Farmacolgicas e a Rede de Bibliotecas da FIOCRUZ, que inclui as bibliotecas de todas as unidades da instituio e integra o projeto Bibliotecas Virtuais em Sade (BVS) (FUNDAO..., 2010b). A rea de TI do ICICT est instalada em um prdio moderno e bem conservado da prpria unidade, e conta com moblia nova e equipamentos novos de grandes fabricantes do mercado. No houve dificuldade em localizar ou identificar a unidade nem o setor de TI, embora a sinalizao do campus de Manguinhos seja insuficiente para um visitante externo.

4.3 INSTITUTO OSWALDO CRUZ (IOC)

O IOC a maior e mais antiga unidade tcnico-cientfica da FIOCRUZ e tambm est localizada no campus de Manguinhos, sendo que sua histria se confunde com a histria da prpria FIOCRUZ. A unidade desenvolve atividades de pesquisa, desenvolvimento tecnolgico e inovao em sade, alm de prestar servios de referncia para diagnstico de doenas infecciosas e genticas e controle de vetores. O IOC atua tambm na formao de cientistas e tcnicos atravs de seus programas de educao profissional e ps-graduao lato sensu e stricto sensu. Conta com 71 laboratrios de pesquisa, desenvolvimento tecnolgico e inovao que desenvolvem estudos sobre doena de Chagas, dengue, febre amarela, aids, tuberculose, malria, leptospirose, esquistossomose, rotavrus, hepatites, hansenase e meningites, entre outras doenas. O IOC tambm coopera com o Ministrio da Sade atravs de 29 servios de referncia, que incluem vigilncia epidemiolgica, preveno, diagnstico e controle de doenas e controle de vetores. Pelo fato de os setores e laboratrios do IOC no estarem concentrados em um s prdio, a localizao da rea de TI no uma tarefa fcil para um visitante externo, dificuldade que s agravada pelo tamanho da unidade, pela deficincia de sinalizao do

86

campus de Manguinhos, pela extenso do campus e pelo desconhecimento das pessoas que trabalham na FIOCRUZ sobre as outras unidades da instituio. A moblia utilizada pela rea de TI do IOC no nova, embora bem conservada. Os equipamentos de TI so novos e de grandes fabricantes.

4.4 CENTRO DE PESQUISA REN RACHOU (CPQRR)

O CPqRR foi criado em 1955 e a unidade tcnico-cientfica da FIOCRUZ em Minas Gerais. Seu nico prdio fica em uma rea central de Belo Horizonte, onde esto seus 14 laboratrios, que realizam estudos sobre os parasitas e vetores da doena de Chagas, esquistossomose, leishmanioses e malria, alm da epidemiologia do envelhecimento, do comportamento de risco e ocupacional. A unidade realiza tambm servios de referncia em doena de Chagas, leishmaniose e esquistossomose. O programa de ps-graduao do CPqRR possui nove linhas de pesquisa em trs reas de concentrao para formar mestres e doutores (FUNDAO..., 2010b). O prdio onde est o CPqRR antigo e apresenta necessidades de melhoria na infraestrutura que refletem na rea de TI, como dificuldade para ampliar o espao fsico do setor e dificuldades para ampliar a rede de computadores. Foi possvel notar improvisos para interligar equipamentos rede de computadores, como cabos de rede aparentes. visvel tambm a falta de espao, pois h equipamentos empilhados aguardando manuteno na sala onde trabalham o coordenador e os demais profissionais de TI. A rea de TI dispe de equipamentos novos tanto de grandes fabricantes quanto de marcas pouco conhecidas no mercado.

4.5 CENTRO DE PESQUISA GONALO MONIZ (CPQGM)

Criado em 1957, o CPqGM a unidade tcnico-cientfica da FIOCRUZ na Bahia. O campus do CPqGM est localizado em um bairro residencial populoso de Salvador, onde

87

esto os seis prdios que abrigam seus dez laboratrios e os demais setores de apoio. Esses laboratrios realizam estudos sobre leishmanioses, doena de Chagas, hepatites, aids, HTLV, HPV, clulas-tronco, envelhecimento humano, doenas autoimunes e doenas crnicodegenerativas, entre outros. A unidade oferece dois cursos de ps-graduao em nvel de Mestrado e Doutorado, alm de cursos de extenso e aperfeioamento (FUNDAO..., 2010b). O prdio onde est instalada a Seo de Informtica relativamente novo, mas o setor deixa transparecer necessidades de melhoria na infraestrutura predial. possvel notar improvisos, como cabos de rede de dados e fios eltricos que no passam por tubulaes para ligar equipamentos localizados na sala vizinha e necessidades relacionadas falta de espao, como um grande nmero de equipamentos empilhados no cho aguardando manuteno. A infraestrutura da rede de computadores e os equipamentos utilizados pelos usurios so novos e muitos desses equipamentos so de grandes fabricantes do mercado.

88

5 APRESENTAO E ANLISE DOS DADOS

A partir deste captulo, os nomes das unidades foram substitudos por Regional 1, Regional 2, Rio 1 e Rio 2, sendo que as duas primeiras correspondem s unidades regionais e as duas ltimas correspondem s unidades localizadas no Rio de Janeiro. Da mesma forma, os nomes dos coordenadores de TI foram omitidos e sero referenciados apenas como coordenadores das suas unidades. Nas entrevistas com os quatro coordenadores de TI, identificou-se que trs deles so servidores de carreira da FIOCRUZ e um servidor de outra instituio, mas que ocupa um cargo comissionado na FIOCRUZ. Os quatro entrevistados tem mais de seis anos na instituio, sendo que dois esto como responsveis pelas reas de TI de suas unidades h dez anos, um est h quatro anos e um est h seis anos. O entrevistado que trabalha na FIOCRUZ h mais tempo tem 22 anos de servio e o que trabalha h menos tempo tem seis anos. O entrevistado mais jovem tem 35 anos e o mais velho tem 55 anos de idade. Quanto formao, um dos entrevistados est cursando graduao e todos os outros so graduados, sendo que um est cursando Mestrado e outro est cursando Doutorado. A entrevista com o coordenador de TI da unidade Regional 1 foi iniciada na sua sala, mas sofreu algumas interrupes por parte dos prprios funcionrios da rea de TI o coordenador divide a sala com mais sete funcionrios, sendo dois servidores e cinco terceirizados , e por isso foi concluda em uma sala de reunies localizada no mesmo prdio e andar da Seo de Informtica. Algumas informaes no foram coletadas atravs da entrevista, mas atravs de pesquisa documental no PDTI da unidade. O entrevistado da unidade Regional 1 servidor efetivo da FIOCRUZ, ocupa o cargo de Tecnologista em Sade Pblica, tem 35 anos, graduado na rea de TI e est cursando Mestrado. A Seo de Informtica da Regional 1 tem seis servidores pblicos, sendo quatro efetivos e dois ocupantes de cargo comissionado, o que no significa que o responsvel pela Seo de Informtica da Regional 1 esteja ocupando um cargo comissionado. Dos seis servidores pblicos lotados no setor, trs trabalham com desenvolvimento de sistemas e trs trabalham com infraestrutura. A Seo de Informtica da Regional 1 tem ainda sete terceirizados, que desenvolvem atividades de atendimento remoto (help desk) e atendimento

89

presencial aos usurios. O setor o nico dentre os quatro que est subordinado ViceDiretoria de Ensino da sua unidade. A entrevista com o coordenador de TI da unidade Regional 2 foi realizada na sala onde ele trabalha e sofreu apenas uma rpida interrupo, pois o entrevistado divide a sala com mais dois servidores da FIOCRUZ e dois terceirizados. Todas as informaes foram coletadas atravs da entrevista e da observao. O coordenador de TI da unidade Regional 2 est na funo h dez anos e servidor efetivo da FIOCRUZ. Seu cargo efetivo de Tcnico em Sade Pblica. Ele est lotado na mesma unidade h 13 anos, tem 39 anos de idade e est se graduando na rea de TI. A Seo de Informtica da unidade Regional 2 conta com cinco profissionais de TI, sendo dois terceirizados e trs servidores pblicos. Um servidor divide atividades de desenvolvimento com um terceirizado, dois servidores trabalham com administrao da rede e segurana da informao, e um terceirizado trabalha realizando atendimento presencial aos usurios. Eles prestam suporte a 308 desktops da unidade, embora tambm prestem algum atendimento a um nmero expressivo de notebooks particulares que acessam a rede de computadores da unidade, nmero que a rea de TI acredita que esteja em torno de 100 equipamentos. A Seo de Informtica da unidade Regional 2 est subordinada ViceDiretoria de Gesto. A organizao das salas onde esto os setores de TI das unidades regionais deixa claro que ambas tem uma infraestrutura que precisa de melhorias para atender s necessidades da rea de TI. Na unidade Regional 1, o fato de o coordenador de TI dividir sua sala com outras sete pessoas entre servidores da FIOCRUZ e terceirizados uma evidncia disso. O compartilhamento do ambiente de trabalho mostra que o coordenador de TI da Regional 1 tem pouca privacidade para tratar de assuntos envolvendo fiscalizao de contratos, queixas de usurios sobre funcionrios do setor ou qualquer outro assunto que exija algum sigilo ou discrio. Uma consequncia da falta de privacidade na sala foi a quantidade de interrupes durante a entrevista. Na Seo de Informtica da unidade Regional 2 o problema de falta de espao fsico ainda mais evidente. O coordenador de TI e os outros quatro funcionrios servidores e terceirizados compartilham uma sala onde tambm so armazenados equipamentos em manuteno e documentos do setor. Apesar da falta de privacidade, houve apenas uma pequena interrupo durante toda a entrevista.

90

Na unidade Rio 1, a entrevista foi realizada na sala do coordenador de TI foi a nica unidade entre as quatro pesquisadas em que o coordenador de TI dispe de uma sala exclusiva. Embora a entrevista tenha transcorrido com a porta da sala aberta, no houve interrupes. O entrevistado da unidade Rio 1 est como coordenador de TI h seis anos, mesmo tempo que tem na FIOCRUZ. Ele tem 55 anos, servidor de outra instituio cedido FIOCRUZ e est cursando Doutorado. O Departamento de TI da unidade Rio 1 no enfrenta problemas relacionados falta de privacidade do coordenador de TI nem de falta de espao. Suas salas so amplas e no apresentavam sinais de desorganizao. O setor tem cinco servidores pblicos e 15 profissionais terceirizados, totalizando 20 funcionrios. Como no tem uma equipe estruturada de desenvolvimento de sistemas, seu foco a infraestrutura e o suporte aos usurios. Apenas um profissional terceirizado trabalha com desenvolvimento, e suas atividades esto limitadas manuteno da Intranet da unidade, atendendo principalmente a demandas da rea de comunicao, enquanto os demais funcionrios trabalham com infraestrutura e com atendimento ao usurio. possvel notar poucos improvisos, como cabos de rede que no esto prximos aos computadores onde esto ligados, mas no h sinais de desorganizao. Os improvisos so decorrentes de uma infraestrutura predial que no foi preparada para o uso intensivo de TI que se tem hoje e foi adaptada para receber um setor de TI. O Departamento de TI da unidade Rio 1 est subordinado Vice-Diretoria de Gesto. Na unidade Rio 2, a entrevista foi realizada integralmente na sala do coordenador de TI da unidade, que compartilhada com apenas uma pessoa tambm do setor, o que minimiza problemas de privacidade. O entrevistado da unidade Rio 2 coordenador de TI h quatro anos, trabalha na mesma unidade da FIOCRUZ h 22 anos, tem 42 anos e tem nvel superior. O Centro de Tecnologia da Informao e Comunicaes conta com 25 funcionrios, sendo 14 servidores, oito terceirizados e trs bolsistas. O setor tem uma equipe de desenvolvimento estruturada, que conta com dez pessoas que trabalham em solues e portais web, tanto para necessidades internas quanto para outras unidades, e que cuida da administrao dos servidores de bancos de dados da unidade. Tem tambm uma equipe que cuida da manuteno dos contedos dos stios e portais mantidos pela unidade, e uma equipe de infraestrutura, que cuida do atendimento aos usurios, da segurana da rede e da administrao dos servidores de rede. O Centro de Tecnologia da Informao e Comunicaes

91

dispe de espao suficiente para a quantidade de funcionrios e para a infraestrutura de TI que tem. Durante as visitas s reas de TI das quatro unidades pesquisadas, foi possvel observar que trs delas possuem em sua infraestrutura firewalls, storages e servidores de rede profissionais. Apenas a unidade Regional 2 no tem um storage, embora a aquisio esteja prevista no oramento ainda para 2011. Esta unidade tambm a nica que no utiliza um firewall apliance, mas um computador com sistema operacional de propsito geral configurado como filtro de pacotes para essa funo. Todas as unidades utilizam virtualizao para consolidar servidores, exceto a Regional 2, que tambm planeja virtualizar servidores assim que adquirir o storage. Todas as unidades contam com no-breaks para proteger sua infraestrutura de rede de problemas na rede eltrica. Com relao quantidade de equipamentos e usurios atendidos pelos profissionais de TI das unidades pesquisadas e a quantidade de pessoas trabalhando nas reas de TI, as informaes apontam que a unidade Rio 1, que atende a aproximadamente 3000 usurios e 2000 desktops e notebooks, dispe de 20 profissionais de TI. A unidade Rio 2 conta com 25 profissionais de TI, que atendem a aproximadamente 425 usurios e 430 desktops e notebooks. A unidade Regional 1 conta com 13 funcionrios para atender a 600 usurios e 270 desktops e notebooks, enquanto a unidade Regional 2 conta com cinco funcionrios para atender a 606 pessoas e 308 desktops e notebooks. A Tabela 1 mostra a quantidade de funcionrios e a quantidade de equipamentos e usurios que tem suporte da rea de TI de cada unidade.
Tabela 1 Quantidades de funcionrios, de usurios e de equipamentos atendidos nas unidades UNIDADE FUNCIONRIOS SERVIDORES TERCEIRIZADOS E DESKTOPS E USURIOS REA DE TI REA DE TI BOLSISTAS REA NOTEBOOKS DE TI DE TI SUPORTADOS Regional 1 13 6 7 270 600 Regional 2 5 3 2 308 606 Rio 1 20 5 15 2000 3000 Rio 2 25 14 11 430 425 Fonte: Elaborado pelo autor

Embora as Sees de Informtica de ambas as unidades regionais atendam praticamente mesma quantidade de usurios e computadores, h uma grande diferena de infraestrutura de TI. Na unidade Regional 1, o atendimento ao usurio realizado pelos

92

tcnicos da empresa contratada para prestao de servios de TI e manuteno nos equipamentos, enquanto os servidores pblicos da rea de TI trabalham com administrao da rede e com desenvolvimento de sistemas para atender s necessidades locais. A Seo de Informtica organizada em quatro reas internas, cada uma com um servidor da FIOCRUZ como responsvel: atendimento e suporte ao usurio; operao e administrao da rede, que trabalha na administrao dos servidores de rede e das rotinas de operao; tecnologia e segurana da informao, que administra o firewall e faz prospeco de novas tecnologias; e sistemas e desenvolvimento, que desenvolve aplicaes web para atender s necessidades internas da unidade. As atividades de desenvolvimento, operao, administrao da rede, prospeco de novas tecnologias e segurana da informao so exclusivas de servidores da FIOCRUZ. J a rea de TI da unidade Regional 2 subdividida apenas em Infraestrutura e Desenvolvimento, sendo que as atividades de administrao da rede de computadores so realizadas por servidores da FIOCRUZ, as atividades de desenvolvimento so realizadas por um servidor e um terceirizado e as atividades de atendimento ao usurio so realizadas pelos dois servidores que trabalham com infraestrutura e por um terceirizado. As reas de TI das duas unidades do Rio de Janeiro atendem a quantidades diferentes de usurios e demandas. A unidade Rio 1 atende a aproximadamente 3000 usurios e conta com 20 funcionrios, sendo apenas cinco servidores da FIOCRUZ e 20 terceirizados. As demandas atendidas so basicamente de infraestrutura, e as atividades de desenvolvimento, realizadas por apenas um profissional terceirizado, se limitam a manuteno da Intranet. J a unidade Rio 2 conta com 25 funcionrios para atender a demandas de infraestrutura e principalmente de desenvolvimento, em uma rede de 425 computadores. A equipe de desenvolvimento da Rio 2 composta por dez pessoas, o que justifica-se pelo fato de a unidade desenvolver portais e sistemas no s para suas necessidades internas, mas tambm para outras unidades ou eventualmente para outras instituies do Governo Federal. As diferenas entre as reas de TI das unidades estudadas no se resumem ao tamanho da equipe, infraestrutura de TI e ao foco dos servios prestados. De acordo com as respostas dadas pelos coordenadores de TI durante as entrevistas e pela pesquisa documental realizada, identificou-se que, do total de 137 boas prticas do modelo de anlise, apenas 25

93

so adotadas pelas quatro unidades, 24 boas prticas no so adotadas por nenhuma das unidades e 113 so adotadas por pelo menos uma das quatro unidades. A unidade Rio 1 adota 55 boas prticas, sendo 27 da dimenso Alinhamento Estratgico e Compliance, sete de Deciso, Compromisso, Priorizao e Alocao de Recursos, 19 de Estrutura, Processos, Operao e Gesto e duas de Medio de Desempenho. J a unidade Rio 2 adota 68 boas prticas, sendo 38 de Alinhamento Estratgico e Compliance, 11 da dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos, 18 da dimenso Estrutura, Processos, Operao e Gesto e uma de Medio de Desempenho. A unidade Regional 1 a que adota maior quantidade de boas prticas de Governana de TI dentre as quatro estudadas. Do total de 81 boas prticas adotadas por esta unidade, 48 so da dimenso Alinhamento Estratgico e Compliance, dez da dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos, 21 de Estrutura, Processos, Operao e Gesto e duas da dimenso Medio de Desempenho. Apesar de ser uma unidade regional a que mais adota boas prticas individualmente, o oposto acontece com a outra regional: a unidade Regional 2 a que adota menor quantidade de boas prticas. So apenas 44 boas prticas no total, sendo 22 de Alinhamento Estratgico e Compliance, cinco da dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos, 16 da dimenso Estrutura, Processos, Operao e Gesto e uma de Medio de Desempenho. A Tabela 2 mostra as quantidades de boas prticas e os percentuais de adoo com relao ao total de boas prticas de cada dimenso do modelo de anlise para cada unidade.

Tabela 2 Quantidades e percentuais de boas prticas adotadas por cada unidade em cada dimenso. DIMENSO TOTAL REG. 1 No Alinhamento Estratgico e Compliance Deciso, Compromisso, Priorizao e Alocao de Recursos Estrutura, Processos, Operao e Gesto Medio de Desempenho TOTAL 82 16 34 5 137 48 10 21 2 81 % 58,5 62,5 61,7 40,0 59,1 REG. 2 No 22 5 16 1 44 % 26,8 31,2 47,0 20,0 32,1 RIO 1 No 27 7 19 2 55 % 32,9 43,7 55,8 40,0 40,1 RIO 2 No 38 11 18 1 68 % 46,3 68,7 52,9 20,0 49,6

Fonte: Elaborado pelo autor

94

Percebe-se na Tabela 2 que poucas boas prticas foram adotadas para cada dimenso. Do total de 137 boas prticas, 19 so adotadas apenas por unidades do Rio de Janeiro, 29 so adotadas apenas por unidades regionais e 65 so adotadas por pelo menos uma regional e por pelo menos uma unidade do Rio de Janeiro. Entre as 25 boas prticas que so adotadas por todas as unidades, 13 esto na dimenso Alinhamento Estratgico e Compliance, quatro esto na dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos, oito esto na dimenso Estrutura, Processos, Operao e Gesto, e a dimenso Medio de Desempenho no tem nenhuma boa prtica adotada por todas as unidades. A unidade que tem maior percentual de adoo de boas prticas com relao ao total de cada dimenso do modelo de anlise a Regional 1, com 59,12% do total de boas prticas, resultado que contraria um dos pressupostos da pesquisa, como ser visto em maiores detalhes na seo 6.5 deste captulo. Em seguida aparece a unidade Rio 2, com 49,63% do total. A unidade Rio 1 aparece em seguida, com 40,14%, e a unidade Regional 2 aparece como a que tem menor percentual de adoo de boas prticas, com 32,11% do total. Dessa forma, das quatro unidades estudadas, trs adotam menos da metade das boas prticas de Governana de TI. Alm disso, nota-se que apenas a unidade Regional 1 adota mais da metade das boas prticas da dimenso Alinhamento Estratgico e Compliance, que corresponde etapa inicial do ciclo de Governana de TI de Fernandes e Abreu (2008), que serve como base para as demais etapas. Quanto dimenso Medio de Desempenho, possvel notar que nenhuma unidade adota mais de 40% das boas prticas relacionadas, embora essa dimenso tenha apenas cinco boas prticas. Da dimenso Estrutura, Processos, Operao e Gesto, trs unidades adotam mais da metade das 34 boas prticas, sendo a nica exceo a unidade Regional 2, que adota 47,05% do total. J a dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos, apenas as unidades Regional 1 e Rio 2 adotam mais da metade das suas 16 boas prticas, sendo que esta a nica dimenso em que a Regional 2 no a que adota mais boas prticas entre as quatro unidades estudadas. As prximas sees deste captulo trataro das boas prticas identificadas na pesquisa, sendo que cada dimenso do modelo de anlise ter uma seo especfica, que apresentar os aspectos identificados na pesquisa e um quadro com todas as boas prticas adotadas por cada unidade dentro da respectiva dimenso, alm da anlise dos dados em face aos pressupostos da pesquisa.

95

5.1 BOAS PRTICAS DE ALINHAMENTO ESTRATGICO E COMPLIANCE

Das 82 boas prticas da dimenso Alinhamento Estratgico e Compliance, 48 (58,5% do total) foram adotadas pela unidade Regional 1, 38 (46,3%) foram adotadas pela Rio 2, a unidade Rio 1 adotou 27 (32,9%) e a Regional 2 adotou 22 (26,8%) boas prticas. O Quadro 5 mostra as boas prticas desta dimenso adotadas por cada uma das unidades. Para os coordenadores de TI das quatro unidades, suas diretorias demonstram compromisso com a Governana de TI, o que se materializa na centralizao das compras de TI das quatro unidades e no apoio s medidas tomadas pela CGTI da FIOCRUZ. Trs entrevistados afirmaram que esse apoio se d tambm atravs de investimentos feitos em melhorias na infraestrutura de TI, embora um deles tenha admitido que esse investimento poderia ser maior. Para o ITGI (2007) e o OGC (2007b), a alta direo da organizao deve aceitar e se comprometer com a Governana de TI. Para Fernandes e Abreu (2008) e Weill e Ross (2006), a Governana de TI bem sucedida tem como requisito o envolvimento dos executivos da organizao. Apesar de todos os entrevistados afirmarem que suas diretorias demonstram compromisso com a Governana de TI, apenas dois coordenadores de TI afirmaram participar de decises estratgicas da unidade e trs afirmaram que tiveram necessidades relacionadas a Governana de TI no atendidas pelas diretorias de suas unidades, citando como exemplo a necessidade no atendida de capacitao da equipe em Governana de TI, a necessidade de equipamentos ainda no adquiridos para aumentar a disponibilidade dos servios, a necessidade de aprovao de normas e polticas relativas utilizao de recursos computacionais, a criao de um Comit de TI para a unidade que foi solicitada e no atendida, a necessidade de uma poltica institucional para contratao de empresas para prestao de servios de TI ou de uma poltica institucional de contratao de mo de obra que no foram estabelecidas. As duas unidades em que h participao do chefe de TI no planejamento estratgico so justamente as do Rio de Janeiro, e a participao se d em reunies peridicas do Conselho Deliberativo e com os membros da Diretoria. Nas unidades onde essa participao no acontece, a rea de TI fica afastada do planejamento estratgico e decises que possam envolver TI podem ser tomadas sem qualquer apoio ou participao dos profissionais de TI.

96

BOAS PRTICAS DE ALINHAMENTO ESTRATGICO E COMPLIANCE

A direo da unidade demonstra compromisso com a Governana de TI O chefe da rea de TI participa das decises estratgicas da unidade Requisitos de negcio para a rea de TI da unidade definidos e documentados Requisitos de negcio para a rea de TI definidos com base nas necessidades estratgicas da unidade Existe de um Comit Gestor de TI ou de algum grupo com funo de tomar decises estratgicas relacionadas rea de TI Existe de um documento formalizando o Plano Diretor de TI da unidade A unidade utiliza, total ou parcialmente, modelos de melhores prticas de Governana de TI A unidade respeita as Instrues Normativas do Governo Federal A unidade utiliza a arquitetura de interoperabilidade e-PING A unidade utiliza o padro de acessibilidade e-MAG A unidade respeita a Poltica de Segurana da Informao e Comunicaes da FIOCRUZ A unidade tem seus princpios de TI definidos e documentados A unidade definiu seus princpios de TI com base no planejamento estratgico da unidade e nos requisitos de negcio A rea de TI identificou os sistemas e aplicaes necessrios para o alcance de seus objetivos estratgicos Os sistemas e aplicaes necessrios foram identificados com base nos requisitos para a rea de TI A rea de TI tem documentada a definio de padres de dados e rotinas de sistemas desenvolvidos localmente A rea de TI tem identificados e documentados todos os seus sistemas A rea de TI tem documentado um processo ou procedimento para reutilizao de cdigos ou componentes de sistemas A rea de TI tem documentado um processo de integrao e compartilhamento de dados entre sistemas Foi feita anlise das possibilidades de compartilhamento de infraestrutura entre sistemas e aplicaes Foram identificados os servios de infraestrutura de TI necessrios para atender unidade Foram identificadas as necessidades de hardware e software para atender unidade A rea de TI utiliza um Banco de Dados de Gerenciamento da Configurao A rea de TI tem mapeados todos os dispositivos e equipamentos de TI no Banco de Dados de Gerenciam. Config. A rea de TI tem uma biblioteca de software institucional A rea de TI controla as licenas de software utilizadas na unidade A rea de TI avaliada com base em metas quantitativas de desempenho

REG. 1

REG. 2

RIO 1

RIO 2

97

BOAS PRTICAS DE ALINHAMENTO ESTRATGICO E COMPLIANCE (cont.)

Os servios de TI so avaliados utilizando acordos de nvel de servio A rea de TI faz planejamento de capacidade da infraestrutura de hardware Os objetivos de desempenho e os nveis de servio acordados so utilizados para planejar a capacidade de equipamentos O crescimento vegetativo da utilizao de recursos de TI considerado no planejamento da capacidade de infraestrutura A rea de TI faz planejamento da capacidade dos sistemas de aplicaes Os objetivos de desempenho e os nveis de servio considerados no planejamento de capacidade de sistemas e aplicaes O crescimento vegetativo da utilizao de recursos de TI considerado no planejam. da capacidade de sistemas e aplicaes A rea de TI faz planejamento da capacidade de recursos humanos Informaes sobre projetos atuais e futuros de TI so consideradas no planejam. da capacidade de recursos humanos A rea de TI tem definida e documentada uma estratgia de outsourcing A unidade tem um Plano de Continuidade do Negcio documentado A rea de TI tem um Plano de Continuidade dos Servios de TI documentado A unidade tem uma Polotica de Segurana da Informao documentada A rea de TI tem um grupo designado para tratar de assuntos relacionados Poltica de Segurana da Informao A unidade tem um grupo formalmente designado para elaborar a Poltica de Segurana da Informao A Poltica de Segurana da Informao da unidade foi aprovada pelo Diretor A rea de TI tem mapeadas e documentadas as competncias dos seus profissionais A rea de TI tem mapeadas e documentadas as competncias que precisam ser contratadas via terceirizao Necessidades de capacitao dos profissionais de TI identificadas e documentadas Necessid. de capacitao dos profissionais de TI identificadas com base no PDTI e no planejamento estratgico da unidade Necessidades de capacitao dos usurios de TI identificadas e documentadas A rea de TI participa da identificao das necessidades de capacitao dos usurios Processos internos da rea de TI mapeados e documentados Responsveis pelos processos internos da rea de TI identificados rea de TI dividida internamente por rea de conhecimento

REG. 1

REG. 2

RIO 1

RIO 2

98

BOAS PRTICAS DE ALINHAMENTO ESTRATGICO E COMPLIANCE (cont.)

Atendimento ao usurio organizado em nveis de atendimento Responsveis pelas funes internas da rea de TI formalmente designados Existncia de um documento de PDTI da unidade publicado Princpios de TI includos no PDTI da unidade Necessidades de aplicaes includas no PDTI da unidade Arquitetura de TI includa no PDTI da unidade Infraestrutura de TI includa no PDTI da unidade Necessidades de hardware includas no PDTI da unidade Necessidades de software includas no PDTI da unidade Lista dos softwares suportados pela rea de TI includa no PDTI da unidade Lista do hardware suportado pela rea de TI includa no PDTI da unidade Metas quantitativas de desempenho da rea de TI includas no PDTI da unidade Histrico de utilizao dos recursos de hardware includo no PDTI da unidade Planejamento de capacidade de hardware includo no PDTI da unidade Histrico de utilizao dos recursos de software includo no PDTI da unidade Planejamento de capacidade de software includo no PDTI da unidade Planejamento de capacidade de recursos humanos includo no PDTI da unidade Estratgia de outsourcing includa no PDTI da unidade Competncias de TI includas no PDTI da unidade Competncias de TI que precisam ser desenvolvidas includas no PDTI da unidade Competncias de TI que precisam ser contratadas includas no PDTI da unidade Necessidades de capacitao dos profissionais de TI includas no PDTI da unidade Necessidades de capacitao dos usurios de TI includas no PDTI da unidade Processos da rea de TI includos no PDTI da unidade Identificao dos responsveis pelos processos internos da rea de TI includa no PDTI da unidade Identificao dos responsveis pelas funes internas da rea de TI includa no PDTI da unidade

REG. 1

REG. 2

RIO 1

RIO 2

99

BOAS PRTICAS DE ALINHAMENTO ESTRATGICO E COMPLIANCE (cont.)

Identificao dos responsveis pelas atividades desempenhadas pela rea de TI includa no PDTI da unidade Nveis de servio requeridos pela unidade includos no PDTI

REG. 1

REG. 2

RIO 1

RIO 2

Projetos de desenvolvimento de software priorizados includos no PDTI da unidade Projetos de infraestrutura priorizados includos no PDTI da unidade Quadro 5 Adoo de boas prticas de Governana de TI da dimenso Alinhamento Estratgico e Compliance. Legenda: Adotada No Adotada

As estruturas de tomada de decises apresentadas por Weill e Ross (2006), como comits de arquitetura e conselhos de TI, devem ser formadas por membros das reas de negcio e de TI. A existncia de comits para tomada de decises sobre TI est prevista tambm na biblioteca ITIL (OFFICE..., 2007d; 2007e) e no modelo COBIT (IT GOVERNANCE..., 2007). A Regional 1 a nica entre as quatro unidades estudadas que conta com um Comit Gestor de TI multidisciplinar, formalmente designado para tomar decises estratgicas relativas TI, como priorizao de projetos e questes relacionadas aprovao de normas e polticas. Nas outras unidades estudadas, parte das decises estratgicas de TI so tomadas pelos prprios profissionais de TI, o que pode acontecer aps consultas aos responsveis pelas outras reas ou Diretoria, embora a deciso final seja sempre da Diretoria, com base principalmente na disponibilidade de recursos. Isso enfraquece as decises relacionadas a priorizao de projetos e investimentos em TI nessas trs unidades, pois, embora os profissionais de TI conheam as necessidades dos usurios, suas decises tendem a ser mais tcnicas, sem considerar os planos das outras reas e o impacto que os investimentos em TI tem nos outros projetos e investimentos e no oramento da unidade. Segundo o coordenador de TI de uma unidade regional, o pessoal de TI no tem condies de julgar se um investimento em TI deve ou no ser realizado, ou se deve ser priorizado em detrimento de outro. E se julgar, esse julgamento tende a ser tcnico. Se as justificativas dos investimentos tendem a ser mais tcnicas do que estratgicas, h uma tendncia natural dos gestores em optar por investir seus recursos limitados naquilo que consideram estratgico para a unidade, pois veem pouco valor nos investimentos em TI. Alm disso, mesmo na unidade

100

que tem um Comit Gestor de TI, uma deciso superior pode ser tomada em sentido contrrio ao que foi decidido pelo Comit e por pessoas que no conhecem ou no compreendem o processo de tomada de decises sobre investimentos em TI da prpria unidade. Dois dos quatro entrevistados afirmaram indiretamente ou diretamente que os investimentos em TI no so considerados pela alta direo da unidade como investimentos que agregam valor estratgico s unidades (em um caso, o prprio coordenador de TI concorda com essa opinio). Para Weill e Ross (2006), um sintoma da Governana de TI ineficaz a alta gerncia no perceber o valor dos investimentos em TI. Apenas duas unidades tem seus requisitos de negcio para a rea de TI definidos e documentados e apenas uma delas tem esses requisitos definidos com base no planejamento estratgico da unidade. Para Fernandes e Abreu (2008), os requisitos de negcio para a rea de TI devem ser definidos com base na estratgia da organizao e, segundo Weill e Ross (2006), essa identificao pode ser feita por um grupo especfico, que seja responsvel por isso em tempo integral. Para o ITGI (2007), so esses requisitos de negcio que do a orientao estratgica para a adoo das boas prticas e padres de Governana de TI, e para o OGC (2007b), os requisitos de negcio para a TI orientam o desenvolvimento de mtricas para avaliao da rea de TI. A nica unidade que tem seus requisitos do negcio para a rea de TI definidos com base em suas necessidades estratgicas a Rio 2, e esses requisitos so utilizados para justificar os investimentos em TI realizados pelo Centro de Tecnologia da Informao e Comunicaes, segundo o coordenador de TI da unidade. A priorizao dos investimentos em TI em trs unidades feita pela rea de TI ou em conjunto pela Diretoria e pela rea de TI. Nesses casos, essas decises no passam por um CGTI da unidade ou por um grupo formalmente designado para esse fim. A nica unidade onde essas decises so tomadas por um CGTI prprio justamente a unidade que mais adota boas prticas de Governana de TI. Para Fernandes e Abreu (2008) e Weill e Ross (2006), as decises estratgicas sobre TI no podem ficar exclusivamente nas mos dos profissionais de TI e nem dos altos executivos sem contar com a participao da rea de TI. Como as unidades tem autonomia para elaborar seus planos estratgicos e executar seus oramentos, as demandas de TI dessas trs unidades so atendidas sem que seja avaliado seu alinhamento com o planejamento estratgico da unidade ou da FIOCRUZ, e o critrio para deciso fica sendo apenas tcnico ou financeiro. Segundo o coordenador de TI de uma unidade regional, uma deciso simples, como a que poderia definir o que deve ser includo no PDTI como

101

investimento em TI e o que no deve ser includo, no tomada porque os prprios membros da CGTI da FIOCRUZ no tem um entendimento nico, homogneo sobre o assunto. A orientao sobre isso mudou duas vezes esse ano. Comeamos a elaborar nosso PDTI pensando de uma maneira, fomos orientados a fazer de outra maneira e, agora no final do ano, fomos orientados a fazer da mesma forma que tnhamos pensado em fazer no comeo do ano., afirmou. Esse processo de deciso mostra que o mecanismo de tomada de decises da FIOCRUZ lento e contraditrio, tambm um sintoma de Governana de TI ineficaz (WEILL; ROSS, 2006). Nenhuma das quatro unidades adota modelos de melhores prticas de Governana de TI. Fernandes e Abreu (2008) afirmam que esses modelos auxiliam na implantao da Governana de TI e esto relacionados ao ciclo de Governana de TI. Embora o coordenador de TI da unidade Regional 1 tenha afirmado que nenhum modelo seguido integralmente, muitas das boas prticas presentes nesses modelos so adotadas e os servidores pblicos da rea de TI da unidade foram capacitados em alguns modelos, como Project Management Body of Knowledge (PMBOK) e ITIL, o que ajuda a explicar porque a unidade Regional 1 a que mais adota boas prticas de Governana de TI entre as quatro estudadas. Nas demais unidades, as boas prticas so utilizadas com base na experincia dos profissionais e no bom senso, com as limitaes que a estrutura de cada unidade traz. Com uma equipe pequena e com problemas de espao fsico, no d para pensar em Governana de TI, disse o coordenador de TI de uma unidade regional. Apesar de serem parte de uma mesma instituio, as unidades pesquisadas no adotam nem respeitam de maneira homognea os padres e normas do Governo Federal especficas para a rea de TI, que so requisitos de compliance apontados por Fernandes e Abreu (2008). Os quatro coordenadores afirmaram conhecer as Instrues Normativas do Governo Federal para contratao de TI, mas apenas trs afirmaram respeit-las na ntegra. Trs coordenadores de TI afirmaram que suas unidades no tem contratos de suporte nem de desenvolvimento, o que significa que a aplicao das Instrues Normativas limitada nessas unidades. Apesar disso, todos os coordenadores de TI admitiram ter funcionrios terceirizados. O que melhor explica a presena de profissionais de TI terceirizados sem que existam contratos de prestao de servios de TI a existncia de contratos gerais de terceirizao de servios, envolvendo mo-de-obra de diferentes reas, como servios gerais, apoio administrativo e TI. Dos trs coordenadores que disseram no ter contratos de TI, apenas um admitiu que conta com funcionrios terceirizados graas a um contrato desse tipo.

102

O coordenador da nica unidade que tem um contrato exclusivamente de servios de TI afirmou que esse contrato est em conformidade com a IN N 4/2010, prevendo, inclusive, acordo de nvel de servios com multa para descumprimento, um dos requisitos para contratos de TI estabelecidos desde 2008. Ainda sobre as normas e padres do Governo Federal, dois entrevistados fizeram crticas diretas ao que vem sendo imposto para as organizaes do Poder Executivo Federal. Segundo um deles, no possvel aplicar todo o processo previsto na IN N 4/2010 para a imensa maioria dos contratos ou aquisies. Se cada etapa for seguida risca, o pessoal de TI vai passar muito tempo avaliando solues gratuitas ou do Portal do Software Pblico, o que contraproducente quando a equipe pequena. Para ele, algumas exigncias atrapalham uma compra pequena para uma unidade com poucos recursos.

No d para comprar aqueles computadores especificados pela SLTI. D para conseguir se for uma compra grande, de um ministrio, de um tribunal, que compra 2000 ou 3000 equipamentos. Se for para comprar cinco ou dez computadores com aquela especificao, so muitas exigncias, at de certificao. Nenhuma empresa pequena vai se submeter a isso para vender poucos computadores e grandes fornecedores no esto interessados em vender dez unidades. Ento, o que ns temos feito aderir a atas de registro de preos. Muitas vezes so registros grandes, de grandes compras de mquinas boas, com preo excelente. A gente tinha uma srie de computadores montados. Fazamos a licitao e ganhava o menor preo, mas o equipamento atendia especificao e no era bom. Uma vez fizemos tcnica e preo para conseguir comprar uma coisa boa e no deu certo. Ento, com adeso a ata de registro de preos, a gente comeou a conseguir comprar bons equipamentos com preo bem vantajoso. [...] so compras que jamais conseguiramos fazer sem entrar em um processo enorme e desgastante, para comprar somente dez computadores. Os grandes fabricantes e fornecedores sempre participam das grandes licitaes, mas no entram nas pequenas como as nossas. (Coordenador de TI da unidade Regional 2).

Para ele, o Governo Federal, atravs do MPOG, poderia fazer registros de preos de grandes volumes de equipamentos, dentro das especificaes da SLTI, o que reduziria os preos unitrios dos equipamentos e permitiria que diversos rgos aderissem e adquirissem equipamentos bons sem passar por um processo licitatrio, que demorado, caro e muitas vezes no resulta em boas aquisies. O entrevistado de uma unidade regional afirmou que a IN N 4/2010 foi claramente elaborada pensando em contratos para desenvolvimento de sistemas, mas que a CGTI da FIOCRUZ no parece ter percebido isso, pois vem considerando diferentes investimentos feitos pela rea de TI como sendo aquisies de TI. Para ele, aplicar a IN em

103

licitaes e contratos de outros tipos um muito trabalhoso, pois precisa fazer uma srie de adaptaes. Ele aponta ainda como limitao da IN N 4/2010 a falta de uma definio clara do que deve ser considerado como uma soluo de TI, pois, por no haver essa definio clara na prpria IN nem uma orientao da FIOCRUZ sobre o assunto, os coordenadores de TI das unidades fazem suas licitaes conforme sua compreenso, o que pode levar a erros. A arquitetura e-PING e o modelo e-MAG so utilizados por apenas duas das unidades, embora parcialmente em ambos os casos. Corroborando com essa informao, em duas unidades os computadores so adquiridos j com aplicativos de escritrio proprietrios. Isso significa que, nessas duas unidades, a e-PING no seguida quanto aos formatos de arquivos de texto e planilhas. Todos os entrevistados disseram que um empecilho para a adoo da e-PING a dificuldade em adequar sistemas antigos, desenvolvidos por terceiros e que no foram adquiridos com repasse de tecnologia. Outra dificuldade apontada por dois entrevistados quanto aos formatos de documentos e planilhas impostos pela e-PING, que so diferentes daqueles que os usurios das unidades e os cidados tem em seus computadores particulares. Segundo um deles, para a e-PING dar certo preciso haver fiscalizao para obrigar todos os rgos a adot-la e um trabalho constante de treinamento dos servidores pblicos, o que ainda vai levar a problemas com fornecedores e outras organizaes fora do servio pblico que no so obrigados a adotar. No caso da FIOCRUZ, a adoo da e-PING traz dificuldades para trabalho colaborativo entre orientadores e estudantes, que no so obrigados a utilizar os programas compatveis com a arquitetura, e entre as unidades da prpria FIOCRUZ que adotam o padro e as que no adotam. Em suma, a adoo da e-PING por apenas algumas unidades leva a problemas de interoperabilidade na troca de informaes entre as prprias unidades da FIOCRUZ. A explicao para trs unidades no terem adotado integralmente o e-MAG est no fato de as equipes de desenvolvimento das unidades serem pequenas, segundo os entrevistados. O tamanho reduzido das equipes pode levar os profissionais de desenvolvimento a terem um foco maior em apresentar produtos acabados rapidamente.
O pessoal de desenvolvimento tem demandas para os prximos cinco anos e novas demandas no param de aparecer. Algumas vezes eles deixaram de fazer algumas coisas no momento certo apenas para colocar os sistemas em produo, porque a rea requisitante est pressionando, tem gente pressionando. A, em alguns casos, coisas que fogem um pouco das regras de negcio, como padres de acessibilidade e alguns detalhes de documentao, ficam para segundo plano. Por isso ns temos planos de terceirizar o desenvolvimento de sistemas no prximo ano. (Coordenador de TI da unidade Regional 1).

104

Quanto Poltica de Segurana da Informao e Comunicaes da FIOCRUZ, trs coordenadores de TI afirmaram respeit-la em suas unidades. Fernandes e Abreu (2008) dizem que a Poltica de Segurana da Informao est associada ao risco que a TI representa para a continuidade do negcio e enderea importantes requisitos de compliance. O coordenador de TI da unidade Rio 1 afirmou que as normas que complementam a Poltica ainda precisam ser elaboradas para que essa passe a valer de fato, em que concorda o nico coordenador de TI que declarou no respeitar totalmente a Poltica. Ele explicou que isso acontece porque as normas que regulamentam a Poltica ainda esto sendo elaboradas. Apesar de as normas estarem sendo elaboradas, ele critica o fato de isso ter sido feito para outras organizaes e ajustadas para parecerem feitas para a FIOCRUZ. Para dois coordenadores de TI, a Poltica foi elaborada com a participao do pessoal tcnico, mas sem a participao dos servidores das outras reas e os outros documentos que vem sendo elaborados esto seguindo o mesmo caminho. Alm disso, no houve participao de todas as unidades, principalmente das regionais, o que, para um dos coordenadores de TI, prejudica a aplicabilidade e a aceitao da Poltica. O coordenador de TI da unidade Regional 2 acha que o documento deixa ainda as unidades com liberdade de tomar medidas que podem ser diferentes das tomadas em outras a pretexto de respeitar as particularidades de cada uma. Na sua opinio, as particularidades devem ser respeitadas, mas deve haver uma homogeneidade em alguns aspectos, em que concorda o coordenador de TI da unidade Regional 1. Este ltimo afirma ainda que as unidades precisam organizar Subcomits de Segurana da Informao e elaborar suas prprias Polticas de Segurana da Informao, mais adequadas s suas respectivas realidades e que devem estar em conformidade com a Poltica da FIOCRUZ. Para o coordenador de TI de uma unidade, Boa parte dos gestores quer o mnimo de obrigaes e restries relacionadas a TI, pois a formalizao e a regulamentao dos processos de TI reduzem a possibilidade de os gestores das unidades influenciar nas decises ou mesmo tomar decises revelia da opinio tcnica dos profissionais de TI. Ele exemplifica afirmando que comum pesquisadores comprarem equipamentos com recursos de projetos de pesquisa sem que os profissionais de TI sejam consultados quanto especificao ou quanto compatibilidade com os sistemas da unidade e com a rede de computadores, e isso costuma trazer problemas relacionados integrao com o ambiente e prestao de suporte. Para todos os entrevistados, problemas como esses seriam minimizados se fossem estabelecidas normas vlidas para todas as unidades que obrigassem que todas as

105

aquisies de TI fossem avaliadas pelas reas de TI das unidades. Essas normas devem ser elaboradas em conformidade com uma Poltica de Segurana da Informao e com outras polticas e normas institucionais e externas (FERNANDES; ABREU, 2008). O PDTI da FIOCRUZ contem a declarao dos princpios de TI da organizao, definidos pela CGTI da FIOCRUZ, mas os coordenadores de TI demonstraram desconhecer esses princpios. Apenas uma unidade identificou seus prprios princpios de TI, que esto declarados em seu PDTI. Por serem regras gerais de alto nvel para subsidiar a tomada de decises sobre TI e para definir como a TI deve ser utilizada e qual deve ser a conduta da rea de TI, a identificao dos princpios de TI da unidade uma etapa importante para o alinhamento estratgico de TI. Mesmo assim, na nica unidade em que esses princpios foram identificados e documentados, isso no foi feito com base no planejamento estratgico nem nos requisitos do negcio para a rea de TI. Fernandes e Abreu (2008) afirmam que os princpios de TI devem ser considerados no alinhamento estratgico entre TI e negcio, servindo para definir a arquitetura de TI e a infraestrutura de TI, entre outros componentes. Para Weill e Ross (2006), os princpios de TI so uma das cinco macro decises que precisam ser tomadas e os altos executivos devem permitir que esses princpios sejam estabelecidos de forma que estejam alinhados estratgia da organizao. Os sistemas e aplicaes necessrios para alcanar os objetivos estratgicos esto identificados nas quatro unidades pesquisadas. Fernandes e Abreu (2008) afirmam que as organizaes precisam definir as aplicaes de TI que so necessrias para atender estratgia e continuidade do negcio. Weill e Ross (2006) afirmam que as necessidades de aplicaes para o negcio dizem respeito a aplicaes que tem potencial para implementar estratgias organizacionais que dependem da TI. Em uma unidade regional e em uma do Rio de Janeiro, esses sistemas foram identificados com base nos requisitos de negcio para a rea de TI. Nas outras duas unidades, a identificao foi feita com base apenas nas demandas dos usurios que so conhecidas pela rea de TI, que no necessariamente representam necessidades estratgicas para as unidades. Apesar disso, uma das unidades onde os requisitos de negcio foram usados para identificar os sistemas e aplicaes necessrios no tem esses requisitos documentados, contradizendo a afirmao do seu coordenador de TI. Nas unidades regionais, a identificao de necessidades de aplicaes restrita aos sistemas de uso geral. Aplicaes especficas so normalmente adquiridas pelos laboratrios com recursos de projeto e instaladas sob demanda, e o suporte da rea de TI para essas aplicaes se resume instalao no computador utilizado pelo usurio. O fato de a identificao das necessidades de

106

sistemas e aplicaes no ser feita com base nos objetivos estratgicos pode levar a aquisies desnecessrias, o que agravado pelo fato de em todas as unidades haver aquisies feitas com recursos de projetos, muitas vezes sem que a rea de TI seja consultada. Isso pode resultar em sistemas fora dos padres adotados na unidade ou incompatveis com a infraestrutura existente. Para o coordenador de TI de uma unidade regional, isso pode ser evitado se regras forem estabelecidas e cumpridas pelos pesquisadores. A gente tem um padro, uma arquitetura adotada, e no d para ficar a reboque das idias de cada pesquisador que tem aqui. Isso invivel., afirmou. A arquitetura de TI direciona a infraestrutura de TI e as aplicaes que podem ser adquiridas e implementadas e, por isso, sua definio crucial para a gesto e a utilizao eficaz da TI na organizao (WEILL; ROSS, 2006). Para o ITGI (2007), o processo de definio de uma arquitetura de informao tem entre suas sadas um esquema de classificao de dados e um dicionrio de dados. Segundo Fernandes e Abreu (2008), a arquitetura de TI derivada dos princpios de TI e tem seu foco na padronizao de processos e dados, no compartilhamento da infraestrutura de dados e aplicaes, na implantao de aplicaes e na integrao entre aplicaes novas e antigas e na reutilizao de componentes, permitindo uma viso de como novas aplicaes sero incorporadas ao ambiente existente. Em apenas uma unidade, no esto documentados padres de dados e rotinas de sistemas desenvolvidos pela prpria equipe de TI, e isso ocorre na unidade que tem a equipe de desenvolvimento composta por apenas duas pessoas. Apesar de pequena, a documentao dos padres de dados e rotinas de sistemas facilita a manuteno e integrao com outros sistemas, e essa uma boa prtica que deve ser adotada principalmente onde h profissionais terceirizados, cujo vnculo temporrio. Em duas unidades, todos os sistemas utilizados pelos usurios esto documentados. Nessas mesmas unidades, h um procedimento documentado de reutilizao de cdigos ou componentes em projetos de desenvolvimento de sistemas. Em uma dessas unidades, a maioria dos sistemas foi desenvolvida internamente, o que facilita a documentao e a reutilizao de cdigos. Na unidade Regional 1, todos os sistemas que so desenvolvidos internamente so integrados sua Intranet e isso facilita tanto a reutilizao de cdigos quanto a integrao com outros sistemas. Nas duas unidades onde essas boas prticas no so adotadas, h apenas uma ou duas pessoas trabalhando com desenvolvimento, o que explica em parte a no adoo dessas boas prticas. Mas no documentar seus sistemas dificulta atividades de suporte e recuperao de desastres, que so atividades tpicas de

107

profissionais de infraestrutura, e no ter processos de reutilizao de cdigos contraproducente mesmo quando se tem apenas uma pessoa trabalhando com

desenvolvimento. Para o coordenador de TI de uma unidade do Rio de Janeiro, esses processos de documentao e reutilizao de cdigos se enquadrariam mais em um lugar que tivesse como finalidade o desenvolvimento de sistemas, como a Dataprev ou o Serpro. Ele entende que os sistemas que forem desenvolvidos internamente na unidade so para atender a necessidades especficas, que o mercado no tem condies de atender. J o coordenador de TI de uma das unidades regionais entende que a documentao importante, principalmente quando se tem profissionais com vnculo precrio trabalhando com desenvolvimento, e comprar sistemas prontos pode resultar em falta de integrao com os sistemas existentes, dificuldades para alterar o cdigo para ajustar s necessidades especficas da unidade e dependncia do fornecedor. As unidades pesquisadas adotaram um processo de integrao e compartilhamento de dados entre sistemas. Antes de um sistema ser desenvolvido ou adquirido, feita uma anlise das possibilidades de integrao e compartilhamento de dados. Isso reduz a possibilidade de problemas de integrao entre os sistemas. O compartilhamento de infraestrutura entre sistemas e aplicaes tambm analisado em todas as unidades. Na unidade Regional 1, raramente um novo hardware adquirido para hospedar um novo sistema, e a deciso por comprar ou no sempre tomada aps uma anlise para verificar a necessidade. A unidade iniciou um processo de consolidao de servidores de rede atravs de virtualizao em 2007 e hoje poucos servidores fsicos hospedam diversos servidores virtuais que executam diferentes servios. Com essa arquitetura de TI, dificilmente uma aplicao comum exigir a aquisio de um servidor exclusivo, afirma o coordenador de TI. Na Regional 2 tambm feita uma anlise da possibilidade de compartilhamento de infraestrutura para otimizar a utilizao de recursos sempre que um sistema novo vai ser adquirido ou desenvolvido. raro adquirir um hardware para um servio novo. Isso s feito se os requisitos do servio forem muito altos e incompatveis com nosso ambiente. Para evitar esse tipo de problema, a unidade pretende adotar a virtualizao para consolidar servidores com servios distintos e incompatveis. Na unidade Rio 1, isso uma necessidade trazida pelo tamanho da equipe de desenvolvimento, que precisa fazer essa anlise para evitar retrabalho. Todo o desenvolvimento interno realizado na unidade Rio 2 feito utilizando plataforma livre e aberta, e normalmente para sistema operacional livre ou plataforma web. A gente procura, antes do desenvolvimento, j

108

estar ligado a esses detalhes, afirma o coordenador de TI da unidade Rio 2. Ele complementa dizendo:
Quando temos que integrar com um sistema externo, desenvolvido por outra empresa, que no temos acesso ao cdigo, a gente tenta trabalhar com a empresa uma forma de exportar os dados de um lado para o outro, via XML ou outra forma para que a gente consiga importar e exportar os dados. Quando um software fechado, que a gente no tem mais contrato, a gente no vai investir no software nem desenvolver um novo. A gente procura a empresa que desenvolveu para ver se d para exportar ou importar os dados.

A avaliao da infraestrutura de TI permite verificar se ela est alinhada aos objetivos estratgicos e com os requisitos do negcio (FERNANDES; ABREU, 2008). Para Weill e Ross (2006), o conhecimento sobre a infraestrutura de TI atual e a capacidade de saber nos momentos certos qual a infraestrutura de TI necessria permite que as iniciativas relacionadas a TI que esto planejadas sejam implementadas sem que os investimentos para isso sejam excessivos. Os servios de infraestrutura de TI necessrios para atender s necessidades das unidades esto identificados em apenas uma delas e isso demonstra desconhecimento da rea de TI sobre os servios disponibilizados para os usurios. J as necessidades de hardware e software esto identificadas nas quatro unidades, e as quatro utilizam um Banco de Dados de Gerenciamento de Configurao. Isso mostra que todas tem algum controle sobre os recursos utilizados pelos usurios e que as necessidades de novos recursos so conhecidas, facilitando decises sobre investimentos e priorizao de projetos. Esses bancos de dados so atualizados automaticamente em duas unidades, embora no incluam todos os equipamentos de TI nem contenham todas as informaes sobre eles. Em duas unidades, esses bancos de dados so mantidos em planilhas eletrnicas alimentadas manualmente pelo pessoal de TI. Apenas dois entrevistados afirmaram que as reas de TI em suas unidades controlam os softwares instalados nos computadores em um catlogo de software, embora todos os quatro tenham afirmado que fazem controle de licenas de software. Em todas as unidades, as compras de computadores so feitas j com sistema operacional, e em duas delas so comprados tambm com pacotes de aplicaes de escritrio proprietrios. Como os usurios no tem permisso de instalar ou remover programas nos computadores de todas as unidades, o controle sobre os softwares facilitado, mas o fato de adquirir computadores j com pacotes de aplicaes de escritrios tem como resultado o desrespeito arquitetura ePING e, consequentemente, problemas de interoperabilidade para troca de arquivos com

109

unidades que adotaram o formado previsto na arquitetura adotada pelo Governo Federal. Nas unidades onde h algum controle dos softwares adquiridos pelos laboratrios utilizando recursos de pesquisa, esse controle somente acontece se as instalaes forem feitas em computadores gerenciados pela rea de TI, que exigem que as instalaes sejam feitas pelos profissionais de TI. O suporte aos computadores adquiridos com recursos de projetos cuja especificao no feita pelo pessoal de TI e que no so sequer informados rea de TI tem sido tema de discusses em uma das unidades regionais. Segundo o coordenador de TI dessa unidade, os profissionais de TI tomam conhecimento apenas quando os equipamentos apresentam problemas, obrigando os usurios a procurarem suporte. Para ele, complicado prestar suporte a equipamentos e softwares que no foram especificados pelos profissionais de TI da unidade e deveria haver uma norma geral para toda a FIOCRUZ que obrigasse todas as aquisies a passar pelo pessoal de TI, tanto para especificao quando para preparao para acessar o ambiente, desobrigando a rea de TI de prestar suporte aos produtos que no foram adquiridos dentro do padro de compatibilidade ou que no tenham sido especificados pelos seus profissionais. Alm do coordenador de TI da Regional 1, dois outros entrevistados afirmaram ter problemas com especificaes de equipamentos adquiridos com recursos de projetos de pesquisa, o que demonstra que esse no um problema isolado. Os objetivos de desempenho e os nveis de servio direcionam o planejamento de capacidade de infraestrutura de sistemas, equipamentos e de recursos humanos, servindo tambm como base para o monitoramento do desempenho de TI (FERNANDES; ABREU, 2008). Para o ITGI (2007), as medies de desempenho indicam se as metas dos processos de TI foram atingidas com base em indicadores de desempenho, e essas metas so definidas como resultados de melhorias nos processos de TI, efetuadas com base nos objetivos organizacionais. Somente as duas unidades do Rio de Janeiro tem metas quantitativas de desempenho estabelecidas para avaliao de suas atividades e servios. Durante a pesquisa, as quatro unidades estudadas estavam em pleno processo de identificao de seus objetivos de desempenho, etapa necessria para realizao da avaliao de desempenho institucional. No processo de avaliao de desempenho da FIOCRUZ, esses objetivos de desempenho servem como base para identificar as metas individuais de cada servidor para avaliao de desempenho individual, mas no so utilizadas para estabelecer acordos de nvel de servio entre a rea de TI e a unidade. Apesar de apenas as unidades do Rio de Janeiro terem metas quantitativas de desempenho estabelecidas, apenas as duas unidades regionais utilizam acordos de nvel de servio para fins de avaliao de servios prestados: a Regional 1 utiliza

110

acordo de nvel de servio para avaliar seu contrato de prestao de servios de suporte, e a Regional 2 tem um acordo de nvel de servio estabelecido com sua Vice-Diretoria. O processo de avaliao de desempenho institucional no considera o acordo de nvel de servio como meio de avaliao dos servios prestados pela rea de TI, e isso um indcio de que a estratgia utilizada pela rea de recursos humanos para mudar o processo de avaliao de desempenho no envolveu pessoas da rea de TI com conhecimento sobre acordo de nvel de servio ou Governana de TI. Para o OGC (2007c), o acordo de nvel de servio o instrumento que descreve o servio prestado, documenta os objetivos de nvel de servio e as responsabilidades tanto de quem presta os servios quanto dos usurios de TI, sendo uma ferramenta importante para avaliao dos servios prestados. Para Fernandes e Abreu (2008), acordos de nvel de servio servem no s para avaliar a rea de TI com base em metas objetivas, mas tambm como meio para avaliao da infraestrutura de TI em termos de aderncia s necessidades da organizao. Segundo os entrevistados, o planejamento de capacidade de infraestrutura de hardware uma boa prtica adotada pelas quatro unidades, e todas elas fazem esse planejamento com base em objetivos de desempenho ou nveis de servio acordados pela rea de TI e considerando medidas de desempenho dos equipamentos e o crescimento vegetativo da utilizao dos recursos de TI, como proposto por Fernandes e Abreu (2008). Isso permite que o planejamento de capacidade seja feito utilizando tanto objetivos e parmetros de qualidade de servio quanto uma srie histrica de medidas de desempenho dos equipamentos para orientar os investimentos e aquisies para atualizao tecnolgica de TI. Essa boa prtica adotada por todas as unidades para seu hardware no replicada para software: apenas uma unidade regional faz planejamento de capacidade de sistemas e aplicaes, e esse planejamento feito nessa unidade utilizando o acordo de nvel de servio estabelecido e o crescimento vegetativo da utilizao de recursos de TI. O planejamento de capacidade de recursos humanos feito por duas unidades, uma regional e uma do Rio de Janeiro. Essas unidades utilizam os projetos que esto em execuo pela rea de TI e projetos que esto previstos para serem executados, o que permite justificar as necessidades de contratao e capacitao de recursos humanos a curto e mdio prazo, tanto atravs de concursos pblicos quanto por terceirizao. Fernandes e Abreu (2008) propem que o planejamento de capacidade de recursos humanos considere tambm objetivos de desempenho e os nveis de servio acordados.

111

Uma das unidades que fazem planejamento de capacidade de recursos humanos tambm a nica que definiu e documentou sua estratgia de outsourcing, elaborada utilizando as informaes de planejamento de capacidade de recursos humanos, como proposto por Fernandes e Abreu (2008). Apesar de apenas uma unidade estar com uma estratgia de outsourcing definida e documentada, trs esto elaborando projetos bsicos para contratar servios TI. A estratgia de outsourcing permite estabelecer os planos de ao para contratao e substituio de fornecedores e prestadores de servios de TI e a extenso da terceirizao tambm vai influenciar nas competncias que precisam ser desenvolvidas ou contratadas, na organizao interna da TI e na sua estrutura (FERNANDES; ABREU, 2008). A unidade Rio 2 resolve suas necessidades de recursos humanos de maneira um pouco diferente das demais. Enquanto a Regional 1 terceiriza apenas servios e as unidades Rio 1 e Regional 2 terceirizam mo-de-obra, a unidade Rio 2 a nica que tem tambm bolsistas trabalhando na rea de TI. Segundo o coordenador de TI da unidade, bolsistas so contratados para trabalhar em projetos para atender a uma demanda muito grande, e as necessidades de perfis especficos so supridas atravs de profissionais terceirizados contratados para ocupar postos especficos. Apesar dessa facilidade de suprir a necessidade de mo-de-obra, o coordenador de TI da unidade Rio 2 reclama que a demanda vem crescendo muito mais rapidamente do que a capacidade de contratar profissionais. Muitas vezes os projetos nos do equipamentos, mas o gargalo no equipamento. [...] O maior problema falta de pessoal para desenvolver, executar os projetos e manter a infraestrutura. A gente sempre tenta aumentar o nmero de pessoas, planeja, mas nem sempre a poltica contratar. A composio do quadro com pessoal terceirizado sem uma estratgia de outsourcing definida, fato observado em trs das quatro unidades pesquisadas, evidencia que a terceirizao encarada como uma forma de resolver rapidamente uma deficincia da rea de TI, o que um sintoma de Governana de TI ineficaz, segundo Weill e Ross (2006). Para Fernandes e Abreu (2008), um Plano de Continuidade do Negcio e um Plano de Continuidade dos Servios de TI precisam ser elaborados. O ITGI (2007) diz que a organizao precisa estabelecer um modelo de continuidade de TI para suportar um o gerenciamento da continuidade do negcio e o OGC (2007c) diz que um Plano de Continuidade dos Servios de TI precisa ser elaborado alinhado a um Plano de Continuidade do Negcio para permitir que as informaes necessrias para os sistemas e servios continuem funcionando ou retornem ao funcionamento em um perodo de tempo aceitvel para a organizao aps um incidente grave. Nenhuma das quatro unidades tem um Plano de

112

Continuidade do Negcio ou um Plano de Continuidade dos Servios de TI. As aes relacionadas a continuidade se resumem execuo de rotinas de backup, existncia de redundncia de equipamentos e peas, utilizao de fontes de alimentao eltrica redundantes e utilizao de no-breaks. Em trs unidades, as cpias de segurana so guardadas em locais diferentes daqueles onde os dados originais esto armazenados. A existncia desses Planos de Continuidade est associada a uma Poltica de Segurana da Informao que, por sua vez, est associada ao risco que a TI representa para a continuidade do negcio (FERNANDES; ABREU, 2008). E essa Poltica de Segurana da informao precisa ser produzida, mantida e reforada de maneira que cubra o uso esperado e o abuso da utilizao dos sistemas e servios de TI (OFFICE..., 2007c). Apenas uma unidade do Rio de Janeiro tem uma Poltica de Segurana da Informao. O documento foi elaborado por um grupo formalmente designado para esse fim e aprovado pelo Diretor da unidade (antes mesmo da Poltica da FIOCRUZ ter sido elaborada) e o grupo que o elaborou responsvel pela sua manuteno e atualizao. Uma das regionais tem uma Poltica de Segurana da Informao j elaborada, mas que aguarda aprovao da Diretoria. Outra regional tem elaborada e publicada uma norma que trata apenas de utilizao de seu sistema de correio eletrnico, e duas outras normas relativas a utilizao de recursos de TI, que foram elaboradas mas ainda no foram apreciadas pela Diretoria ou pelo Conselho Deliberativo (os trs documentos foram elaborados sem que houvesse uma Poltica de Segurana da Informao prpria ou da FIOCRUZ para servir de orientao). Segundo o coordenador de TI dessa regional, os documentos foram elaborados em 2008 para suprir uma necessidade de normatizao na rea de TI, mas o grupo que trabalhou na elaborao dessas normas no foi autorizado a elaborar uma Poltica de Segurana da Informao sob a justificativa de que uma poltica geral da FIOCRUZ seria publicada fato que se concretizaria apenas trs anos depois. Embora a FIOCRUZ j tenha sua Poltica de Segurana da Informao e Comunicaes, o documento no reflete as necessidades e particularidades das unidades, segundo um dos entrevistados. Para ele, essas necessidades e particularidades devem ser tratadas por Subcomits de Segurana da Informao criados em cada unidade para elaborar as respectivas Polticas de Segurana da Informao e demais normas necessrias. As decises sobre princpios de TI, infraestrutura, arquitetura, necessidades de aplicaes, priorizao e investimentos em TI, organizao interna da TI e terceirizao, entre outras decises estratgicas de TI, influenciam nas competncias que a rea de TI precisa desenvolver ou contratar, e essas competncias necessrias para o desenvolvimento e

113

implantao das iniciativas de TI precisam ser conhecidas para estar presentes na estrutura organizacional e nos processos de TI (IT GOVERNANCE..., 2007; FERNANDES; ABREU, 2008). As competncias dos profissionais de TI esto documentadas em apenas duas unidades do Rio de Janeiro, mas as competncias que as unidades precisam adquirir via terceirizao e desenvolver atravs de capacitao esto identificadas e documentadas em trs unidades, sendo duas do Rio de Janeiro e uma regional, embora a capacitao e a contratao tenham como pr-requisito o conhecimento das competncias do quadro atual de profissionais. Para dois coordenadores de TI, essas competncias so conhecidas tacitamente e, pelo tamanho das respectivas equipes de TI, no h necessidade de document-las. As necessidades de capacitao do pessoal de TI de duas unidades uma do Rio de Janeiro e uma regional foram identificadas com base nos respectivos PDTIs e em documentos de planejamento estratgico, fortalecendo e justificando os investimentos em capacitao nessas duas unidades. De acordo com Fernandes e Abreu (2008), preciso elaborar programas de capacitao dos usurios de TI da organizao, o que observado por Weill e Ross (2006) como responsabilidade da rea de TI. Os usurios devem ser treinados em tecnologias e sistemas especficos da organizao e em como utilizar TI e investir nela de maneira que traga valor para a organizao (WEILL; ROSS, 2006). Para o OGC (2007c), ao adotar uma soluo de TI, a organizao deve considerar o impacto dessa soluo em termos de treinamento e competncias necessrias para implantar, operar e aperfeioar essa soluo. Apesar de todas as unidades terem identificadas suas necessidades de hardware e software, que indicam o que deve ser adquirido ou desenvolvido, as necessidades de capacitao dos usurios de TI para utilizao desses recursos no so identificadas em trs unidades. A unidade Rio 2, nica que tem essas necessidades identificadas, tem um processo interno que informa ao servio de recursos humanos sempre que identificada uma necessidade de capacitao. Embora apenas essa unidade tenha necessidades de capacitao dos usurios identificadas, coordenadores de TI de outras duas unidades afirmaram que os setores de TI participam de alguma forma da identificao dessas necessidades de capacitao. Fernandes e Abreu (2008) dizem que os processos de TI precisam ser documentados, com uma indicao do que deve ser mantido com pessoal da organizao e o que pode ficar sob responsabilidade de empresas contratadas para prestao de servios. Para eles, o mapeamento dos processos permite identificar se as necessidades de aplicaes, arquitetura e infraestrutura, entre outras, esto sendo atendidas pelos processos internos de TI, bem como se h necessidade de desenvolver ou contratar habilidades e competncias para

114

melhorias ou funcionamento desses processos. Das quatro unidades pesquisadas, uma regional e uma do Rio de Janeiro tem seus processos internos da rea de TI mapeados. A unidade Rio 2 teve seus processos de TI mapeados quando, com o auxlio de uma consultoria externa, sua Poltica de Segurana da Informao foi elaborada. J o mapeamento dos processos de TI da unidade Regional 2 faz parte de um projeto de mapeamento de processos de toda as reas da unidade. Em ambos os casos, os responsveis pelos processos internos da rea de TI foram identificados. Segundo o coordenador de TI de uma unidade regional, os responsveis pelos processos do seu setor tambm esto identificados, embora no tenha sido feito um mapeamento dos seus processos. Para ele, os processos so simples e conhecidos tacitamente e, por isso, no v necessidade de estarem formalizados em um documento. O mapeamento dos processos de TI est previsto no livro Service Design da biblioteca ITIL (OFFICE..., 2007c) e permite identificar pontos onde podem ser feitas melhorias e redesenhar os processos j com as melhorias. A segregao de funes dentro da rea de TI uma boa prtica sugerida por Fernandes e Abreu (2008) e permite a diviso racional do trabalho com base no conhecimento e nas habilidades dos profissionais. A separao das funes internas da rea de TI em divises permite tambm definir responsabilidades sobre cada uma das funes (WEILL; ROSS, 2006). Nas quatro unidades, a rea de TI dividida internamente em subreas ou funes internas, que representam diferentes reas de conhecimento ou tipos de atividades dentro da TI. As unidades Regional 1, Rio 1 e Rio 2 tem divises mais complexas, com trs ou quatro subdivises internas, enquanto a unidade Regional 2 tem uma organizao interna mais simples, com apenas uma subrea especfica para desenvolvimento e outra para infraestrutura. De todas as unidades, a Rio 1 a nica que tem uma subrea interna de TI voltada exclusivamente para segurana da informao, embora no esteja ainda operacional porque o servidor pblico com esse perfil, aprovado no ltimo concurso pblico da FIOCRUZ, ainda no foi nomeado. Os responsveis pelas funes internas das reas de TI das quatro unidades esto formalmente identificados. Em todas elas, a designao foi feita pelo prprio coordenador de TI, e no implica em qualquer tipo de compensao financeira, o que, a depender da unidade, se aplica inclusive para o coordenador de TI, pois, em uma das unidades regionais, o responsvel pela TI no recebia sequer o valor correspondente a uma funo gratificada at o final de 2010, apesar da responsabilidade. Com o crescimento do parque computacional das unidades, da dependncia delas com relao rea de TI e, consequentemente, com o

115

crescimento da prpria rea de TI, h uma tendncia em transformar as funes internas em sees, com responsveis recebendo uma compensao financeira adequada com a responsabilidade, e fazer do setor de TI um servio, com seu responsvel tambm recebendo uma compensao financeira adequada e compatvel com a realidade de cada unidade. Das quatro unidades pesquisadas, trs tem seus responsveis ocupando um cargo de direo e assessoramento superior (DAS), e uma regional tem seu responsvel ocupando uma funo gratificada (FG). O OGC (2007e) apresenta como boa prtica a diviso da rea de atendimento em nveis de suporte, que permite que os incidentes sejam escalados para nveis de suporte mais apropriados a sua complexidade ou ao tempo necessrio para resolv-lo. Dessa forma, tcnicos de atendimento de primeiro nvel resolvem rapidamente por telefone ou acesso remoto as demandas e incidentes mais simples, deixando as demandas e incidentes mais complexos para serem atendidos presencialmente, por tcnicos de atendimento de segundo nvel, que, teoricamente, tem mais conhecimento e recebem uma remunerao maior. Apenas a unidade Regional 1 tem seu atendimento ao usurio organizado em nveis de suporte. Segundo o coordenador de TI desta unidade, essa forma de atendimento fez com que em torno de 40% dos incidentes sejam resolvidos em at 30 minutos pelos tcnicos de primeiro nvel. Assim, solicitaes simples, como chamados para instalao de aplicativos ou de configurao de impressoras, no precisam ficar aguardando a concluso de um atendimento mais complexo ou demorado, como de remoo de vrus ou de formatao e reinstalao de sistema operacional. Na unidade Rio 1, a organizao do atendimento no feita em nveis porque, segundo o coordenador de TI, a unidade no tem um prdio que sirva de sede. Como os setores e laboratrios esto espalhados em diversos prdios, os atendimentos de um determinado prdio so realizados por apenas um tcnico, evitando a perda de tempo com o deslocamento de tcnicos pelo campus. Embora tenha sido esse o argumento para no adotar atendimento por nveis de suporte, a forma de atendimento adotada pela unidade Rio 1 no inviabiliza a outra, pois o atendimento de baixa complexidade poderia ser realizado por tcnicos de primeiro nvel remotamente, e os tcnicos responsveis pelos atendimentos presenciais, de maior complexidade, poderiam continuar sendo realizados da mesma forma. Embora duas unidades tenham um PDTI prprio publicado, o PDTI de apenas uma delas inclui os princpios de TI, as necessidades de aplicaes identificadas, a infraestrutura de TI existente, a lista dos softwares e o padro adotado de hardware suportado pela rea de TI, o planejamento da capacidade de recursos humanos, a estratgia de

116

outsourcing de TI, as competncias dos profissionais de TI, as necessidades de capacitao dos profissionais de TI, a identificao dos responsveis por cada subrea dentro da rea de TI, os projetos de desenvolvimento de software e de infraestrutura previstos junto com suas respectivas prioridades. Nenhum dos dois PDTIs inclui metas quantitativas de desempenho da rea de TI, os histricos de utilizao dos recursos de hardware e software, os planejamentos de capacidade de hardware e software, as competncias que precisam ser desenvolvidas, as competncias que precisam ser contratadas, as necessidades de capacitao dos usurios, a documentao dos processos da rea de TI e de seus respectivos responsveis, a identificao dos responsveis pelas atividades desempenhadas pela rea de TI e os nveis de servio acordados entre a rea de TI e a unidade. Para Fernandes e Abreu (2008), todos esses itens devem compor um Plano de TI, que deve representar o resultado do planejamento estratgico de TI. O ITGI (2007) diz que o plano estratgico de TI deve melhorar o entendimento das partes interessadas sobre as oportunidades e limitaes da TI, alm de avaliar o desempenho e deixar claro qual o investimento necessrio. Boa parte dessas informaes no est includa nos PDTIs de uma ou das duas unidades porque sequer foram identificadas ou definidas, o que mostra deficincias no planejamento estratgico de TI dessas unidades em comparao com o proposto no ciclo de Governana de TI. Apesar das ausncias, os PDTIs de ambas as unidades incluem as necessidades de hardware e software identificadas pela rea de TI. Apenas as unidades Regional 1 e Rio 2 tem seus respectivos PDTIs publicados. Segundo um dos entrevistados, isso ocorre porque as pessoas que trabalham na CGTI da FIOCRUZ no entendem que as unidades precisam fazer planejamento estratgico de TI. Para ele, criaram a CGTI mais para cumprir uma obrigao criada pelo Ministrio do Planejamento do que para planejar os investimentos em TI. De fato, os coordenadores das duas unidades que no elaboraram um PDTI prprio afirmaram que, ao consultar a CGTI da FIOCRUZ, foram informados que no seria necessrio elaborar o documento. Outro reflexo dessa orientao central da FIOCRUZ o fato de trs das quatro unidades no contarem com uma estrutura formal de tomada de decises relativas TI. O PDTI, segundo Fernandes e Abreu (2008), o principal produto do alinhamento estratgico entre a TI e o negcio. Para o ITGI (2007), o PDTI necessrio para gerenciar os recursos de TI em alinhamento com as prioridades e estratgias do negcio. Como cada unidade faz seu planejamento estratgico e executa seu oramento de maneira independente, isso deve ocorrer tambm nos investimentos em TI. Para que os investimentos em TI estejam alinhados aos planos estratgicos de cada unidade, elas devem fazer um planejamento estratgico especfico para a rea de TI.

117

Fernandes e Abreu (2008) apresentam o processo que leva Governana de TI eficaz como um ciclo, com revises e melhorias contnuas, que os autores chamam de alinhamento estratgico dinmico, em que mudanas na organizao levam mudanas no planejamento estratgico de TI. Nas unidades que elaboraram e publicaram um PDTI, o documento vem sendo aprimorado constantemente. A primeira verso do PDTI da unidade Regional 1 teve itens, necessidades e deficincias que foram includos ou corrigidos na segunda verso. J a primeira verso do PDTI da unidade Rio 1 foi elaborado no como uma formalizao do planejamento estratgico de TI, mas como uma obrigao que precisava ser cumprida para autorizar a unidade a realizar contrataes e aquisies, viso que j mudou durante a elaborao do seu segundo PDTI.
Esse o segundo PDTI que a gente elaborou e est melhor que o anterior. A cada novo documento ou a cada reviso, a gente aprende mais e o PDTI melhora. Quando esse for revisado, vai estar melhor do que agora. Isso era uma coisa que no era feita na FIOCRUZ. A gente no tem cultura de fazer isso. No sei se alguma outra unidade faz como a gente, mas acho que assim que tem que ser feito. No planejar nada e incluir as compras que pretende fazer em um documento chamado PDTI da FIOCRUZ no fazer planejamento estratgico de TI. Mas acredito que isso vai mudar com o tempo. Aqui as pessoas j esto se acostumando a planejar os investimentos em TI. (Coordenador de TI da unidade Regional 1).

Embora a unidade Rio 1 tenha um PDTI publicado, para o coordenador de TI da unidade, o planejamento estratgico de TI est mais relacionado ao desenvolvimento de sistemas, que onde ocorrem inovaes em TI que podem resultar em melhorias nos processos de trabalho da organizao. Como conta com apenas uma pessoa trabalhando com desenvolvimento, que est dedicada manuteno da Intranet da unidade, isso inviabiliza o planejamento estratgico de TI, na opinio do entrevistado.
Planejamento acontece principalmente em desenvolvimento. Desenvolvimento a rea que realmente pode dar um resultado palpvel para a instituio. Redes uma rea que tem que manter a rede funcionando, tem que melhorar alguma coisa da infraestrutura somente quando necessrio, muito em funo do que est sendo desenvolvido. E atendimento tem apenas que manter o que existe funcionando, atender mesmo. Mas o desenvolvimento que traz melhorias para a instituio, que o que pode ter algum planejamento. Como s temos uma pessoa para desenvolvimento, no d para fazer planejamento. (Coordenador de TI da unidade Rio 1).

Como o PDTI um documento de formalizao dos planos e projetos da rea de TI para um dado perodo, ele deve orientar todas as aquisies e aes da rea de TI (FERNANDES; ABREU, 2008), e como as unidades so autnomas na execuo

118

oramentria e na administrao de seus processos internos, fundamental que as aes de TI sejam planejadas pelas unidades e componham seus prprios PDTIs. Embora tenham essa autonomia, as unidades fazem parte da FIOCRUZ e, por isso, os PDTIs de todas elas devem compor o PDTI geral da FIOCRUZ, que deve permitir identificar todas as aes o que esto planejadas para a TI da FIOCRUZ, incluindo todas as despesas de capital e correntes, sustenta o coordenador de TI da unidade Regional 1. Mas, para ele, o PDTI da FIOCRUZ deve ser tambm um documento de formalizao das aes e projetos transversais que alcanam todas as unidades, planejados pela CGTI da instituio. Essas aes e projetos transversais podem servir tambm para promover a integrao e o compartilhamento de sistemas e solues desenvolvidos nas unidades. O fato de apenas a unidade Regional 1 ter adotado boas prticas da dimenso Alinhamento Estratgico e Compliance, alcanando um total de 48 boas prticas das 82 possveis (58,5% do total), significa que a FIOCRUZ tem uma deficincia em promover a Governana de TI em suas unidades, apesar de algumas medidas terem sido tomadas. Outro indcio dessa deficincia so os fatos de apenas 14 boas prticas (17,0%) serem adotadas por todas as unidades e 17 boas prticas (20,7%) no serem adotadas por nenhuma das quatro unidades, embora 65 boas prticas (79,2%) desta dimenso sejam adotadas alguma das unidades estudadas. Como o alinhamento estratgico define como ser feito o planejamento estratgico de TI na organizao, uma deficincia nesta etapa do ciclo proposto por Fernandes e Abreu (2008) tem reflexos em todas as outras dimenses do modelo de anlise. Por ser a unidade Regional 1 a que mais adota boas prticas da dimenso Alinhamento Estratgico e Compliance, os resultados da pesquisa contrariam o Pressuposto 2, que estabelece que haveria maior adoo de boas prticas relacionadas a alinhamento estratgico de TI nas unidades localizadas no Rio de Janeiro do que nas unidades regionais. Isso mostra que, quanto ao alinhamento estratgico e quanto ao respeito ou aderncia s normas e modelos de Governana de TI, a proximidade das unidades da sede da organizao (onde est a CGTI da FIOCRUZ e, portanto, onde so tomadas as decises estratgicas gerais de TI da instituio) no se reflete em adoo de boas prticas. A anlise dos dados permitiu tambm identificar outras caractersticas da organizao. Apenas 18 boas prticas de Alinhamento Estratgico e Compliance so adotadas pelas duas regionais simultaneamente. Entre as unidades do Rio de Janeiro, h pouco mais homogeneidade na adoo de boas prticas, com 24 adotadas simultaneamente. Uma

119

explicao para isso o fato de 31 boas prticas dessa dimenso serem adotadas pela Regional 1 e no pela Regional 2, enquanto apenas 5 boas prticas so adotadas pela Regional 2 e no so adotadas pela Regional 1. O componente Plano de TI o grande diferencial da Regional 1 em comparao com a Regional 2, j que, das 28 boas prticas desse componente, 15 so adotadas pela Regional 1, enquanto a Regional 2 no adota nenhuma (pois no tem um PDTI publicado). Ao comparar a Regional 1 com as duas unidades do Rio de Janeiro, percebe-se que a primeira tambm adota mais boas prticas dessa dimenso do que as outras duas, mesmo em comparao com a unidade Rio 1, que tambm tem um PDTI publicado. A diferena reside, ento, no fato de o PDTI da unidade Rio 1 ter sido elaborado no como resultado do planejamento estratgico de TI, mas como uma necessidade para cumprir uma obrigao normativa criada pelo Governo Federal, enquanto a elaborao do PDTI na Regional 1 foi resultado do planejamento estratgico de TI. Evidncia disso o fato de a unidade Rio 1 adotar apenas trs boas prticas do componente Plano de TI. Esse fato ocorre porque boas prticas do componente Alinhamento Estratgico no so adotadas pela unidade Rio 1, mas so adotadas pela Regional 1. Deste componente, a unidade Rio 1 adota cinco boas prticas, e a unidade Regional 1 adota sete, incluindo a formalizao de um CGTI prprio, fundamental para a adoo de diversas outras boas prticas de Governana de TI e para legitimar a tomada de decises estratgicas sobre TI.

5.2 BOAS PRTICAS DE DECISO, COMPROMISSO, PRIORIZAO E ALOCAO DE RECURSOS

No ciclo de Governana de TI de Fernandes e Abreu (2008), a etapa Deciso, Compromisso, Priorizao e Alocao de Recursos trata das decises relacionadas aos investimentos e prioridades de TI e prepara o Portflio de TI. Das 16 boas prticas da dimenso, 11 (68,7%) foram adotadas pela unidade Rio 2, dez (62,5%) pela unidade Regional 1, sete (43,7%) pela unidade Rio 1 e cinco (31,2%) pela unidade Regional 2. O Quadro 6 mostra as boas prticas desta dimenso adotadas pelas quatro unidades tcnico-cientficas.

120

BOAS PRTICAS DE DECISO, COMPROMISSO, PRIORIZAO E ALOCAO DE RECURSOS

Unidade tem uma estrutura para decidir sobre os princpios de TI Unidade tem uma estrutura para decidir sobre Arquitetura de TI Unidade tem uma estrutura para decidir sobre Infraestrutura de TI Unidade tem uma estrutura para decidir sobre Necessidade de Aplicaes de TI Unidade tem uma estrutura para decidir sobre investimentos e priorizao de recursos de TI Pessoal da rea de TI participa das decises estratgicas relacionadas TI da unidade Pessoal da rea de TI participa das decises sobre segurana da informao da unidade A Diretoria da unidade conhece as responsabilidades sobre as decises estratgicas de TI Projetos em execuo e para serem executados includos no PDTI da unidade Projetos e seus nveis de prioridade includos no PDTI ou em outro documento Projetos crticos includos no PDTI ou em outro documento Riscos relacionados aos projetos da rea de TI includos no PDTI ou em outro documento Catlogo de servios de TI includo no PDTI

REG. 1

REG. 2

RIO 1

RIO 2

Servios da rea de TI considerados crticos identificados e documentados Riscos relacionados aos servios da rea de TI identificados e documentados Prejuzos provocados pela interrupo dos servios de TI identificados e documentados Quadro 6 Adoo de boas prticas de Governana de TI da dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos. Legenda: Adotada No Adotada

Como a TI permeia praticamente todas as reas da organizao, as decises sobre TI no esto mais restritas rea de TI nem aos executivos de TI, como observaram Fernandes e Abreu (2008, p.86-87). Os autores afirmam que preciso constituir uma matriz de responsabilidades e envolvimento pelas decises de TI, que identifica quem deve ser envolvido nas decises sobre segurana da informao, estratgia de outsourcing, princpios de TI, arquitetura de TI, infraestrutura de TI, necessidades de aplicaes e investimentos em TI. Weill e Ross (2006) dizem que as organizaes precisam ter estruturas com a responsabilidade de tomar decises estratgicas sobre TI. O ITGI (2007) e o OGC (2007c) tambm apontam a necessidade de existncia de comits para tomada de decises sobre TI. Nenhuma das unidades pesquisadas tem essa matriz desenhada, mas as responsabilidades e as

121

pessoas envolvidas em algumas decises esto estabelecidas e so conhecidas. Para os quatro coordenadores entrevistados, as Diretorias conhecem as responsabilidades sobre as decises estratgicas de TI em suas unidades. A unidade Regional 1 a nica entre as quatro que tem seus princpios de TI definidos e documentados, conforme posto por Fernandes e Abreu (2008) e Weill e Ross (2006), e tambm a nica que tem uma estrutura criada para tomar decises sobre esses princpios. Essa unidade conta com estruturas para tomada de diferentes decises sobre TI, exceto quanto segurana da informao, pois a unidade no tem um Comit para tratar especificamente desse tema. Mas, para o coordenador de TI da unidade, o CGTI local pode acumular essa atribuio. O CGTI da unidade decide sobre os princpios de TI, necessidades de aplicaes, investimentos e prioridades, mas a prpria Seo de Informtica vai continuar decidindo sobre arquitetura e infraestrutura de TI. E sobre segurana da informao, isso pode ficar com o CGTI da unidade. A justificativa dada pelo entrevistado para a sugesto de acumular as atribuies no CGTI local est no fato de a unidade ter poucos servidores pblicos, dificultando a formao de comits permanentes, e o CGTI da Regional 1 conta com dois representantes da Seo de Informtica, garantindo que questes tcnicas sejam levadas em contra quando alguma deciso sobre segurana da informao for tomada. Como na Regional 1, as decises sobre arquitetura e infraestrutura de TI, consideradas mais tcnicas pelos entrevistados, so tomadas pelas respectivas reas de TI das demais unidades. As questes relacionadas a necessidades de aplicaes, priorizao de projetos e investimentos so decididas pelo CGTI local na Regional 1, levando em considerao critrios tcnicos, financeiros e outras informaes fornecidas pelos usurios em um documento de formalizao de demandas. Apesar de o CGTI da unidade decidir sobre necessidades de aplicaes, essas decises precisam estar em conformidade com a IN N 4/2010, que exige a prospeco de solues gratuitas antes de adquirir um software ou contratar o desenvolvimento.
Se uma soluo pode ser dada utilizando plataforma aberta, software livre ou alguma soluo gratuita, essa a soluo preferida. A no ser que a soluo gratuita no atenda necessidade. Se isso acontecer, a gente parte para uma soluo proprietria. A gente busca tambm a qualidade tcnica. No adianta ser apenas livre, tem que ser bom. Usamos software livre quando possvel. (Coordenador de TI da unidade Regional 1).

122

A unidade Regional 2 no tem uma estrutura especfica para decidir sobre os princpios de TI nem sobre as necessidades de aplicaes ou sobre a priorizao de investimentos e recursos de TI. A priorizao dos investimentos em TI feita pela prpria Diretoria da unidade, mas a rea de TI consultada. A unidade Rio 2 conta com uma estrutura para decidir sobre necessidades de aplicaes de TI formada por pessoal da rea de TI e responsveis pelas demais reas. A unidade Rio 1 tem uma estrutura para decidir sobre investimentos e priorizao de recursos de TI formada pela prpria rea de TI e pela Diretoria da unidade. A participao da rea de TI em decises estratgicas ocorre nas quatro unidades. Na Regional 1, h dois membros do setor de TI no CGTI da unidade. Na Regional 2, a participao se d em reunies com a Diretoria para justificar investimentos em TI pedidos. Na unidade Rio 1, o coordenador do Departamento de TI participa de reunies peridicas com a Diretoria e com as Vice-Diretorias. Na unidade Rio 2, as discusses estratgicas so iniciadas dentro da rea de TI, depois discutidas com a Vice-Diretoria, com o ncleo de planejamento e com a Diretoria da unidade, e nas decises so considerados a importncia e o impacto das demandas e necessidades. O entrevistado da unidade Regional 1 afirmou que quando as decises estratgicas relacionadas TI eram tomadas pelo alto escalo da unidade, no contavam com a participao de representantes da rea de TI e eram tomadas com base em critrios mais financeiros, deixando em segundo plano os critrios tcnicos e a importncia do investimento para a unidade. Com a formalizao de uma estrutura de tomada de decises estratgicas de TI, todas as decises passaram a ser tomadas com a participao de representantes tcnicos de TI e considerando diferentes aspectos. As decises sobre segurana da informao so tomadas exclusivamente pelo prprio pessoal da rea de TI em trs unidades, sendo que a Seo de Informtica da unidade Regional 2 a nica entre as trs que recebeu a atribuio de elaborar sua prpria Poltica de Segurana da Informao, segundo seu coordenador. J a unidade Rio 2 a nica entre as quatro que tem um comit especfico para tratar de segurana da informao e da manuteno e atualizao de sua Poltica de Segurana da Informao. Fernandes e Abreu (2008) propem uma estrutura especfica para decidir sobre segurana da informao e inclui entre suas responsabilidades a elaborao da Poltica de Segurana da Informao da organizao. A necessidade de um Portflio de TI foi apresentada por Fernandes e Abreu (2008) e Weill e Ross (2006), e est presente tambm no COBIT 4.1 (IT GOVERNANCE..., 2007) e na biblioteca ITIL (OFFICE..., 2007b). Apenas a unidade Regional 1 elaborou e publicou um Portflio de TI, que foi includo no PDTI da unidade e contm todos os projetos

123

previstos e em execuo, com suas respectivas prioridades, alm de um Catlogo de Servios de TI da Seo de Informtica. Apesar disso, os servios e projetos crticos e os riscos e prejuzos relacionados no foram identificados na unidade, como posto por Fernandes e Abreu (2008) e pelo OGC (2007e), o que dificulta a tomada de decises. A Regional 1 tambm a nica unidade que tem um Catlogo de Servios de TI includo no PDTI, como apresentado por Fernandes e Abreu (2008). A necessidade de um Catlogo de Servios de TI est presente tambm no COBIT (IT GOVERNANCE..., 2007) e na biblioteca ITIL (OFFICE..., 2007b; 2007c; 2007e). Alm da Regional 1, a outra unidade que tem documentados seus projetos e suas respectivas prioridades a Rio 2, embora no estejam em um Portflio. Esta a nica entre as quatro unidades que documentou seus servios considerados crticos. Para Fernandes e Abreu (2008), preciso identificar e documentar os servios crticos, bem como os riscos associados a esses servios e os prejuzos que a interrupo desses servios pode provocar para a organizao. Os riscos relacionados aos servios de TI e os prejuzos provocados pela interrupo desses servios esto identificados e documentados apenas nas duas unidades do Rio de Janeiro, e os riscos relacionados aos projetos de TI no esto identificados em nenhuma das unidades pesquisadas. Dessa forma, mesmo na unidade que tem um Portflio de TI elaborado e publicado, no houve uma preocupao com identificar os riscos e prejuzos dos projetos e investimentos em TI. Embora todas as unidades tenham alguma estrutura para tomada de decises sobre TI (mesmo que apenas decises meramente tcnicas), as responsabilidades por algumas decises no esto atribudas a nenhum setor ou grupo especfico. A especificao das responsabilidades est includa na definio de Governana de TI dada por Weill e Ross (2006) e a principal finalidade da etapa Deciso, Compromisso, Priorizao e Alocao de Recursos do ciclo de Governana de TI de Fernandes e Abreu (2008). Por no ter todas as estruturas necessrias para tomar decises estratgicas de TI, trs unidades no tem um Portflio de TI publicado, como visto anteriormente. O Portflio de TI um dos instrumentos que garantem que somente projetos, servios e aplicaes previstos e priorizados sejam executados, oferecidos ou desenvolvidos pela rea de TI, alm de servir como o instrumento que regula o relacionamento entre a rea de TI e os usurios. Por esse motivo, o fato de no haver um Portflio de TI em todas as unidades estudadas pode resultar em projetos desnecessrios e sem alinhamento com o planejamento estratgico da unidade, que pode fazer com que projetos importantes tenham pouca ateno da rea de TI ou que sejam cancelados (FERNANDES; ABREU, 2008).

124

O Pressuposto 3, de que h maior adoo de boas prticas relacionadas a priorizao e alocao de recursos de TI nas unidades localizadas no Rio de Janeiro do que nas unidades regionais, foi confirmado pela pesquisa, pois 11 boas prticas so adotadas pela unidade Rio 2, sendo esta a que mais adota boas prticas desta dimenso. A unidade Regional 1 a que aparece logo em seguida, com dez boas prticas adotadas. De maneira geral, as unidades do Rio de Janeiro adotam mais boas prticas relacionadas a identificao de riscos e prejuzos relacionados aos servios e projetos de TI, o que ajuda a explicar o porqu desse pressuposto ter se confirmado.

5.3 BOAS PRTICAS DE ESTRUTURA, PROCESSOS, OPERAO E GESTO

A dimenso Estrutura, Processos, Operao e Gesto, que tem 34 boas prticas, trata da estrutura, da diviso do trabalho e dos processos internos da rea de TI necessrios para prestar os servios, executar os projetos de desenvolvimento e infraestrutura e cuidar da operao do ambiente computacional. Esta dimenso est relacionada tambm aos conhecimentos, habilidades e competncias necessrios para a prestao dos servios de TI. Desta dimenso, 21 (61,7%) boas prticas foram adotadas pela unidade Regional 1, 19 (55,8%) boas prticas foram adotadas pela unidade Rio 1, 18 (52,9%) boas prticas foram adotadas pela unidade Rio 2 e 16 (47%) boas prticas foram adotadas pela Regional 2. O Quadro 7 mostra as boas prticas adotadas desta dimenso.
BOAS PRTICAS DE ESTRUTURA, PROCESSOS, OPERAO E GESTO
Procedimentos para atividades de operao documentados rea de TI tem uma Central de Servios de TI Profissionais de help desk dedicados s atividades de suporte remoto Central de Servios de TI funcionando como ponto nico de acesso dos usurios aos servios de TI Procedimentos para atividades de suporte e solues de incidentes e problemas de TI documentados A rea de TI tem um processo para documentao de solues para incidentes e problemas A rea de TI utiliza anlise por pontos de funo para medir o esforo necessrio para desenvolver sistemas A rea de TI utiliza modelos de melhores prticas para desenvolvimento de sistemas

REG. 1

REG. 2

RIO 1

RIO 2

125

BOAS PRTICAS DE ESTRUTURA, PROCESSOS, OPERAO E GESTO (cont.)

A rea de TI tem um padro ou modelo documentado para modelagem de sistemas A rea de TI utiliza uma metodologia ou modelo de gerenciamento de projetos A rea de TI utiliza uma ferramenta automatizada para monitoramento de ativos de TI O coordenador de TI est dedicado s atividades de coordenao/ gesto Os contratos de TI contam com fiscais administrativos formalmente designados Os contratos de TI contam com fiscais requisitantes formalmente designados Os fiscais tcnicos dos contratos de TI tem atribuies exclusivamente tcnicas Os profissionais da rea de desenvolvimento so dedicados s atividades da sua rea Os profissionais da rea de infraestrutura so dedicados s atividades da sua rea A rea de TI conta com uma estrutura ou grupo para gerenciar ou apoiar a execuo dos projetos de TI A rea de TI conta com uma estrutura ou grupo para tratar de incidentes de segurana da informao Os servios prestados pela rea de TI so avaliados pelos usurios de alguma maneira As responsabilidades dos usurios quanto utilizao dos rec. computacionais e segurana da informao esto documentadas Os usurios declaram ter conhecimento sobre suas responsab. quanto utilizao de rec. computacionais e seg. da informao A rea de TI tem um processo ou procedimento para dar retorno aos usurios sobre suas demandas O Catlogo de Servios de TI foi publicado Os critrios de priorizao para atendimento aos incidentes e problemas pela rea de TI so claros para os usurios A rea de TI utiliza um sistema para registro e acompanhamento de suas solicitaes Os usurios conhecem os meios de acesso aos servios de TI Os usurios respeitam os meios de acesso aos servios de TI

REG. 1

REG. 2

RIO 1

RIO 2

A rea de TI utiliza um procedimento de documentao de incidentes e fatos relacionados aos contratos de TI Responsveis por realizar contatos com fornecedores de servios, bens e materiais de TI identificados Garantia de que as responsab. dos fornecedores e prestadores de servios de TI foram compreendidas por eles e pela unidade Plano para operacionalizar os servios de TI aps finalizao inesperada de contrato documentado Plano para transferncia de contratos entre prestadores de servios ou fornecedores documentado Procedimento da CGTI da FIOCRUZ para execuo de licitaes e contratao de servios de TI adotado na unidade Quadro 7 Adoo de boas prticas de Governana de TI da dimenso Estrutura, Processos, Operao e Gesto. Legenda: Adotada No Adotada

126

Trs unidades tem procedimentos documentados para atividades de operao de servios de TI, sendo uma regional e duas do Rio de Janeiro. A existncia de procedimentos documentados uma boa prtica presente na biblioteca ITIL (OFFICE..., 2007c) e no modelo COBIT (IT GOVERNANCE..., 2007). Fernandes e Abreu (2008) incluem o desenvolvimento e documentao de procedimentos para as demais funes internas da rea de TI como uma atividade de suporte. Uma unidade regional e uma do Rio de Janeiro tem procedimentos para atividades de suporte e solues de incidentes e problemas, formando bases de conhecimentos de TI para consultas pelos profissionais da rea. As mesmas unidades estabeleceram processos de documentao de solues para incidentes e problemas. A unidade Regional 1 armazena seus procedimentos em um banco de dados relacional, que acessado atravs de um sistema web disponvel apenas dentro da unidade. As unidades Rio 1 e Rio 2 elaboram seus procedimentos em editores de texto e armazenam os documentos em diretrios localizados em seus servidores de arquivos da rede de computadores. A documentao dos procedimentos facilita e torna mais rpidas a soluo de problemas e a execuo de tarefas de operao, alm de permitir estabelecer padres de instalao de aplicativos e sistemas operacionais. A existncia de uma Central de Servios de TI como ponto nico de contato entre os usurios e a rea de TI para formalizao de demandas uma boa prtica presente no COBIT (IT GOVERNANCE..., 2007) e na biblioteca ITIL (OFFICE..., 2007e), enquanto Fernandes e Abreu (2008) incluram a Central de Servios de TI como parte da infraestrutura de TI de uma organizao. Weill e Ross (2006) dizem que a existncia de uma Central de Servios de TI pode trazer transparncia e facilitar a transmisso de informaes para os usurios dos servios de TI. A existncia de uma Central de Servios de TI importante porque permite conhecer de maneira centralizada todas as demandas dos usurios, facilitando o registro, o acompanhamento das demandas e, indiretamente, a identificao das competncias que precisam ser desenvolvidas ou contratadas e o dimensionamento da equipe de TI com base no tipo e na quantidade de demandas registradas. Apenas as unidades Regional 1 e Rio 2 tem Centrais de Servios de TI funcionando como o nico ponto de acesso dos usurios aos servios de TI, mas apenas a Regional 1 estruturou sua Central de Servios em nveis de suporte, responsveis por realizar os atendimentos ou escalar os incidentes para nveis superiores de suporte de acordo com a complexidade ou com o tempo necessrio para atender, deixando o primeiro nvel (ou help desk) dedicado ao suporte remoto. Os profissionais de desenvolvimento de sistemas de uma unidade do Rio de Janeiro e de uma regional utilizam anlise por pontos de funo para medir o esforo

127

necessrio para desenvolver seus sistemas. A utilizao de anlise por pontos de funo importante para identificar a complexidade e o tamanho dos sistemas a serem desenvolvidos, bem como o tempo necessrio para desenvolver, sendo o levantamento da quantidade de pontos de funo para realizar contratao de servios de desenvolvimento de sistemas e aparece como mtrica para desenvolvimento de software no ciclo de Governana de TI de Fernandes e Abreu (2008). Nenhum modelo de melhores prticas para desenvolvimento de sistemas, como Capability Maturity Model Integration (CMMI) ou Melhoria de Processos do Software Brasileiro (MPS-BR), adotado pelas unidades pesquisadas. Apesar disso, o coordenador de TI da unidade Regional 1 afirmou que sua equipe de desenvolvimento utiliza algumas boas prticas do PMBOK, que, por ser um modelo de gerenciamento de projetos, pode ser utilizado em projetos de desenvolvimento de sistemas, embora no tenha sido desenvolvido exclusivamente para esse fim. O fato de utilizar o PMBOK fez com que a equipe de desenvolvimento da unidade Regional 1 conseguisse executar seus projetos mais rapidamente e documentasse melhor. Com a utilizao de boas prticas do PMBOK e com um padro de modelagem de sistemas, o pessoal de desenvolvimento tem conseguido cumprir melhor os prazos e documentar melhor nossos sistemas., afirmou o coordenador de TI da Regional 1, a nica unidade a adotar um modelo de gerenciamento de projetos e um padro de modelagem de sistemas. As palavras do coordenador de TI de uma das unidades do Rio de Janeiro resumem a situao das outras unidades: A gente faz muito e documenta quase nada. O CMMI e o MPS-BR so, para Fernandes e Abreu (2008), modelos de melhores prticas para a funo de desenvolvimento de sistemas, e o PMBOK um modelo que tem o objetivo de identificar os conhecimentos que so amplamente reconhecidos como boas prticas de gerenciamento de projetos. Fernandes e Abreu (2008) pem o escritrio de projetos como uma rea ou estrutura de suporte ao executivo de TI da organizao, cuja definio est dentro da etapa Estrutura, Processos, Organizao e Gesto do ciclo de Governana de TI. O ITGI (2007) diz que preciso um escritrio de projetos com uma equipe capacitada em gesto de projetos para que o processo Gerenciar Projetos do modelo COBIT esteja gerenciado e mensurvel. Nesta pesquisa, identificou-se que nenhuma das quatro unidades tem um escritrio de projetos de TI ou uma equipe para gerenciar ou apoiar a execuo de projetos que esto sob responsabilidade da rea de TI (so gerenciados pelos prprios responsveis) e comum ocorrer atrasos nos cronogramas. Os entrevistados relacionam a necessidade de gerenciamento de projetos

128

exclusivamente s atividades de desenvolvimento de sistemas. Como resultado disso, nenhuma unidade utiliza um modelo de gerenciamento de projetos para os projetos de infraestrutura de TI. Para Weill e Ross (2006), em uma organizao cuja Governana de TI ineficaz, os projetos de TI frequentemente atrasam e excedem o oramento. O monitoramento de riscos de TI atravs de ferramentas automatizadas, previsto no modelo COBIT (IT GOVERNANCE..., 2007) e na biblioteca ITIL (OFFICE..., 2007c; 2007e), uma boa prtica adotada pelas quatro unidades que permite identificar e solucionar problemas em servidores e equipamentos de rede com maior agilidade, reduzindo o tempo de indisponibilidade dos servios. Fernandes e Abreu (2008) definiram claramente quais so as atividades e servios que devem ser de responsabilidade do executivo de TI da organizao (ou CIO, como preferem os autores), limitando-as a planejamento, gesto, comunicao e realizao de auditorias, sendo que algumas dessas atividades so executadas por uma equipe de apoio (escritrio do CIO), e no diretamente pelo prprio executivo de TI. Nenhuma das unidades estudadas conta com uma estrutura assim, o que explicado, em parte, pelo tamanho das unidades e pelo tamanho das respectivas reas de TI. Embora a estrutura no permita a criao de um escritrio de apoio ao coordenador de TI, essa boa prtica pode ser ajustada para a realidade das unidades, de maneira que o coordenador de TI possa se dedicar s atividades de coordenao, deixando as atividades mais tcnicas para os demais funcionrios do setor. Em apenas uma unidade (localizada no Rio de Janeiro), o coordenador de TI est dedicado s atividades de coordenao. Nas outras trs unidades o coordenador de TI tambm realiza atividades tcnicas, como suporte infraestrutura, administrao da rede e segurana da informao. O fato de executar atividades tcnicas e de gesto prejudica ambas as atividades, segundo trs dos entrevistados. O coordenador cobrado como coordenador, mas quando pedimos mais gente, os gestores olham para a rea de TI e dizem que j tem gente demais. Com essa quantidade de gente, difcil desempenhar apenas atividades de gesto, e como est, difcil fazer bem as duas coisas., afirmou um dos entrevistados. Agravando ainda mais a situao, em apenas uma unidade regional e uma do Rio de Janeiro existem fiscais administrativos e requisitantes designados, deixando para os fiscais tcnicos apenas as atividades tcnicas de fiscalizao. Por no haver fiscais administrativos e requisitantes designados, todas as atividades de fiscalizao dos contratos que envolvem a rea de TI ficam a cargo dos profissionais de TI, e isso acontece justamente nas duas unidades em que os

129

coordenadores de TI no conseguem se dedicar a atividades de coordenao do setor. Quanto s atividades de fiscalizao, o coordenador de TI de uma unidade regional afirma:

Toda a fiscalizao realizada pelo coordenador de TI, ele o nico fiscal do contrato de suporte que ns temos. O contrato atual anterior Instruo Normativa de 2010, mas est conforme a Instruo Normativa de 2008. Aqui, o fiscal, que tcnico, confere toda a documentao enviada pela empresa, coisas sobre INSS e FGTS, e fiscaliza tambm a execuo do contrato pelos terceirizados, os atendimentos realizados, o cumprimento do acordo de nvel de servio. ele que entra em contato com o preposto da empresa tambm, e que atesta nota fiscal para pagamento. O coordenador de TI a pessoa que faz tudo no contrato, inclusive a parte administrativa. Ele o nico fiscal do contrato, mas deveria ficar responsvel apenas pela parte tcnica da fiscalizao, vendo se o servio est sendo realizado, se est com qualidade, pois disso que ele entende, ou ento delegar isso a um subordinado. Essa parte administrativa e burocrtica deveria ficar a cargo de gente da rea administrativa, que conhece fiscalizao de FGTS e INSS, como manda a IN 4. Os gestores poderiam ter corrigido isso neste contrato designando os outros fiscais, mas no fizeram. No prximo contrato, eu espero que isso j esteja ajustado, pois estamos elaborando o projeto bsico j dentro da IN 4, com integrantes tcnico, administrativo e requisitante, que devem se tornar os fiscais tcnico, administrativo e requisitante. Isso deve acontecer com todos os contratos, inclusive de desenvolvimento de software que possivelmente a gente vai ter no prximo ano.

No h cruzamento de atividades entre profissionais de desenvolvimento e infraestrutura em nenhuma das unidades pesquisadas. Os profissionais das duas reas executam apenas atividades dentro da sua rea de conhecimento. A segregao da TI em funes ou divises distintas proposta por Fernandes e Abreu (2008). Como nas unidades os profissionais de desenvolvimento esto dedicados s atividades de desenvolvimento e os que conhecem infraestrutura trabalham apenas com infraestrutura, presume-se que haja mais profissionalismo nas atividades e menos possibilidades de falhas provocadas por impercia. As duas unidades do Rio de Janeiro e a Regional 2 contam com uma estrutura para tratar de incidentes de segurana da informao. Na unidade Regional 1, existe uma pessoa responsvel por administrar os servios de segurana da informao e por implantar controles e servios para mitigar riscos, mas no h uma equipe definida para tratar de incidentes desse tipo. A necessidade de um grupo especfico para tratar de incidentes de segurana da informao foi posta por Fernandes e Abreu (2008) e por Weill e Ross (2006) e est prevista tambm no modelo COBIT (IT GOVERNANCE..., 2007). A existncia de um grupo especfico para tratar de incidentes de segurana da informao permite que esses incidentes sejam tratados com a celeridade normalmente exigida para esses casos.

130

A avaliao dos servios prestados pela rea de TI pelos usurios dos servios est prevista no modelo COBIT (IT GOVERNANCE..., 2007) dentro do processo Monitoramento e Avaliao e foi proposta tambm por Fernandes e Abreu (2008), sempre com base em indicadores objetivos previamente acordados. Os servios prestados pela rea de TI so avaliados pelos usurios apenas na unidade Regional 1. Segundo o coordenador de TI da unidade, Os usurios podem avaliar cada solicitao atendida. Quando o tcnico que realizou o atendimento conclui um chamado, vai um e-mail para o usurio, e o usurio pode fechar o chamado e fazer uma avaliao do atendimento, e isso fica registrado em nosso banco de dados. Na unidade Regional 2, o sistema onde os chamados so registrados tinha uma funcionalidade que permitia avaliao pelo usurio, mas essa funcionalidade foi desativada, pois os usurios no entendiam seu objetivo, segundo o coordenador de TI. Na unidade Rio 2, uma funcionalidade semelhante ser implantada no novo sistema de registro de chamados, que est ainda em desenvolvimento. A identificao das responsabilidades pelos ativos de informao um aspecto que deve ser considerado no contexto da segurana da informao (FERNANDES; ABREU, 2008) e a rea de TI deve ter a garantia de que seus usurios compreendem suas responsabilidades para com a TI (OFFICE..., 2007c). As responsabilidades dos usurios na utilizao de recursos computacionais e em segurana da informao no esto documentadas apenas em uma unidade regional, que tambm no tem um procedimento para colher uma declarao dos usurios afirmando conhecer suas responsabilidades. Nas demais unidades, os usurios tomam conhecimento de suas responsabilidades em TI ao iniciarem suas atividades e nestas mesmas unidades existem rotinas ou processos para informar ou educar os usurios sobre riscos e outros assuntos relativos a segurana da informao. A conscientizao e a educao para segurana da informao uma boa prtica prevista por Fernandes e Abreu (2008) e o ITGI (2007) diz que a educao eficaz aumenta a conformidade com os principais controles e medidas de segurana do usurio. Para Weill e Ross (2006), a educao continuada um elemento-chave para a Governana da segurana da informao. Os usurios das duas unidades regionais e de uma unidade do Rio de Janeiro recebem retornos sobre suas demandas e solicitaes. Esse retornos so atravs de mensagens de correio eletrnico na unidade Regional 1 e presencialmente, fornecidos pelos prprios tcnicos nas unidades Regional 2 e Rio 2. O acompanhamento das solicitaes feitas pelos usurios uma boa prtica prevista tanto na biblioteca ITIL (OFFICE..., 2007e) quanto no

131

modelo COBIT (IT GOVERNANCE..., 2007), e que est relacionado ao componente Relacionamento com os Usurios do ciclo de Governana de TI de Fernandes e Abreu (2008). Apesar de apenas a unidade Regional 1 ter seu Catlogo de Servios de TI includo no seu PDTI, como proposto por Fernandes e Abreu (2008), os coordenadores de TI das outras trs unidades afirmaram ter um Catlogo de Servios de TI publicado, como previsto no modelo COBIT (IT GOVERNANCE..., 2007) e na biblioteca ITIL (OFFICE..., 2007b; 2007c; 2007e). Os critrios de priorizao de atendimento das solicitaes de atendimento so claros para os usurios nas quatro unidades, conforme necessidade apresentada por Fernandes e Abreu (2008). A divulgao de um Catlogo de Servios de TI e dos critrios de priorizao dos atendimentos so boas prticas que permitem que os usurios conheam tanto os servios que so prestados pela rea de TI quanto a forma que suas demandas sero tratadas pela rea de TI, dando mais transparncia aos servios prestados. As solicitaes dos usurios das quatro unidades so registradas em sistemas que permitem tanto aos profissionais de TI quanto aos prprios usurios acompanhar os atendimentos realizados. Para os entrevistados, os usurios das suas unidades conhecem os meios de acesso aos servios de TI, necessidade apresentada por Fernandes e Abreu (2008). Os meios de acesso aos servios de TI nas unidades estudadas so o sistema onde so registrados os chamados, os ramais de atendimento e endereos de correio eletrnico para onde podem ser enviadas as solicitaes, sendo que o meio preferencial o sistema, mas as solicitaes que chegam por outros meios so registradas no sistema pelo prprio tcnico de atendimento. Embora sejam conhecidos, esses meios de acesso so respeitados pelos usurios em apenas uma unidade regional. Nas demais unidades, comum os usurios pedirem suporte diretamente aos tcnicos, sem passar pelo sistema de registro de chamados e, portanto, sem que haja uma formalizao dentro da rea de TI. O fato de uma solicitao no ser registrada dificulta o dimensionamento da equipe de TI com base na quantidade de atendimentos realizados, o acompanhamento dos atendimentos pelos usurios e a fiscalizao das atividades dos profissionais terceirizados pelos servidores pblicos lotados na rea de TI, segundo um dos entrevistados, sendo tambm uma boa prtica prevista pelo OGC (2007e). Nenhuma das unidades estudadas documenta incidentes e fatos relacionados aos contratos de TI. Os fiscais dos contratos documentam apenas as informaes exigidas para fiscalizao dos contratos. O modelo COBIT (IT GOVERNANCE..., 2007) diz que devem ser estabelecidos processos de gerenciamento de contratos, que devem incluir o monitoramento e

132

a documentao de incidentes relacionados, visando a identificao e posterior correo de falhas, tanto no decorrer do contrato quanto durante o planejamento de um novo contrato. Em apenas uma unidade do Rio de Janeiro esto identificados os responsveis por estabelecer contatos com fornecedores de bens e servios de TI para tratar de assuntos relativos aos contratos e s aquisies realizadas. Nas demais unidades, os contatos so realizados ou pelos profissionais de TI ou pelos prprios usurios, e neste ltimo caso, nem sempre a rea de TI informada sobre o procedimento realizado. comum um laboratrio chamar um tcnico externo para fazer um procedimento em algum equipamento. Isso acontece muito, pois so os laboratrios que compram seus computadores com recursos de projetos. E a gente no fica sabendo da compra nem da manuteno realizada., afirmou um dos entrevistados. Para o coordenador de TI de uma das unidades, a rea de TI perde o controle sobre o que tem instalado no equipamento, tanto software quanto hardware. J aconteceu aqui de pedirem para a gente ver uma mquina que no acessa a rede, e quando a gente vai atender, uma mquina que foi formatada e toda reinstalada sem que a gente soubesse, ou que teve o HD substitudo., afirmou. Para o coordenador de TI de outra unidade, preciso estabelecer limites para que os usurios no se sintam com permisso para fazerem o que quiserem nos equipamentos, pois No possvel dar suporte com qualidade se no pode ter controle sobre o equipamento. [...] O ideal que toda especificao e todo chamado de manuteno passe pela TI. O ITGI (2007) diz que deve ser criada uma estrutura de contatos e relacionamentos entre a rea de TI e seus fornecedores. Fernandes e Abreu (2008) dizem que os responsveis por estabelecer contatos com os fornecedores devem ser formalmente designados, dentro do processo Relacionamento com Fornecedores do ciclo de Governana de TI. Os quatro entrevistados afirmaram que suas unidades tem garantia de que as responsabilidades dos fornecedores e prestadores de servios de TI foram compreendidas por eles durante a assinatura dos respectivos contratos. Essas responsabilidades esto expressas tambm nos projetos bsicos ou termos de referncia, que so disponibilizados durante o processo de licitao. Apesar disso, o coordenador de TI de uma unidade do Rio de Janeiro afirmou que embora os representantes das empresas conheam as responsabilidades dos seus empregados, no est certo de que os profissionais tambm conheam suas responsabilidades. A garantia de que os fornecedores e prestadores de servios de TI compreendem suas responsabilidades uma boa prtica identificada por Fernandes e Abreu (2008) e a

133

necessidade dessa compreenso por parte dos fornecedores est prevista tambm no modelo COBIT (IT GOVERNANCE..., 2007) e na biblioteca ITIL (OFFICE..., 2007e). A existncia de um plano documentado para operacionalizar os servios de TI aps o trmino inesperado de um contrato uma boa prtica que no adotada por nenhuma das quatro unidades, mas uma das unidades do Rio de Janeiro elaborou um plano para operacionalizar a transferncia de contrato entre empresas prestadoras de servio de TI, visando a mudana do contrato atual para o novo contrato. Em decorrncia de um fim inesperado de um contrato de TI, uma das unidades regionais ficou quatro meses sem tcnicos para prestar servios de suporte ao usurio, o que atrasou os projetos que precisavam ser executados durante o perodo. Em uma situao semelhante ocorrida em uma unidade do Rio de Janeiro, os gestores da unidade optaram por fazer um contrato emergencial, o que permitiu elaborar o projeto bsico para uma nova licitao. A existncia de planos para operacionalizar servios de TI aps o trmino inesperado de um contrato permite tomar aes encadeadas e planejadas visando o retorno das atividades com o mximo de celeridade. J a existncia de um plano para operacionalizar a substituio da empresa contratada por outra em virtude de uma nova licitao ter sido realizada permite a troca dos profissionais terceirizados com o mnimo de perda de eficincia no atendimento durante o perodo de transio. Essas duas boas prticas esto previstas no processo de contratao exigido pela IN N 4/2010 e esto previstas tambm em um procedimento publicado pela CGTI da FIOCRUZ, que serve como orientao para as unidades para realizao e licitaes e fiscalizao de contratos. Alm disso, foi includa por Fernandes e Abreu (2008) no seu ciclo de Governana de TI, pelo ITGI (2007) no modelo COBIT e pelo OGC (2007d) na biblioteca ITIL. Das quatro unidades, trs utilizam o procedimento quando vo realizar novas licitaes para contratar servios de TI, segundo informaes passadas pelos entrevistados. A documentao de procedimentos e rotinas e a padronizao de modelos so comuns em apenas uma unidade regional. As outras unidades adotam poucas boas prticas relacionadas a documentao e padronizao de rotinas e procedimentos, mesmo aquela que tem um foco em atividades de desenvolvimento de sistemas, cuja adoo de modelos e procedimentos relacionados a atividades de desenvolvimento fariam ainda mais sentido. As demais unidades, que tem um foco maior em atividades de suporte e administrao da rede, tambm adotam poucas boas prticas de documentao de procedimentos, rotinas e padres de operao e suporte. O fato de uma unidade regional ter uma Central de Servios de TI organizada em nveis de atendimento promove a documentao de procedimentos e padres,

134

pois faz parte do trabalho dos profissionais documentar e buscar solues para seus atendimentos na Base de Conhecimentos da rea de TI. A utilizao de um sistema de registro de solicitaes e atendimentos realizados importante porque d unidade uma srie histrica de atendimentos para medir o desempenho da equipe de TI visando planejar e dimensionar melhor a equipe necessria para um novo contrato. Esta uma boa prtica prevista na biblioteca ITIL (OFFICE..., 2007d; 2007e) e no modelo COBIT (IT GOVERNANCE..., 2007) e apresentada por Fernandes e Abreu (2008) como um processo de operao de suporte do seu ciclo de Governana de TI. Da dimenso Estrutura, Processos, Operao e Gesto, as unidades regionais adotam 27 boas prticas, enquanto as unidades do Rio de Janeiro adotam 25 boas prticas. Com isso, o Pressuposto 4, de que h maior adoo de boas prticas relacionadas a estrutura, processos, operao e gesto de TI nas unidades localizadas no Rio de Janeiro do que nas unidades regionais, no foi confirmado pela pesquisa. Isso ocorre porque a unidade Regional 1 adota isoladamente 21 boas prticas desta dimenso, embora a diferena seja pequena em comparao com as boas prticas adotadas pelas demais unidades.

5.4 BOAS PRTICAS DE MEDIO DE DESEMPENHO

A dimenso Medio de Desempenho trata do monitoramento do desempenho das operaes de TI, dos acordos de nvel de servios estabelecidos entre a rea de TI e a unidade e dos acordos de nvel de servio entre a unidade e as empresas contratadas para prestar servios de TI. O Quadro 8 mostra as boas prticas da dimenso Medio de Desempenho adotadas pelas unidades estudadas. A Seo de Informtica da unidade Regional 1 estabeleceu acordo de nvel de servio para o nico contrato de TI vigente, e esse contrato prev penalidades financeiras para o descumprimento do acordo, que foi elaborado com base no histrico de atendimentos dos contratos anteriores, mas no utilizou como base objetivos de desempenho de TI, j que a unidade no tem esses objetivos de desempenho estabelecidos e acordados. Segundo o coordenador de TI, a srie histrica foi levantada utilizando o antigo sistema de registro de chamados utilizado nos contratos anteriores. A Seo de Informtica no tem acordo de nvel

135

de servio estabelecido com a unidade, apesar de o coordenador de TI achar isso uma boa prtica importante, pois facilita a avaliao da rea de TI como um todo, e no apenas os contratos com as empresas. A biblioteca ITIL (OFFICE..., 2007e) e o modelo COBIT (IT GOVERNANCE..., 2007) apresentam o acordo de nvel de servio como base para avaliar o desempenho tanto de prestadores de servios de TI quanto da prpria rea de TI. Fernandes e Abreu (2008) afirmam que os acordos de nvel de servio podem ser empregados tanto para relacionamento com fornecedores externos quanto para prestao de servios de TI para a organizao e Weill e Ross (2006) afirmam que a negociao dos acordos de nvel de servio entre a TI e a organizao deixa claros os requisitos de nvel de servio da organizao para os servios prestados.

BOAS PRTICAS DE MEDIO DE DESEMPENHO

Acordos de nvel de servio em todos os contratos de TI

REG. 1

REG. 2

RIO 1

RIO 2

Pena prevista para descumprimento de acordos de nvel de servio em contratos de TI Acordos de nvel de servio definidos com base nos objetivos de desempenho de TI da unidade Acordo de nvel de servio estabelecido entre a rea de TI e a unidade Acordos de nvel de servio com base nos objetivos de desempenho de TI da unidade Quadro 8 Adoo de boas prticas de Governana de TI da dimenso Medio de Desempenho. Legenda: Adotada No Adotada

Apenas uma boa prtica da dimenso Medio de Desempenho adotada pela unidade Regional 2: existe um acordo de nvel de servio estabelecido entre a rea de TI e a unidade, mas no h um acordo de nvel de servio entre a rea de TI e a empresa contratada para prestao de servios de TI. O contrato que a gente tem um contrato genrico, guardachuva. Ele no especfico de TI. um contrato de gesto, feito pela Administrao, que inclui pessoal de TI, disse o coordenador de TI da unidade. A unidade Rio 1 previu acordo de nvel de servio em seu futuro contrato de prestao de servios de TI e esse acordo de nvel de servio prev uma penalidade para a empresa em caso de descumprimento, conforme estabelecido pela SLTI do MPOG. O acordo de nvel de servio no foi elaborado com base nos objetivos de desempenho estabelecidos, mas no histrico de atendimento do prprio setor. O Departamento de TI no tem um acordo

136

de nvel de servio com a unidade. Dessa forma, apenas duas boas prticas de Governana de TI so adotadas quanto gesto de desempenho de TI. J a unidade Rio 2 adota apenas uma boa prtica de Medio de Desempenho. Tal qual a unidade Regional 2, a rea de TI da Rio 2 tem um acordo de nvel de servio estabelecido com a unidade, mas esse acordo no foi estabelecido com base nos objetivos de desempenho, como indicado por Fernandes e Abreu (2008). Por no ter contratos de TI em conformidade com a IN N 4/2010 e IN N 2/2008, no existem acordos de nvel de servio entre a rea de TI da unidade Rio 2 e empresas prestadoras de servios de TI. A existncia de acordos de nvel de servio estabelecidos entre as unidades e as empresas prestadoras de servios de TI com base em objetivos de desempenho uma ferramenta importante para avaliao dos servios prestados. Alm disso, os acordos de nvel de servio so obrigatrios para contratos de TI do Poder Executivo Federal, tanto da Administrao Direta quanto Indireta. J a existncia de acordo de nvel de servio entre a rea de TI e a unidade uma ferramenta importante para avaliao da rea de TI, que poderia ser utilizada como meio de avaliao institucional dos servidores pblicos lotados na rea de TI da FIOCRUZ. Da dimenso Medio de Desempenho, as unidades regionais adotam trs boas prticas e as unidades do Rio de Janeiro tambm adotam trs boas prticas. Com isso, no foi confirmado o Pressuposto 5, de que h maior adoo de boas prticas relacionadas a medio de desempenho nas unidades localizadas no Rio de Janeiro do que nas unidades regionais, no foi confirmado pela pesquisa. A adoo de boas prticas relacionadas a Medio de Desempenho , segundo dois entrevistados, resultado de uma cultura institucional que no privilegia a avaliao de desempenho. As primeiras medidas para viabilizar uma avaliao de desempenho sria na FIOCRUZ esto sendo tomadas agora., afirmou um dos entrevistados. Segundo ele, isso prejudicou a cultura de auto-avaliao e de avaliao institucional. Alm disso, a adoo de boas prticas desta dimenso prejudicada tambm pelo fato de apenas uma das unidades ter seu contrato de prestao de servios de TI em conformidade com as exigncias das j citadas Instrues Normativas do Governo Federal quanto adoo de acordos de nvel de servio como mtodo de avaliao dos servios prestados pela empresa contratada.

137

5.5 COMPARAO ENTRE O TOTAL DE BOAS PRTICAS ADOTADAS POR CADA UNIDADE

Do total de 137 boas prticas de Governana de TI propostas no modelo de anlise, a unidade Regional 1 adota 81, o que corresponde a 59,1%. Em seguida est a unidade Rio 2, que adota 68 boas prticas, que correspondem a 49,6% do total. A unidade que figura em terceiro lugar a Rio 1, com 55 boas prticas adotadas, que correspondem a 40,1% do total. A que menos adota boas prticas a unidade Regional 2, com 44 boas prticas, que correspondem a 32,1% do total do modelo de anlise. Considerando as dimenses individualmente, uma unidade regional a que mais adota boas prticas em dimenses, e uma unidade do Rio de Janeiro a que mais adota boas prticas em uma dimenso. Em apenas uma dimenso (e justamente a que tem menos boas prticas) h um empate entre uma unidade regional e uma do Rio de Janeiro. O fato de a unidade Regional 1 ser a que adota mais boas prticas contraria o Pressuposto 1 da pesquisa, que estabelece que h maior adoo de boas prticas de modelos de melhores prticas de Governana de TI nas unidades localizadas no Rio de Janeiro do que nas regionais. Isso se d por diversos fatores. Embora no tenha sido a nica a elaborar um PDTI prprio, a unidade Regional 1 foi a nica que elaborou este documento com uma preocupao em fazer dele um registro do seu planejamento estratgico de TI. Segundo seu coordenador, a unidade j havia feito em 2010 um PDTI contendo diversas informaes de planejamento estratgico, mas o processo de elaborao do documento do ano de 2011 foi ainda mais cuidadoso. A unidade Rio 1, que tambm tem um PDTI prprio, teve esse documento elaborado mais para cumprir uma obrigao do que como um instrumento de planejamento estratgico, motivo pelo qual seu PDTI no contempla diversas informaes que correspondem a boas prticas de Governana de TI. A maneira como os PDTIs foram elaborados foi um fator determinante para a quantidade de boas prticas adotadas por essas duas unidades, com uma vantagem para a unidade Regional 1. Um fato identificado ao analisar as boas prticas adotadas pelas duas unidades regionais a grande quantidade de boas prticas adotadas pela Regional 1 e a pequena quantidade adotada pela Regional 2, apesar de ambas atenderem a quantidades semelhantes de usurios e computadores e de terem problemas de infraestrutura semelhantes. Algumas

138

diferenas encontradas entre essas duas unidades podem influenciar diretamente na adoo de boas prticas de Governana de TI. A unidade Regional 1 tem mais do dobro da quantidade de profissionais de TI da Regional 2. Para o coordenador de TI da unidade Regional 1, os fatos de a FIOCRUZ ter contratado desde 2006 cinco servidores pblicos para trabalhar na rea de TI e de a rea de TI ter tcnicos para atender a demandas de baixa e mdia complexidade deixando os servidores com condies de se dedicarem a atividades mais nobres tornaram possvel a dedicao de parte dos esforos melhoria de processos de TI. A unidade Rio 1, que tem apenas 5 servidores trabalhando na rea de TI, adota menos boas prticas do que a unidade Rio 2, que tem 14 servidores pblicos. J a unidade Regional 1, que tem seis servidores, adota mais boas prticas do que a unidade Regional 2, que conta com apenas trs servidores. Segundo dois dos entrevistados, a pequena quantidade de pessoal trabalhando no setor dificulta a adoo de boas prticas de Governana de TI. Um dos entrevistados afirma ainda que, para que a adoo de boas prticas de Governana de TI esteja na agenda da rea de TI e da Diretoria, necessrio que pelo menos um servidor da rea fique mais dedicado a isso do que a atividades mais tcnicas. A FIOCRUZ precisaria contratar menos tcnicos e mais gestores para a rea de TI, ou capacitar o pessoal de TI que tem hoje em Governana e contratar servidores para algumas atividades mais tcnicas para suprir a sada de uma pessoa da equipe tcnica, afirmou um dos coordenadores de TI, que completa: E precisaria capacitar tambm alguns gestores, pois boa parte deles ainda pensa que Governana de TI uma coisa exclusivamente de TI. Outro coordenador de TI vai alm e afirma que preciso capacitar todos os coordenadores de TI e a maioria das pessoas que trabalham na rea, e tem que ter uma conscientizao dos Diretores sobre essa questo de Governana. A necessidade de capacitar os coordenadores de TI nem sempre compreendida pelos gestores das unidades. Um exemplo disso o fato de o Diretor de uma das unidades regionais no ter autorizado o coordenador de TI a viajar para o Rio de Janeiro para participar de um treinamento sobre Governana de TI ministrado nas dependncias da prpria FIOCRUZ alegando no haver recursos para dirias e passagens. Para o coordenador de TI da unidade Regional 1, a capacitao de servidores em modelos de melhores prticas de Governana de TI foi extremamente importante. Os trs servidores que trabalham com desenvolvimento fizeram treinamento em gerenciamento de projetos seguindo a metodologia do PMBOK e em anlise por pontos de funo, e dois servidores da rea de infraestrutura foram capacitados na biblioteca ITIL.

139

A pequena equipe de desenvolvimento de sistemas da unidade Regional 1 tambm fez grande diferena na quantidade de boas prticas adotadas pela unidade, apesar da opinio do coordenador de TI da unidade Rio 1, que entende que planejamento estratgico de TI est mais relacionado s atividades de desenvolvimento de sistemas. Segundo ele, o fato de unidade no contar com uma equipe de desenvolvimento de sistemas (apenas uma pessoa trabalha com desenvolvimento na unidade) prejudica a documentao e o planejamento de atividades mais ligadas a Governana de TI, pois o foco fica maior em atividades mais operacionais, como manuteno dos sistemas existentes e desenvolvimento de pequenas solues. Mas essa viso no explica o fato de a unidade Rio 2, que tem uma equipe de desenvolvimento composta por dez pessoas, adotar menos boas prticas diretamente relacionadas a desenvolvimento de sistemas, como utilizao de um padro de modelagem de sistemas ou de uma metodologia de gerenciamento de projetos, do que a unidade Regional 1, que conta apenas com trs pessoas trabalhando com isso. Em ambas as unidades, os profissionais que trabalham com desenvolvimento foram capacitados em metodologias e modelos de melhores prticas voltados para suas atividades. Em suma, os fatores que possivelmente fizeram com que duas unidades adotassem mais boas prticas de Governana de TI do que seus pares so a possibilidade de servidores que trabalham na rea de TI dedicarem parte de seu tempo a atividades relacionadas diretamente adoo de boas prticas e melhoria da Governana de TI e o fato de esses servidores terem sido capacitados em metodologias e modelos de melhores prticas de Governana de TI fatores identificados na unidade Regional 1, a que mais adotou boas prticas de Governana de TI individualmente, com 81 boas prticas adotadas, e na unidade Rio 2, que foi a segunda unidade que mais adotou, com 68 boas prticas. importante destacar tambm que os fatos de a unidade Regional 1 ter um CGTI local e de ter elaborado um PDTI prprio contriburam para que ela se destacasse em uma comparao direta com as outras trs, j que diversas boas prticas adotadas pela unidade esto diretamente relacionadas existncia de um PDTI e de um CGTI prprios. A seo seguinte trata das causas identificadas para as diferenas de adoo de boas prticas de Governana de TI, segundo os entrevistados.

140

5.6 IDENTIFICAO DAS CAUSAS DAS DIFERENAS DE ADOO DE BOAS PRTICAS ENTRE AS UNIDADES

Em um segundo momento, os entrevistados foram perguntados sobre quais seriam as causas para as diferenas entre as boas prticas que so adotadas por unidades tcnicocientficas da FIOCRUZ. A pergunta foi respondida livremente e as respostas apontam para oito causas principais:

a) conhecimento incompleto da CGTI da FIOCRUZ sobre a estrutura e sobre os projetos das reas de TI das unidades; b) diferena de compreenso do valor da TI para diretores de unidades distintas; c) baixa participao das unidades na formulao das normas e polticas centralizadas; d) pequena quantidade de normas, polticas e padres obrigatrios para as unidades; e) poucos empecilhos ao descumprimento de normas internas e externas nas unidades; f) excesso de independncia ou autonomia dos diretores das unidades; g) compreenso limitada da CGTI da FIOCRUZ sobre o processo de planejamento estratgico de TI; h) necessidade de a alta direo da FIOCRUZ reforar seu compromisso com a Governana de TI.

Trs entrevistados afirmaram que a CGTI no conhece suficientemente a realidade nem os projetos que vem sendo desenvolvidos pelas reas de TI das unidades. Isso se deve heterogeneidade entre as unidades e ao desconhecimento sobre as unidades provocado por essa heterogeneidade., afirmou o coordenador de TI de uma unidade do Rio de Janeiro. A minha realidade uma, em outra unidade outra. Em algumas unidades, no tem problema de espao fsico. Aqui meu maior problema espao fsico. Eu poderia ter aqui um estagirio, mas no tenho como fazer isso, no tem espao. Tambm por isso, no tenho pessoal para fazer vrias coisas., afirmou um coordenador de TI de unidade regional. J o coordenador de TI de outra unidade afirmou que Cada unidade parece uma FIOCRUZ diferente quando se trata de TI, e a CGTI no parece conhecer ainda essas diferenas. Este

141

mesmo coordenador de TI complementou sua opinio, afirmando que a CGTI formada majoritariamente por gente da rea de TI e de comunicao de algumas unidades do Rio de Janeiro, e que um Comit de TI deveria ter uma formao multidisciplinar e heterognea, no caso da FIOCRUZ, para tomar decises estratgicas de TI em nome da organizao. Trs entrevistados tem a opinio de que h uma diferena de compreenso do valor da TI para diretores de diferentes unidades. Na opinio de um dos coordenadores de TI, Se o diretor mais visionrio, ento vai dar mais importncia rea de TI e ela vai andar mais. Se o diretor mais conservador, vai canalizar os recursos para a atividade fim, negligenciando a necessidade de uma infraestrutura boa de TI. Ento acho que isso no poderia ficar na mo do diretor. Para o coordenador de TI de outra unidade, Se o Diretor perceber a TI como rea estratgica, ela vai ser tratada como estratgica, e se o Diretor perceber a TI apenas como uma rea de suporte, como o tcnico que faz manuteno no seu computador, a rea de TI no vai passar disso. O coordenador de uma outra unidade pensa que h grande disparidade com relao importncia que a TI tem para as organizaes. Para ele, quando a importncia evidente e est relacionada a perdas financeiras em curto prazo, como acontece com as unidades de produo, h mais recursos e maior empenho em organizar e adotar boas prticas, enquanto que para as unidades cujas atividades principais so ensino e pesquisa, a importncia da TI no muito evidente para os gestores e, por isso, h maior carncia de recursos e h menos empenho em organizar e adotar boas prticas, o que envolve a Governana de TI. A diferena entre o valor percebido da TI para diretores de diferentes unidades pode ser interpretada como uma dificuldade dos diretores em ver valor nos investimentos em TI, um dos sintomas da Governana de TI ineficaz identificados por Weill e Ross (2006). A criao da CGTI da FIOCRUZ, que poderia consolidar a TI como uma rea estratgica na FIOCRUZ, no foi feita porque a Presidncia da instituio tenha compreendido a TI como uma rea estratgica, e sim por uma determinao externa, do TCU e do MPOG, como observou um dos entrevistados. Essa deficincia em perceber o valor da TI para a organizao est relacionada dimenso Alinhamento Estratgico e Compliance, pois est relacionada forma como o PDTI elaborado. Se a Direo da unidade no consegue perceber o valor que os investimentos em TI tem para a organizao, h uma deficincia na etapa de Alinhamento Estratgico e Compliance do ciclo de Governana de TI. Se alguns diretores de unidades no veem valor

142

nos investimentos em TI, isso pode estar relacionado ao fato de as estratgias de TI no estarem em conformidade com o entendimento que os diretores tem sobre o que a rea de TI deve fazer. Isso est diretamente relacionado ao estabelecimento de princpios de TI nas unidades, lembrando que esses princpios so afirmaes que determinam a forma de conduta prtica da rea de TI, ou declaraes sobre como a TI utilizada na organizao. Est relacionado tambm dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos, pois a influncia ou a concentrao das decises sobre TI nas mos de uma pessoa demonstra que na unidade h uma necessidade de estabelecer mecanismos para tomada de decises de TI. Esta causa est relacionada tambm ao Portflio de TI, componente da dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos. O Portflio de TI uma representao dos projetos e servios de TI que, juntamente com os benefcios, custos, riscos e prejuzos associados, mostram tudo o que a rea de TI oferece para seus usurios, o que est sendo feito e o que pretende fazer. A pequena participao das unidades na formulao das normas e polticas uma causa apontada por dois entrevistados. Segundo um dos coordenadores de TI, a criao de polticas institucionais deveria ser feita de maneira participativa e os diretores das unidades deveriam ser obrigados a cumpri-las.
A CGTI tem que discutir com as unidades, amadurecer as polticas institucionais, e a partir da, desse amadurecimento, tornar uma clusula ptrea, algo que voc no pode deixar de fazer. Porque seno a CGTI se rene, discute, cria uma poltica, um padro, e a unidade diz que vai usar o padro dela. Ento, tem que discutir antes para no dizer que no discutiu. Discute, amadurece uma poltica nica, e, a partir daquele momento, o que vai usar e pronto. [...] Tem que ser um pouco mais radical nessa aplicao dos padres e novas diretrizes institucionais. Isso em qualquer rea. E na rea de TI, isso tem que ser de fato. (Coordenador de TI de uma das unidades).

O coordenador de TI de outra unidade concorda com a opinio de que as unidades deveriam ser envolvidas nessas decises. Para ele, a CGTI da FIOCRUZ tem elaborado documentos sem conhecer a realidade de cada unidade, reforando outra causa j citada.
A CGTI tem que escutar as unidades tambm, para que no comecem a fazer coisas s para eles, porque nossa realidade muito diversa, em todos os sentidos. Gente, recursos financeiros, espao fsico. Ento para eles no ficarem inventando, sem conhecer a nossa realidade. A CGTI tem que conhecer a realidade de cada unidade. Quando pensarem em exigir, pedir ou indicar alguma coisa, j tem em mente o que posso fazer aqui e o que no posso. (Coordenador de TI de uma das unidades).

143

A participao das unidades na formulao de polticas e normas uma necessidade relacionada dimenso Alinhamento Estratgico e Compliance, pois trata da criao e do comprimento de normas e polticas para a organizao. Est relacionada tambm dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos, pois est ligada existncia de mecanismos de deciso sobre TI. Apesar das crticas ao fato de a CGTI da FIOCRUZ elaborar normas e polticas sem a participao das unidades, os entrevistados apontam tambm como causa para essa diferena entre as boas prticas que so adotadas por unidades tcnico-cientficas da FIOCRUZ a falta de normas, polticas e padres obrigatrios para todas as unidades.

No pode ter unidade comprando 100% dos softwares pagos enquanto a gente vai tentando convencer as pessoas a usarem Linux. O usurio vai na outra unidade, o colega est usando Windows 7, Windows 7 Ultimate, e muitas vezes uma pessoa que trabalha apenas com o bsico. Esses padres de aplicativos, sistemas operacionais e polticas de TI tem que ser discutidos com a comunidade, com os tcnicos da FIOCRUZ, apresentadas aos usurios e, a partir do momento que tiver uma aprovao coletiva, tornar uma regra obrigatria. No pode deixar assim, a unidade podendo comprar. Se a unidade puder comprar e no acontecer nada, tudo que a CGTI fizer vai ficar como uma recomendao tcnica, e no como uma norma de aplicao imediata, obrigatria. Tem que sair do campo da recomendao tcnica para ser uma norma a ser seguida. (Coordenador de TI de uma das unidades).

Para o coordenador de TI de uma das unidades, alm de no cumprir plenamente seu papel de buscar o alinhamento estratgico entre TI e o negcio, a CGTI tambm no tem regulado questes ligadas Governana de TI na instituio de maneira suficiente. Essa opinio sobre o papel regulador da CGTI compartilhada com outro coordenador de TI, que disse:

Falta algum que realmente regule algumas coisas de Governana de maneira institucional. Existe uma distncia grande entre a [nome de outra unidade regional] e ns aqui, em termos de pessoal, de recursos, e so unidades parecidas em tamanho do parque computacional e na quantidade de usurios. Tem um degrau muito grande entre as duas. Isso no poderia acontecer. A soluo deveria vir de cima. Algo do tipo: se a unidade tem tantos usurios, tem tantos equipamentos, tem tais necessidades de servios de TI, ento o perfil mnimo de TI deve ser esse, com essa quantidade de gente, esses perfis de profissionais e esta quantidade de dinheiro por ano. Essas decises no poderiam ficar apenas nas mos dos gestores das unidades.

144

Pelo fato de a CGTI no cumprir plenamente seu papel regulador, a FIOCRUZ expe uma necessidade de melhorar seus processos internos de TI e implementar boas prticas ligados aos componentes Alinhamento Estratgico, Processos e Organizao e Segurana da Informao da dimenso Alinhamento Estratgico e Compliance, e processos e boas prticas do componente Mecanismos de Deciso da dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos. A pequena quantidade de normas, polticas e padres obrigatrios agravada pelo fato de haver poucos empecilhos ao seu descumprimento. Para um dos entrevistados, preciso respeitar as normas e recomendaes externas. Para isso, essas normas externas tem que ser transformadas em normas internas, adotadas e amplamente divulgadas internamente. A falta dessas normas internas leva os gestores das unidades a terem compreenses diferentes das normas externas e isso se reflete em diversas situaes, como as referentes possibilidade de terceirizados viajarem pela instituio ou realizarem treinamento. Outro coordenador de TI concorda com essa opinio. Para ele, o fato de parte das unidades seguirem modelos, padres e normas e outras no seguirem atrapalha a troca de informaes dentro da prpria instituio.
No adianta o Governo dizer que devemos privilegiar software livre se a FIOCRUZ no consegue obrigar suas unidades a no comprar aplicativos pagos. No adianta o Governo dizer que tem uma e-PING para interoperabilidade se a FIOCRUZ no consegue fazer com que suas unidades adotem os mesmos padres e formatos e no sofre nenhuma restrio por conta disso. Uma adota BrOffice e outra faz um contrato com a Microsoft para fornecimento de licenas de Office. Cada uma vai em uma direo e, assim, no d nem para ter padres internos dentro da prpria instituio. Os usurios daqui da unidade usam BrOffice. Estamos migrando aos poucos, mas eles reclamam que s vezes mandam um documento para outra unidade e a pessoa que recebe l no consegue abrir o documento, pois no usam o mesmo aplicativo. No h interoperabilidade nem mesmo dentro da prpria FIOCRUZ. [...] Enquanto a FIOCRUZ no conseguir obrigar as unidades a seguir padres e polticas, isso vai continuar assim. (Coordenador de TI de uma das unidades).

Ainda para este entrevistado, a falta de interoperabilidade dentro da FIOCRUZ ainda mais grave, pois no est restrita s unidades. Ele afirma que a prpria CGTI da FIOCRUZ j mandou documentos utilizando formatos que no esto em conformidade com a arquitetura e-PING. Essa causa identificada est relacionada principalmente ao componente Alinhamento Estratgico, da dimenso Alinhamento Estratgico e Compliance do modelo de anlise, pois trata do comprimento de normas internas e externas, alm da adoo de padres, modelos e arquiteturas obrigatrios para entidades do Poder Executivo Federal.

145

Um dos entrevistados identificou tambm que h uma compreenso limitada sobre como deve ser feito o planejamento estratgico de TI na FIOCRUZ. Da forma que feito na FIOCRUZ, no planejamento estratgico de TI. Se cada unidade faz seu plano oramentrio e manda para a CGTI da FIOCRUZ incluir no PDTI geral da instituio, sem que tenha uma preocupao com alinhamento estratgico, o PDTI deixa de ser um plano estratgico, afirmou um coordenador de TI. Ele complementa dizendo que para o PDTI da FIOCRUZ ser um documento de planejamento estratgico envolvendo todas as unidades autnomas, deve haver uma preocupao com alinhamento estratgico em cada unidade, o que inclui a presena de uma estrutura de tomada de decises estratgicas e uma orientao da FIOCRUZ sobre como essas estratgias devero ser elaboradas. Essa questo est relacionada principalmente aos componentes Alinhamento Estratgico e Plano de TI, ambos da dimenso Alinhamento Estratgico e Compliance, pois trata da forma como se d a elaborao do PDTI da FIOCRUZ e dos PDTIs das unidades. Todos os entrevistados apontam como uma das causas dessa diferena de adoo de boas prticas de Governana de TI por unidades tcnico-cientficas da FIOCRUZ a independncia ou autonomia dos diretores, o que influencia diretamente no respeito s normas e polticas e na adoo de modelos pelas unidades. Para um dos coordenadores de TI, A autonomia que as unidades tem para contratar servios, para adquirir equipamentos e aplicativos, da forma ou no formato que ela deseja, atrapalha um pouco a normatizao de qualquer padro que a CGTI queira colocar na FIOCRUZ. Ainda segundo ele, essa autonomia tem reflexos negativos no s na rea de TI, mas em diversos outros aspectos negativos da instituio. Para o coordenador de TI de outra unidade, tambm a autonomia das unidades uma causa da diferena de adoo de boas prticas de Governana de TI:

A autonomia das unidades desfavorece a adoo de polticas gerais, que alcancem todas as unidades, e a adoo de boas prticas de Governana de TI na FIOCRUZ de maneira geral. As unidades no esto obrigadas a seguir normas centralizadas, e isso se replica dentro das unidades, nos laboratrios. Alguns dos chefes de laboratrios se acham autnomos, como se no precisassem da FIOCRUZ para nada e, por isso, no precisassem seguir regras, principalmente da rea de gesto. [...] O problema no est na autonomia das unidades nas suas atividades de pesquisa. Est na autonomia administrativa, principalmente no que est relacionado a TI. [...] O problema est nessa autonomia das reas de apoio, incluindo TI. As unidades no se sentem obrigadas a seguir regras, principalmente com relao a TI.

146

Este mesmo coordenador de TI afirma tambm que a autonomia dos diretores das unidades uma questo de cultura organizacional. Para ele, mesmo normas que so obrigatrias por fora de uma poltica de Governo ou por determinao do TCU no so seguidas porque as unidades passaram anos sendo geridas de forma descentralizada e autnoma, quase independente, sem um direcionamento e sem uma fiscalizao eficaz, e isso aconteceu tambm na rea de TI. Mas, ainda segundo ele, a FIOCRUZ deve continuar elaborando as normas e elas precisam ser obrigatrias, pois, sem elas, as mudanas necessrias na cultura organizacional nunca vo acontecer. O coordenador de TI de uma outra unidade concorda que as normas e polticas precisam ser elaboradas, complementando com a afirmao de que isso deve ser feito com a participao das unidades e dos demais servidores da FIOCRUZ, reforando outra causa j tratada nesta seo. Essa causa apontada est relacionada ao componente Alinhamento Estratgico, da dimenso Alinhamento Estratgico e Compliance, pois trata do compromisso dos diretores das unidades e da alta direo da FIOCRUZ com a Governana de TI, e tambm com o componente Mecanismos de Deciso, da dimenso Deciso, Compromisso, Priorizao e Alocao de Recursos, pois trata da existncia ou do funcionamento de mecanismos de deciso para tomada de decises estratgicas relativas TI. A necessidade de a alta direo da FIOCRUZ reforar seu compromisso com a Governana de TI foi outra causa apontada com destaque pelos entrevistados, e isso tem reflexo na dificuldade em estabelecer e fazer cumprir polticas e normas gerais de maneira centralizada na FIOCRUZ. Isso ocorre em parte por uma independncia das unidades [...] e por um distanciamento da Presidncia da FIOCRUZ, que parece ver essas questes como pouco importantes, afirmou um dos entrevistados. Embora critique a forma como foi criada a CGTI da FIOCRUZ, outro entrevistado v sua criao de maneira positiva:
A CGTI [da FIOCRUZ] foi um avano. Forosamente, graas SLTI. No foi mrito da FIOCRUZ no, nem iniciativa da Presidncia da FIOCRUZ. Nenhum Presidente ou Vice se preocupou com isso at vir a obrigao. A CGTI foi criada simplesmente para cumprir uma determinao de cima [do MPOG]. Mas eu acho que foi um avano, de qualquer maneira. Ento, acho que a gente tem que cobrar para que a CGTI no fique s no papel.

Um terceiro entrevistado concorda com a opinio de que a alta direo da FIOCRUZ precisa reforar seu compromisso com o estabelecimento de boas prticas de Governana de TI. Para ele, por fora das determinaes do Governo Federal, a alta direo

147

da FIOCRUZ foi obrigada a criar a CGTI, mesmo que Apenas para figurar como uma instncia central de TI da FIOCRUZ, sem ter uma importncia estratgica de fato. Como exemplo, ele afirma que parte das funes internas da CGTI da FIOCRUZ no coordenada por servidores efetivos da instituio. Isso para mim foi uma amostra de que [...] a FIOCRUZ hoje tem ainda pouca preocupao com Governana de TI, embora o Diretor da minha unidade tenha demonstrado essa preocupao aqui na esfera local., afirmou. O compromisso da direo da unidade com a Governana de TI um indicador da dimenso Alinhamento Estratgico e Compliance que, de acordo com as informaes passadas pelos entrevistados, contribui decisivamente para que as unidades tcnico-cientficas da FIOCRUZ adotem boas prticas de Governana de TI de maneiras to distintas. Essa situao pode ser traduzida tambm como desconhecimento dos gestores sobre a Governana de TI, compreensvel diante da heterogeneidade das unidades, embora seja um sintoma da Governana de TI ineficaz apontado por Weill e Ross (2006). Apesar de ser um fator negativo, esse desconhecimento refora a viso de que o planejamento estratgico de TI deve ser feito por um comit de TI em cada unidade, o que traria para o planejamento estratgico de TI o conhecimento sobre a realidade e as necessidades locais. Essa uma causa relacionada dimenso Alinhamento Estratgico e Compliance no que diz respeito ao conhecimento sobre a arquitetura, infraestrutura de TI, necessidade de aplicaes, processos e organizao interna de TI, alm de outros componentes. Assim, as oito causas apontadas pelos entrevistados para as diferenas na adoo de boas prticas de Governana de TI pelas quatro unidades tcnico-cientficas pesquisadas esto relacionadas principalmente s dimenses Alinhamento Estratgico e Compliance e Deciso, Compromisso, Priorizao e Alocao de Recursos. Mais especificamente, as causas esto relacionadas aos componentes Alinhamento Estratgico, Princpios de TI, Segurana da Informao, Processos e Organizao e Plano de TI, da primeira dimenso, e Mecanismos de Deciso e Portflio de TI, da segunda. Dessa forma, a pesquisa permitiu identificar que as causas para a existncia de diferenas entre as boas prticas adotadas pelas unidades ocorrem principalmente por questes relacionadas ao alinhamento estratgico e tomada de decises estratgicas de TI na FIOCRUZ. O motivo de quatro pressupostos no terem sido confirmados pela pesquisa pode ser o fato de uma das unidades regionais adotarem diversas boas prticas de Governana de TI, que so principalmente da dimenso Alinhamento Estratgico e Compliance, fundamental para todo o ciclo de Governana de TI muitas das boas prticas das etapas seguintes do ciclo

148

dependem ou esto fortemente relacionadas com boas prticas desta etapa. Apesar de evidenciado que h grandes diferenas de adoo de boas prticas entre as unidades, no se comprovou que h uma relao entre a adoo de boas prticas e a proximidade das unidades do centro de elaborao de normas, polticas e de tomada de decises estratgicas de TI da FIOCRUZ. Outra explicao pode residir no fato de serem os profissionais de TI da unidade que mais adotou boas prticas capacitados em modelos e metodologias de Governana de TI e pelos servidores desta unidade conseguirem dedicar parte do seu tempo a atividades relacionadas a Governana de TI. Tambm nesta unidade existe um comit para tratar de decises estratgicas de TI, o que retira da rea de TI a responsabilidade sobre essas decises e a necessidade de negociar essas decises com a Diretoria da unidade, o que tambm facilita a adoo e a aceitao de boas prticas pela Direo e pelos usurios da unidade. Alm disso, a unidade tem um PDTI prprio elaborado e publicado, boa prtica que est ligada a diversas outras boas prticas que, para serem adotadas, dependem diretamente da existncia de um PDTI. Porm, a pesquisa deixou claro que o compromisso da direo da organizao com a Governana de TI, indicador do componente Alinhamento Estratgico da dimenso Alinhamento Estratgico e Compliance, precisa ser reforado, pois uma causa determinante para as diferenas de adoo de boas prticas de Governana de TI pelas unidades da FIOCRUZ.

149

6 CONSIDERAES FINAIS

A pesquisa apontou que quatro dos cinco pressupostos no foram confirmados: h maior adoo de boas prticas de modelos de melhores prticas de Governana de TI nas unidades regionais, o que contraria o Pressuposto 1; h maior adoo de boas prticas relacionadas a alinhamento estratgico nas unidades regionais, contrariando o Pressuposto 2; as unidades regionais adotam mais boas prticas relacionadas a estrutura, processos, operao e gesto de TI, o que contrrio ao Pressuposto 4; e a mesma quantidade de boas prticas de medio de desempenho adotada pelas unidades regionais e do Rio de Janeiro, o que contraria o Pressuposto 5. Foi confirmado, portanto, apenas o Pressuposto 3, pois a pesquisa comprovou que h maior adoo de boas prticas relacionadas a priorizao e alocao de recursos de TI em uma unidade localizada no Rio de Janeiro. As causas das diferenas entre as boas prticas adotadas pelas unidades, segundo os entrevistados, ocorrem por questes relacionadas a alinhamento estratgico e aos mecanismos de deciso sobre assuntos relacionados TI na FIOCRUZ. Quanto aos objetivos especficos da pesquisa, todos foram alcanados: foram identificados os indicadores de adoo de boas prticas de Governana de TI atravs da pesquisa bibliogrfica sobre o tema, o que permitiu identificar as boas prticas relacionadas a esses indicadores; foi feito um diagnstico da situao atual da adoo das boas prticas de Governana de TI nas quatro unidades tcnico-cientficas pesquisadas; e foram identificados os fatores que contribuem para que o fenmeno investigado ocorra, segundo os coordenadores de TI das unidades estudadas. Assim sendo, foi alcanado o objetivo geral do trabalho, que desenvolver um estudo comparativo sobre a adoo de boas prticas de Governana de TI em unidades tcnico-cientficas da FIOCRUZ localizadas no Rio de Janeiro e nas unidades tcnico-cientficas localizadas nos estados da Bahia e de Minas Gerais visando identificar as causas para as diferenas entre as boas prticas adotadas pelas unidades. A pesquisa evidenciou que h grandes diferenas entre as boas prticas de Governana de TI adotadas pelas unidades, embora no tenha se confirmado a relao entre a proximidade da sede e a adoo de boas prticas, conforme sugeriam os pressupostos da

150

pesquisa. Foi possvel identificar que a unidade que mais adota boas prticas de Governana de TI uma unidade regional e que a adoo de boas prticas no homognea, mesmo entre as regionais a outra unidade regional a que adota menos boas prticas entre as quatro estudadas. Embora no tenha sido um dos objetivos da pesquisa, foram identificados alguns sintomas da Governana de TI ineficaz, conforme apresentado por Weill e Ross (2006): o processo de tomada de decises sobre TI lento e contraditrio; a terceirizao no feita como uma parte da estratgia de TI para alcanar os objetivos da organizao, mas como uma forma de resolver rapidamente uma deficincia da rea de TI; a alta gerncia no percebe a importncia da TI para a instituio; e no compreende a Governana de TI. A pesquisa apontou tambm que a falta de aes centralizadas para promoo da Governana de TI se somou a um excesso de autonomia dos diretores e gestores, fazendo com que haja grande diferena entre as boas prticas adotadas nas unidades. Os coordenadores de TI das unidades estudadas afirmaram que suas unidades carecem de normas e polticas elaboradas e publicadas de maneira centralizada. Segundo os entrevistados, a CGTI da FIOCRUZ, criada para elaborar polticas, prestar orientaes e estabelecer modelos institucionais, no tem cumprido adequadamente esse papel nem tem suprido na sua totalidade as necessidades relacionadas Governana de TI das unidades. Foram identificadas oito causas para as diferenas na adoo de boas prticas de Governana de TI pelas quatro unidades tcnico-cientficas, e essas causas esto relacionadas principalmente s dimenses Alinhamento Estratgico e Compliance e Deciso, Compromisso, Priorizao e Alocao de Recursos, que correspondem s primeiras etapas do ciclo de Governana de TI proposto por Fernandes e Abreu (2008). A principal causa, apontada e destacada pelos quatro entrevistados, foi a necessidade de reforar o compromisso da alta direo da FIOCRUZ com a Governana de TI, o que tem reflexo em diversos outros aspectos relacionados adoo de boas prticas pelas unidades tcnico-cientficas da FIOCRUZ. Para os entrevistados, embora a FIOCRUZ tenha tomado iniciativas relacionadas Governana de TI, essas iniciativas no foram tomadas para promover a Governana de TI na instituio, e sim com o foco em mostrar aos rgos externos de regulao e fiscalizao das aes relacionadas a TI na Administrao Pblica Federal que a FIOCRUZ tem procurado

151

atender s normas, e o resultado desse foco a falta de iniciativas que efetivamente ponham a Governana de TI na agenda da FIOCRUZ de maneira transversal, atingindo a todas as unidades. Um outro aspecto identificado durante a pesquisa pode indicar caminhos a serem seguidos para promover a Governana de TI nas unidades da FIOCRUZ: as duas unidades que mais adotam boas prticas so unidades onde os servidores lotados na rea de TI podem dedicar mais tempo s atividades relacionadas Governana de TI, e so tambm unidades onde houve capacitao dos servidores pblicos da rea de TI em modelos de melhores prticas e metodologias relacionadas Governana de TI. Adicionalmente, a unidade que mais adota boas prticas possui um CGTI local, multidisciplinar e composto tanto por pessoas das reas de gesto e de negcio quanto por representantes da rea de TI, que responsvel pela tomada de decises estratgicas de TI que, de outra maneira, seriam tomadas pelos profissionais da prpria rea de TI da unidade e possivelmente com um vis mais tcnico, ou por gestores da unidade, o que possivelmente aconteceria com um vis mais financeiro e sem a participao da rea de TI. A capacitao de servidores da rea de TI em modelos de melhores prticas e metodologias ligadas Governana de TI, a dedicao de servidores da rea de TI a questes mais relacionadas Governana de TI e a criao de comits para tomar decises estratgicas de TI so medidas que podem melhorar a Governana de TI nas unidades, minimizando os efeitos da necessidade de algumas aes estratgicas centralizadas da FIOCRUZ.

6.1 PROPOSIES DE MELHORIAS PARA A GOVERNANA DE TI NA FIOCRUZ

Nesta seo, esto algumas proposies de aes que podem ser tomadas para promover a Governana de TI na FIOCRUZ, baseadas nos dados colhidos na pesquisa de acordo com o modelo de anlise. A necessidade do compromisso da alta direo est prevista no modelo COBIT (IT GOVERNANCE..., 2007) e na biblioteca ITIL (OFFICE..., 2007a) e foi observada por Weill e Ross (2006) e por Fernandes e Abreu (2008). Para que isso seja possvel, a alta direo da instituio e os diretores das unidades precisam ser informados sobre os benefcios

152

trazidos e sobre os passos que precisam ser seguidos no sentido de promover a Governana de TI de um modo mais eficaz. O ITGI (2007) recomenda que haja um representante da rea de TI nos fruns de tomada de decises estratgicas, o que funciona como uma forma de aproximar a rea de TI do negcio visando alinhar as estratgias de TI e da organizao. Uma maneira de promover essa representao a presena de representantes da rea de TI em grupos, comits ou conselhos que tomam decises estratgicas, tanto nas unidades quanto na sede da FIOCRUZ, o que pode facilitar a identificao de oportunidades de aplicao da TI em prol dos objetivos da instituio. Para Weill e Ross (2006), a parceria entre a alta administrao e os lderes de TI no processo decisrio cria expectativas realistas para a TI e promove o esclarecimento da estratgia de negcios. Os princpios de TI e os requisitos da organizao para a rea de TI, decises de alto nvel que orientam todo o planejamento estratgico de TI (FERNANDES; ABREU, 2008), precisam ser estabelecidos nas unidades da FIOCRUZ. Os responsveis por estabelecer esses princpios e requisitos podem ser tanto os dirigentes das unidades quanto um grupo designado por eles para essa finalidade. Essas decises podem ser tomadas tambm em conjunto pelos dirigentes e pelos chefes de TI das unidades (WEILL; ROSS, 2006), e esses princpios e requisitos devem seguir orientaes de princpios e requisitos gerais da FIOCRUZ, que podem ser estabelecidos por estruturas semelhantes. Os membros da CGTI da FIOCRUZ so, em sua maioria, servidores da instituio que, at antes da criao da CGTI, trabalhavam nas reas de TI e de comunicao em diferentes unidades tcnico-cientficas e tcnico-administrativas do Rio de Janeiro. Esse grupo no conta com membros de outras reas da instituio, o que recomendado pelo ITGI (2007), por Weill e Ross (2006) e Fernandes e Abreu (2008). Essa recomendao est presente tambm no Guia para Criao e Funcionamento do Comit de TI (SECRETARIA..., 2011) elaborado pela SLTI/MPOG, que indica tambm os instrumentos pelos quais o Comit pode ser criado, alm das suas competncias, sua composio e suas atribuies. Sugere-se que a CGTI da FIOCRUZ adote um modelo de Governana de TI que seja vlido para toda a organizao, que deve incluir um conjunto mnimo de boas prticas, controles e processos para serem adotados por todas as unidades. Entre as boas prticas desse modelo, sugere-se que estejam a criao de Comits de TI e de Subcomits de Segurana da

153

Informao nas unidades, que, segundo Weill e Ross (2006), Fernandes e Abreu (2008) e o ITGI (2007), devem incluir pessoal de TI e usurios, e devem decidir localmente sobre as polticas, aes e estratgias de TI de cada unidade. Como resultado efetivo da criao desses comits, cada unidade deve ter seu prprio PDTI e sua prpria Poltica de Segurana da Informao, uma vez que fazem seus respectivos planos estratgicos e planejam e executam seus oramentrios de maneira autnoma as unidades so dotadas de autonomia tanto administrativa quanto para planejar e executar seu oramento. Os PDTIs das unidades devem representar seus respectivos planejamentos estratgicos de TI, e devem compor o PDTI geral da FIOCRUZ. sugerido que o processo de planejamento estratgico de TI da FIOCRUZ seja representativo e participativo, preservando a cultura democrtica da organizao. Essa mesma sugesto pode ser aplicada s Polticas de Segurana da Informao e aos planos de continuidade das unidades, que precisam estar em conformidade com a Poltica de Segurana da Informao e Comunicaes da FIOCRUZ e com outras normas especficas publicadas de maneira centralizada pela CGTI, pelo Comit de Segurana da Informao geral da FIOCRUZ e por outros rgos de regulao e fiscalizao internos ou externos FIOCRUZ. Em cada unidade da FIOCRUZ, sugere-se que as competncias pessoais dos profissionais da rea de TI sejam identificadas, conforme o ITGI (2007) e Fernandes e Abreu (2008). Uma vez mapeadas as competncias existentes, essas informaes podero ser utilizadas para, juntamente com os planos estratgicos da unidade e da instituio, identificar as competncias de TI que precisam ser desenvolvidas nos profissionais que j esto na organizao e as que precisam ser contratadas, seja por concurso pblico ou por terceirizao de servios, subsidiando uma estratgia de outsourcing. O desempenho de atividades estritamente relacionadas a Governana de TI por pelo menos um servidor pblico da rea de TI das unidades pode facilitar a adoo de diversas boas prticas e a melhoria dos processos internos de TI. Fernandes e Abreu (2008) apresentam algumas estruturas de operaes de servios de TI com diversas funes, competncias, requisitos, processos internos, nveis de servio e atividades associadas. Entre as estruturas apresentadas pelos autores est o Escritrio do CIO, responsvel pelo planejamento e gesto da rea de TI e por boa parte das atividades de melhoria dos processos internos da rea de TI, e est tambm a Operao de Segurana da Informao, que, entre outras coisas, responsvel pelo planejamento da segurana da informao, o que inclui a

154

gesto de riscos e a elaborao de planos de segurana da informao e continuidade do negcio. So estruturas complexas, que exigem uma quantidade de servidores pblicos e outros funcionrios que muitas unidades da FIOCRUZ no tero condies de implementar. Mas o importante no a existncia da estrutura, mas a dedicao de servidores pblicos da rea de TI s atividades que deveriam ser desenvolvidas por essas estruturas, dentro das possibilidades de cada unidade. Se a realidade da unidade no permitir a dedicao integral de um ou mais servidores a essas atividades, pode ser dedicada uma frao do tempo, o que pode promover um processo contnuo que leve Governana de TI eficaz. Outras aes podem ainda ser adotadas para promover a Governana de TI na FIOCRUZ, como a adoo de padres e metodologias de anlise e desenvolvimento de sistemas dentre aqueles que foram apresentados por Fernandes e Abreu (2008). Sugere-se que essa adoo de padres e metodologias de anlise e desenvolvimento de sistemas seja transversal, alcanando todas as unidades da instituio, o que pode facilitar a integrao entre sistemas desenvolvidos por unidades diferentes e tambm pela CGTI da FIOCRUZ. A implantao de bancos de dados de gerenciamento da configurao, bibliotecas de software institucional, bases de conhecimentos de TI e Centrais de Servios de TI so boas prticas previstas na biblioteca ITIL (OFFICE..., 2007d; 2007e) e que, sendo adotadas pelas unidades da FIOCRUZ, podero facilitar o controle sobre o ambiente computacional suportado pelas reas de TI. Como forma de avaliao dos servios de TI, tanto aqueles prestados pela rea de TI de maneira geral quanto os prestados pelas empresas terceirizadas, sugerido que sejam estabelecidos acordos de nvel de servio. A avaliao de desempenho na prestao de servios de TI utilizando acordo de nvel de servio uma obrigao legal para avaliao de servios terceirizados, por fora das Instrues Normativas SLTI/MPOG N 4/2010 e SLTI/MPOG N 2/2008, e tambm uma boa prtica presente na biblioteca ITIL (OFFICE..., 2007e), que pode servir como base objetiva para avaliar servios prestados pela rea de TI (FERNANDES; ABREU, 2008). O estabelecimento de acordo de nvel de servio entre a rea de TI e a unidade pode ser considerado tambm como uma forma transparente de assumir um compromisso de qualidade na prestao de servios de TI, podendo ser utilizado como meio de avaliao de desempenho institucional da rea de TI nas unidades da FIOCRUZ.

155

6.2 LIMITAES DA PESQUISA

Algumas limitaes que foram identificadas durante a realizao da pesquisa sero apresentadas a seguir. Duas das limitaes deste trabalho so comuns em pesquisas qualitativas na rea de cincias sociais aplicadas. As informaes colhidas nas entrevistas podem estar enviesadas pelo julgamento que os entrevistados fazem sobre o assunto em questo, sobre a FIOCRUZ ou sobre sua prpria unidade. Alm disso, para responder algumas das perguntas presentes no roteiro de entrevista, era preciso que os entrevistados tivessem alguns conhecimentos prvios sobre os assuntos tratados. Em ambos os casos, as respostas poderiam trazer informaes incorretas ou incompletas, por opinies pessoais dos entrevistados ou por pouca familiaridade com os assuntos tratados. Para minimizar essas limitaes, o pesquisador buscou detalhar as perguntas e apresentar aos entrevistados definies sobre os assuntos e boas prticas que procurava identificar. Esta pesquisa no envolveu todas as unidades da FIOCRUZ, o que poderia fornecer um diagnstico completo da adoo de boas prticas de Governana de TI em toda a instituio e permitiria identificar os casos de sucesso que serviriam de exemplo para as outras unidades. Por tambm no ter envolvido todas as unidades tcnico-cientficas, o diagnstico ficou limitado a quatro unidades, sendo duas regionais e duas localizadas no Rio de Janeiro, embora tenha envolvido as duas unidades do Rio de Janeiro cujas atividades mais se assemelham s realizadas nas regionais. Os dados foram colhidos em pesquisa documental e atravs de entrevistas semiestruturadas com coordenadores de TI das unidades, mas poucos documentos foram utilizados na pesquisa documental. Isso ocorreu principalmente porque, de maneira geral, as unidades tem poucas boas prticas de Governana de TI documentadas, a exemplo do PDTI prprio, que apenas duas unidades tem, e da Poltica de Segurana da Informao, que apenas uma unidade tem. Alm disso, o fato de os entrevistados serem apenas os coordenadores de TI trouxe informaes de quatro pessoas que observam a organizao a partir do mesmo ponto de vista, embora em realidades distintas, mas que limita a quantidade e a qualidade das informaes que poderiam ser obtidas se as entrevistas tivessem sido realizadas com gestores ou diretores das unidades, ou mesmo com os componentes da CGTI da FIOCRUZ.

156

A estratgia utilizada na pesquisa pode trazer possibilidades de haver um vis pessoal do pesquisador na anlise dos dados coletados e tambm um vis dos entrevistados nas respostas dadas nas entrevistas, pois todos trabalham na organizao pesquisada. A contagem da quantidade de boas prticas adotadas pelas unidades no foi feita considerando uma atribuio de valor ponderado, o que poderia elevar a importncia de algumas boas prticas em relao a outras. Assim, as dimenses que tem maior quantidade tem um peso maior do que aquelas que tem poucas boas prticas. Alm disso, h uma relao de dependncia entre algumas boas prticas de forma que, para que algumas sejam adotadas, imprescindvel que uma determinada boa prtica seja adotada tambm. Um exemplo a boa prtica Existncia de um documento de PDTI da unidade publicado, cuja adoo prrequisito para outras 27 boas prticas. Dessa forma, uma unidade que no adota essa boa prtica no tem como adotar outras 27. Por fim, como a Governana de TI um tema amplo e, consequentemente, amplo tambm o modelo de anlise utilizado na pesquisa, alguns componentes que, por si s, so temas de pesquisas acadmicas no foram investigados de maneira aprofundada neste trabalho, como o Alinhamento Estratgico, a segurana da informao e o portflio de TI, o que suscita novos estudos sobre esses temas na mesma organizao, alm de outros, que sero apresentados na prxima seo.

6.3 SUGESTES PARA PESQUISAS FUTURAS

A seguir esto sugestes para a realizao de pesquisas futuras visando aprofundar os conhecimentos sobre Governana de TI, principalmente no tocante a aspectos pouco explorados ou relacionados s limitaes deste trabalho, e visando identificar outros aspectos relacionados Governana de TI na FIOCRUZ. Uma pesquisa visando investigar quais boas prticas de Governana de TI so adotadas em unidades tcnico-cientficas de produo importante, pois as unidades de produo tem uma preocupao maior com a promoo da qualidade do que as unidades de pesquisa, apoio pesquisa e de prestao de servios, e, por isso, tendem a adotar boas

157

prticas de Governana em seus processos internos, servindo de benchmark para as outras unidades. A identificao dos fatores que condicionam a adoo de boas prticas de Governana de TI sob a tica dos gestores e membros da CGTI da FIOCRUZ pode apresentar uma outra viso da Governana de TI na instituio, diferentemente deste trabalho, que pesquisou apenas sob a tica dos coordenadores de TI. Recomenda-se uma pesquisa visando identificar a percepo do valor da TI para a alta direo da FIOCRUZ e para os diretores das unidades tcnico-cientficas. Uma pesquisa visando mapear o processo de Alinhamento Estratgico da FIOCRUZ pode ajudar a aprimorar a tomada de decises estratgicas de TI na instituio. Tambm pode ser pesquisada a gesto de portflio de TI na FIOCRUZ, com um foco no processo de priorizao de aes e investimentos em TI. Por fim, recomenda-se um estudo sobre a adoo de controles e prticas de segurana da informao em unidades da FIOCRUZ tendo como base a norma ABNT NBR ISO/IEC 27002:2005 (ASSOCIAO BRASILEIRA DE NORMAS TCNICAS, 2005). A segurana da informao est presente no modelo de anlise utilizado neste trabalho, mas a investigao da adoo de boas prticas de segurana da informao nas unidades estudadas no foi aprofundada, e isso suscita uma pesquisa focada neste tema. Ademais, embora as recomendaes aqui apresentadas tenham a FIOCRUZ ou suas unidades como casos a serem estudados, outras organizaes com caractersticas semelhantes s da FIOCRUZ podero ser pesquisadas.

158

REFERNCIAS
ABREU, Marcelo F.; FAORO, Roberta R.; GUASSELLI, Idair G. G. Governana de TI Estratgica: Uma Anlise a Partir da Viso Baseada em Recursos. In: VI Simpsio de Excelncia em Gesto e Tecnologia SEGeT, Resende, 2009. Anais... Resende: AEDB, 2009, 13p. ADACHI, Emlia S. Governana de TI: Anlise Crtica das Prticas Existentes em uma Empresa Estatal do Setor de TI. Porto Alegre, 2008. 143f. Dissertao (Mestrado em Engenharia de Produo) Curso de Ps-Graduao em Engenharia de Produo, Universidade Federal do Rio Grande do Sul. ALBERTIN, A. L. Valor Estratgico dos Projetos de Tecnologia da Informao. RAE. So Paulo: FGV, n.3, v.41, p.42-50, jul.2001. ______; ALBERTIN, R. M. M. Estratgias de Governana de Tecnologia da Informao: Estrutura e Prticas. 1. ed., Rio de Janeiro: Elsevier, 2009. 232p. ALBUQUERQUE, Jader C. M. Alinhamento Entre Estratgia de Negcio e Estratgia de TI Uma Abordagem Configuracional: O Caso das Lojas Insinuante. Salvador, 2003. 137f. Dissertao (Mestrado em Administrao de Empresas) Curso de Ps-Graduao em Administrao de Empresas, Universidade Federal da Bahia. ALBUQUERQUE JUNIOR, Antonio E.; MACHADO, Kaliane C. B.; SANTOS, Ernani M. dos. Estudo sobre a Percepo da Importncia de Indicadores de Governana de TI em uma Instituio de Pesquisa. In: XXXI Encontro Nacional de Engenharia de Produo ENEGEP, Belo Horizonte, 2011. Anais... Rio de Janeiro: ABEPRO, 2011, 13p. ______; SANTOS, Ernani M. dos. Controles e Prticas de Segurana da Informao em um Instituto de Pesquisa Federal. In: VIII Simpsio de Excelncia em Gesto e Tecnologia SEGeT, Resende, 2011. Anais... Resende: AEDB, out. 2011, 17 p. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27002:2005: Tecnologia da Informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2005. 120p. ASSOCIAO BRASILEIRA DE TREINAMENTO E DESENVOLVIMENTO. O Retrato do Treinamento no Brasil 2006/2007. ABTD: 2007. Disponvel em: <http:// www.lidcom.com.br/Retrato%20treinamento%20no%20Brasil%202006%20%20ABTD.pdf>. Acesso em: 21 abr. 2010. BARBOSA, Alexandre F.; JUNQUEIRA, Alvaro R. B.; LAIA, Marconi M. de; FARIA, Fernando I. de. Governana de TIC e Contratos no Setor Pblico. In: Congresso Anual de Tecnologia da Informao 2006 CATI 2006, So Paulo, 2006. Anais... So Paulo: FGV, 2006, 16p. BASTOS, Rogrio L. Cincias Humanas e Complexidades: Projetos, mtodos e tcnicas de pesquisa; o caos, a nova cincia. Juiz de Fora: EDUFJF, 1999. 128p.

159

BROADBENT, Marianne; KITZIS, Ellen. The New CIO Leader: Setting the Agenda and Delivering Results. Boston: Gartner, 2004. 343p. BRASIL. Decreto n. 1.048, de 21 de janeiro de 1994. Dispe sobre o Sistema de Administrao dos Recursos de Informao e Informtica, da Administrao Pblica Federal, e d outras providncias. ______. Ministrio do Planejamento, Oramento e Gesto. Instruo Normativa N 4, de 19 de maio de 2008a. Dispe sobre o processo de contratao de servios de Tecnologia da Informao pela Administrao Pblica Federal direta, autrquica e fundacional. ______. Tribunal de Contas da Unio. Acrdo 1603/2008, de 13 de agosto de 2008b. Levantamento de auditoria. Situao da Governana de Tecnologia da Informao TI na Administrao Pblica Federal. Ausncia de Planejamento Estratgico Institucional. Deficincia na estrutura de pessoal. Tratamento inadequado confidencialidade, integridade e disponibilidade das informaes. Recomendaes. ______. Ministrio do Planejamento, Oramento e Gesto. Portaria SLTI/MPOG N 8, de 12 de agosto de 2009. Dispe sobre a contratao de servios de TI no mbito do Sistema de Administrao dos Recursos de Informao e Informtica - SISP, durante o exerccio de 2009. ______. Ministrio do Planejamento, Oramento e Gesto. Instruo Normativa N 4, de 12 de novembro de 2010. Dispe sobre o processo de contratao de Solues de Tecnologia da Informao pelos rgos integrantes do Sistema de Administrao dos Recursos de Informao e Informtica (SISP) do Poder Executivo Federal. BROWN, Allen E.; GRANT, Gerald G. Framing the Frameworks: A Review of IT Governance Research. Communications of the Association for Information Systems, v.15, p.696-712, maio 2005. BRYNJOLFSSON, Erik. The Productivity Paradox of Information Communications of the ACM. Nova York, n.12, v.36, p.67-77, dez.1993. Technology.

CADBURY COMMITTEE. Report of the Committee on the Financial Aspects of Corporate Governance. Londres: Gee, 1992. 127p. CALLAHAN, Joanne; BASTOS, Cassio; KEYES, Dwayne. The Evolution of IT Governance at NB Power. In: GREMBERGEN, Wim V. Strategies for Information Technology Governance. Hershey: Idea Group Publishing, 2004, p.343-356. CAMPBELL, John; MCDONALD, Craig; SETHIBE, Tsholofelo. Public and Private Sector IT Governance: Identifying Contextual Differences. Australasian Journal of Information Systems. Sydney: ACS, n.2, v.16, p.5-18, 2009. CARR, Nicholas G. TI J No Importa. Harvard Business Review. n. 81.5, p.41-50, mai.2003. CARVALHO, Marina S. Diretrizes Para Aplicao de Governana de TI nos rgos Pblicos Federais Brasileiros Usando o Framework COBIT. Braslia, 2006. 103f. Dissertao (Mestrado em Gesto do Conhecimento e Tecnologia da Informao) Curso de

160

Ps-Graduao em Gesto do Conhecimento e Tecnologia da Informao, Universidade Catlica de Braslia. CEPIK, Marco; CANABARRO, Diego R.; POSSAMAI, Ana J. Do Novo Gerencialismo Pblico Era da Governana Digital. In: CEPIK, Marco; CANABARRO, Diego R. Governana de TI: Transformando a Administrao Pblica no Brasil. Porto Alegre: WS Editor, 2010. p.11-35. CRESWELL, John W. Projeto de Pesquisa: Mtodos Qualitativo, Quantitativo e Misto. 3. ed., Porto Alegre: Artmed, 2010. 296 p. DOLCI, Pietro C. Uso da Gesto do Portflio de TI no Processo de Gerenciamento e Justificativa dos Investimentos em Tecnologia da Informao. Porto Alegre, 2009. 200f. Dissertao (Mestrado em Administrao) Curso de Ps-Graduao em Administrao, Universidade Federal do Rio Grande do Sul. ELLIS, T. S.; CASEY, K. M.; MESAK, H. I. The Impact Of Information Technology Investments On Managerial Decision Making: Evidence From Dividend Payout. The Journal of Applied Business Research. The Clute Institute, n.3, v.18, p.65-75, 2002. FERNANDES, Aguinaldo A.; ABREU, Vladimir F. Implantando a Governana de TI: Da Estratgia Gesto dos Processos e Servios. 2e. Rio de Janeiro: Brasport, 2008. 444p. FERREIRA, Luciene B.; RAMOS, Anatlia S. M. Tecnologia da Informao: Commodity ou Ferramenta Estratgica? Revista de Gesto da Tecnologia e Sistemas de Informao. USP, n.1, v.2, p.69-79, 2005. FLICK, Uwe. Introduo Pesquisa Qualitativa. 3e. Porto Alegre: Artmed, 2009. 405p. FUNDAO OSWALDO CRUZ. Plano Quadrienal 2005-2008. Rio de Janeiro: FIOCRUZ, 2005a. 104p. ______. Vice-Presidncia de Ensino, Informao e Comunicao. Relatrio do Grupo de Trabalho da Vice-Presidncia de Ensino, Informao e Comunicao da FIOCRUZ. Rio de Janeiro, 2009. 21p. ______. Vice-Presidncia de Ensino, Informao e Comunicao. PDTI FIOCRUZ 2010. Rio de Janeiro, 2010a. ______. FIOCRUZ: Uma Instituio a Servio da Vida. Rio de Janeiro: FIOCRUZ, 2010b, 96p. GAMA, Jaime N. Gesto da informao hospitalar: estudo de caso de um hospital privado, de atuao geral e mdio porte. Salvador, 2009. 174f. Dissertao (Mestrado em Administrao) Curso de Ps-Graduao em Administrao, Universidade Federal da Bahia. GARTNER, Ivan R.; ZWICKER, Ronaldo; RDDER, Wilhelm. Investimentos em Tecnologia da Informao e Impactos na Produtividade Empresarial: uma Anlise Emprica Luz do Paradoxo da Produtividade. RAC. Curitiba: ANPAD, v.13, n.3, p.391-409, jul.2009.

161

GIL, Antonio C. Como Elaborar Projetos de Pesquisa. 5e, So Paulo: Atlas, 2010. 200p. GONALVES, Jos E. L. As Empresas so Grandes Colees de Processo. RAE. So Paulo: FGV, v.40, n.1, p.6-19, mar.2000. GRANT, Gerald G.; BROWN, Allen E; URUTHIRAPATHY, Aareni; MCKNIGHT, Shawn. An Extended Model of IT Governance: A Conceptual Proposal. In: Americas' Conference on Information Systems 2007 AMCIS 2007, Keystone, 2007. Proceedings... Keystone: AMCIS, 2007, 11p. GREMBERGEN, Wim V.; HAES, Steven D.; GULDENTOPS, Erik. Structures, Processes and Relational Mechanisms for IT Governance. In: GREMBERGEN, Wim V. Strategies for Information Technology Governance. Hershey: Idea Group Publishing, 2004, p.2-36. HAES, Steven D.; GREMBERGEN, Wim V. IT Governance and Its Mechanisms. Information Systems Control Journal. Rolling Meadows: ISACA, v.1, 2004, 7p. ______;______. IT Governance Structures, Processes and Relational Mechanisms: Achieving IT/Business Alignment in a Major Belgian Financial Group. 38th Hawaii International Conference on System Sciences HICSS 2005, Big Island, 2005. Proceedings Big Island: HICSS, 2005, 10p. HENDERSON, J.C.; VENKATRAMAN, N. Strategic Alignment: Leveraging Information Technology For Transforming Organizations. IBM Systems Journal, v.38, n.283, 1999. Disponvel em: <http://gunston.gmu.edu/ecommerce/itgovernance/doc/henderson.pdf>. Acesso em: 15 jul. 2011. HENKIN, Hlio; SELAO, Daniel C. A Contratao de Servios de Tecnologia da Informao pela Administrao Pblica Federal. In: CEPIK, Marco; CANABARRO, Diego R. Governana de TI: Transformando a Administrao Pblica no Brasil. Porto Alegre: WS Editor, 2010. p.75-94. INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATSTICA. Pesquisa Industrial Anual Empresa 2007. IBGE: 2007. Disponvel em: <http://www.ibge.gov.br/home/ presidencia/noticias/noticia_visualiza.php?id_noticia=1399&id_pagina=1>. Acesso em: 21 abr. 2010. INSTITUTO BRASILEIRO DE GOVERNANA CORPORATIVA. Governana Corporativa. IBGC: 2010. Disponvel em: <http://www.ibgc.org.br/Secao.aspx? CodSecao=17>. Acesso em: 21 abr. 2010. IT GOVERNANCE INSTITUTE. COBIT 4.1, Rolling Meadows: ITGI, 2007. 213p. ______. Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit, Rolling Meadows, 2008a. 130p. ______. COBIT Mapping: Mapping of ITIL v3 With COBIT 4.1, Rolling Meadows, 2008b. 65p.

162

KARABACAK, Bilge; SOGUKPINAR, Ibrahim. A quantitative method for ISO 17799 gap analysis. Computer & Security. Elsevier, v.25, p.413-419, 2006. LAIA, Marconi M. de; CUNHA, Maria Alexandra V. C. da; NOGUEIRA, Antonio R. R.; MAZZON, Jos A. Electronic Government Policies in Brazil: Context, ICT Management and Outcomes. RAE. So Paulo: FGV, n.1, v.51, p.43-57, jan.2011. LAURINDO, Fernando J. B.; SHIMIZU, Tamio; CARVALHO, Marly M. de; RABECHINI JR., Roque. O Papel da Tecnologia da Informao (TI) na Estratgia das Organizaes. Gesto & Produo. So Paulo, n.2, v.8, p.160-179, ago.2001. LIU, Qiang; RIDLEY, Gail. IT Control in the Australian Public Sector: An International Comparison. In: 13th European Conference on Information Systems ECIS 2005, Regensburg, 2005. Proceedings Bruxelas: ECIS, 2005, 12p. LUCHT, Robert R.; HOPPEN, Norberto; MAADA, Antnio C. G. Ampliao do Modelo de Impacto de TI de Torkzadeh e Doll luz do Processo Decisrio e da Segurana da Informao. In: XXXI Encontro da ANPAD EnANPAD. Rio de Janeiro, 2007. Anais Rio de Janeiro: ANPAD, set.2007, 16p. LUFTMAN, J. N.; LEWIS, P. R.; OLDACH, S. H. Transforming the Enterprise: The Alignment of Business and Information Technology Strategies. IBM Systems Journal. n.1, v.32, p.198-221, 1993. LUNARDI, Guilherme L. Um Estudo Emprico e Analtico do Impacto da Governana de TI no Desempenho Organizacional. Porto Alegre, 2008. 200f. Tese (Doutorado em Administrao) Universidade Federal do Rio Grande do Sul, Programa de Ps-Graduao em Administrao, Porto Alegre, 2008. ______; DOLCI, Pietro C.; BECKER, Joo L.; MAADA, Antnio C. G. Governana de TI no Brasil: Uma Anlise dos Mecanismos Mais Difundidos Entre as Empresas Nacionais. In: IV Simpsio de Excelncia em Gesto e Tecnologia SEGeT. Resende, 2007. Anais... Resende: AEDB, out.2007, 14 p. ______; BECKER, Joo L.; MAADA, Antnio Carlos G. Impacto da Adoo de Mecanismos de Governana de TI no desempenho da Gesto da TI: uma anlise baseada na percepo dos executivos. In: XXXIII Encontro da ANPAD EnANPAD. So Paulo, 2009. Anais... Rio de Janeiro: ANPAD, set.2009, 16 p. CD Rom. ______; ______; ______. Governana de TI e suas Implicaes para a Gesto da TI: Um Estudo Acerca da Percepo dos Executivos. XXXIV Encontro da ANPAD EnANPAD. Rio de Janeiro, 2010. Anais... Rio de Janeiro: ANPAD, set.2010, 17 p. CD Rom. MARQUES, Paulo E. P. C. Tecnologia da Informao na Fundao Oswaldo Cruz. Rio de Janeiro, 2011. 104f. Dissertao (Mestrado Profissional em Sade Pblica) Fundao Oswaldo Cruz, Escola Nacional de Sade Pblica Srgio Arouca, Rio de Janeiro, 2011. MEIRELLES, Fernando S. 21a. Pesquisa Anual do Uso de TI. CIA FGV-EAESP: 2010. Disponvel em: <http://www.eaesp.fgvsp.br/subportais/interna/relacionad/gvciapesq2010. pdf>. Acesso em: 21 abr. 2010.

163

MELLO, Gilmar R. Governana Corporativa no Setor Pblico Federal Brasileiro. So Paulo, 2006. 127f. Dissertao (Mestrado em Cincias Contbeis) Universidade de So Paulo, Faculdade de Economia, Administrao e Contabilidade, So Paulo, 2006. MINISTRIO DO DESENVOVIMENTO, INDSTRIA E COMRCIO EXTERIOR . TCU Apresenta Levantamento dos Gastos em TI no Governo Federal e Mostra Deficincia na Segurana da Informao. 2010, MDIC. Disponvel em: <http://www.telecentros.desenvolvimento.gov.br/sitio/destaques/destaque.php?sq_conteudo= 3313>. Acesso em: 9 jun. 2010. MORAES, Emerson A. P.; MARIANO, Sandra, R. H. Uma Reviso dos Modelos de Gesto em TI. In: IV Congresso Nacional de Excelncia em Gesto CNEG, 2008, Niteri. Anais... Niteri: CNEG, jul.2008. 19p. NFUKA, Edephonce N.; RUSU, Lazar. Critical Success Factors for Effective IT Governance in the Public Sector Organisations in a Developing Country: The Case of Tanzania. 18th European Conference on Information Systems ECIS 2010, Pretoria, 2010. Proceedings Bruxelas: ECIS, 2010, 15p. OFFICE OF GOVERNMENT COMMERCE. The Official Introduction to The ITIL Service Lifecycle. Norwich, OGC, 2007a. 238p. ______. ITIL Service Strategy. Norwich, OGC, 2007b. 264p. ______. ITIL Service Design. Norwich, OGC, 2007c. 334p. ______. ITIL Service Transition. Norwich, OGC, 2007d. 261p. ______. ITIL Service Operation. Norwich, OGC, 2007e. 263p. ______. Continual Service Improvement. Norwich, OGC, 2007f. 221p. ______. ITIL, Norfolk: OGC, 2007g. Disponvel guidance_itil_4438.asp>. Acesso em: 25 set. 2009. em <http://www.ogc.gov.uk/

OLIVEIRA, Luiz C. de. Governana de TI: Proposta de um Modelo para os Tribunais de Contas Estaduais. Recife, 2009. 131f. Dissertao (Mestrado Profissional Cincia da Computao) Universidade Federal de Pernambuco, Recife, 2009. PELANDA, Maurcio L. Modelos de Governana de Tecnologia da Informao Adotados no Brasil Um Estudo de Casos Mltiplos. So Bernardo do Campo, 2006. 133f. Dissertao (Mestrado em Administrao) Universidade Metodista de So Paulo, So Bernardo do Campo, 2006. PHILLIPS, Tim. Bulletin Interview: Larry Ellison. IT Now. Oxford University Press, n.4, v.44, p.16-17, jul.2002. QUIVY, Raymond; CAMPENHOUDT, Luc Van. Manual de Investigao em Cincias Sociais. 2.e., Lisboa: Gradiva, 1998. 282p.

164

RAUP-KOUNOVSKY, Anna; HRDINOVA, Jana; CANESTRARO, Donna S.; PARDO, Theresa A. Public Sector IT Governance: From Frameworks to Action. In: 3rd International Conference on Theory and Practice of Electronic Governance - ICEGOV 2009, Bogot, 2009. Proceedings Macao: CEGOV, nov.2009, p.369-371. REZENDE, Denis A.; ABREU, Aline F. Alinhamento do Planejamento Estratgico da Tecnologia da Informao ao Empresarial Anlise Preliminar de um Modelo na Prtica de Grandes Empresas Brasileiras. In: XXV Congresso da Associao dos Programas de PsGraduao em Administrao ANPAD, Campinas, 2001. Anais... Rio de Janeiro: ANPAD, set.2001. 17 p. RODRGUEZ, Martius V. R; VIEIRA, Daniele M. A Governana de TI como Suporte para as Estratgias Competitivas das Organizaes. In: II Simpsio de Excelncia em Gesto e Tecnologia SEGeT, Resende, 2005. Anais... Resende: AEDB, out.2005, p.1037-1043. ______; ______. Governana de TI no Setor Pblico: Caso DATAPREV. Revista Produo Online. Universidade Federal de Santa Catarina, n.1, v.7, p.207-225, abr. 2007. RUBIN, Rachel. ITIL: Grito de Guerra. Information Week. So Paulo, n. 112, 02 mar.2004. SANTOS, Ernani M. dos. Aprisionamento Tecnolgico: Novos Desafios da Gesto das Estratgias Organizacionais na Era da Informao. Caderno de Pesquisas em Administrao. So Paulo: USP, v.8, n.1, p.61-67, 2001. SECRETARIA DE LOGSTICA E TECNOLOGIA DA INFORMAO. Modelo de Referncia para Elaborao do Plano Diretor de Tecnologia da Informao. 31 dez. 2008, MPOG. Dirio Oficial da Unio, seo 1, n.254, p.211. ______. Estratgia Geral de Tecnologia da Informao 2010. 18 fev. 2010, MPOG. Dirio Oficial da Unio, seo 1, n.33, p.39. ______. Estratgia Geral de Tecnologia da Informao 2011-2012. 23 dez. 2010, MPOG. Dirio Oficial da Unio, seo 1, n.245, p.158. Disponvel em: <http:// www.governoeletronico.gov.br/sisp-conteudo/estrategia-geral-de-ti/index/?searchterm=egti>. Acesso em: 20 jul. 2011. ______. Guia para Criao e Funcionamento do Comit de TI - Verso 1.0. Braslia: MPOG, 14 dez. 2011. 78p. Disponvel em: <http://www.governoeletronico.gov.br/ biblioteca/arquivos>. Acesso em: 03 jan. 2012. SHU, William S. Strategic IT Planning as Change Specification. In: 2nd International Conference on Theory and Practice of Electronic Governance - ICEGOV 2008, Cairo, 2008. Proceedings Macao: CEGOV, dez.2008, p.136-143. SILVA, Edna L. da; MENEZES, Estera M. Metodologia da Pesquisa e Elaborao de Dissertao. Florianpolis: Laboratrio de Ensino Distncia da UFSC, 3. ed., 121p., 2001. SILVA, Ronei. Alinhar as Estratgias da TI com o Negcio. Disponvel em <http://www.itweb.com.br/blogs/blog.asp?cod=124>. Acesso em: 25 set. 2009.

165

SIMONSSON, Marten; LAGERSTROM, Robert; JOHNSON, Pontus. A Bayesian Network for IT Governance Performance Prediction. In: 10th International Conference on Electronic Commerce ICEC08, 2008. Proceedings... Innsbruck, ICEC, 2008, 8p. SISTEMA DE ADMINISTRAO DE RECURSOS DE INFORMTICA INFORMAO. Estratgia Geral de TI 2008. 20 nov. 2008, MPOG. E

SOUZA, Cesar A.; ZWICKER, Ronaldo. A Tecnologia de Informao e as Organizaes: Um Modelo para Anlise de Seus Usos e Impactos. FACEF Pesquisa. Franca: Uni-FACEF, v.12, n.1, p.33-51, 2009. STRASSMAN, Paul A. Will big spending on computers guarantee profitability? Datamation, v.43, n.2, fev. 1997, p.75-85. Disponvel em: <http://www.strassmann.com/pubs/ datamation0297/>. Acesso em: 25 jul. 2011. TURBAN, Efraim; LEIDNER, Dorothy; MCLEAN, Ephraim; WETHERBE, James. Tecnologia da Informao para Gesto: Transformando os Negcios na Economia Digital. 6.ed., Porto Alegre: Bookman, 2010. 720p. VIEIRA, Daniele M. Governana de TI no Setor Pblico: Caso DATAPREV. Niteri, 2005. 100f. Dissertao (Mestrado em Sistemas de Gesto) Universidade Federal Fluminense, Niteri, 2005. WEILL, Peter. The relationship between investment in Information Technology and firm performance: a study of the valve manufacturing sector. Information Systems Research. n.4, v.3, p.307-333, 1992. ______; ROSS, Jeanne W. IT Governance on One Page. CISR Working Paper. Cambridge: MIT Sloan, n.349, 2004, 15p. ______; ______. Governana de TI, Tecnologia da Informao. So Paulo, M. Books, 2006. 276p. YIN, Robert K. Estudo de Caso: Planejamento e Mtodos. 4e. Porto Alegre: Bookman, 2010, 248p.

166

APNDICE

167

ROTEIRO DE ENTREVISTA SEMI-ESTRUTURADA

INFORMAES SOBRE O ENTREVISTADO Como o seu nome completo? Qual a sua idade? Qual o seu grau de instruo? Qual o cargo que voc ocupa na FIOCRUZ? Qual a funo que voc exerce na FIOCRUZ? H quanto tempo voc trabalha na FIOCRUZ? H quanto tempo voc trabalha nesta unidade? H quanto tempo voc est nesta funo?

SOBRE A REA DE TI DA UNIDADE Como a rea de TI da unidade formalmente chamada? Qual a quantidade de funcionrios de TI na unidade, considerando servidores, terceirizados, bolsistas e estagirios? E desses funcionrios quantos so servidores? E quantos so terceirizados? Quantas pessoas com outros vnculos, como estagirios e bolsistas, trabalham na rea de TI? Quantos usurios so atendidos pela rea de TI, incluindo servidores, bolsistas, estudantes e terceirizados? Quantos computadores e notebooks tem suporte pela rea de TI da unidade?

168

PERGUNTAS INICIAIS Plano Diretor de TI: A unidade tem um PDTI prprio publicado? Comit Gestor de TI: A unidade tem um Comit de TI, CGTI ou algum grupo formalmente designado para tomar decises sobre priorizao de projetos e investimentos da rea de TI da unidade?

Poltica de Segurana da Informao: A unidade tem uma Poltica de Segurana da Informao documentada e publicada?

Comit de Segurana da Informao: A unidade tem um Subcomit de Segurana da Informao ou algum grupo formalmente designado para tratar de polticas de segurana da informao?

169

ALINHAMENTO ESTRATGICO E COMPLIANCE ALINHAMENTO ESTRATGICO Compromisso da direo da unidade: P1. Como o processo de tomada de decises estratgicas para a rea de TI da unidade? Fonte: coordenador de TI P2. A direo da unidade tem tomado medidas que demonstrem compromisso com a Governana de TI? Fonte: coordenador de TI Participao do chefe da rea de TI nas decises estratgicas da unidade: P3. Como a participao do chefe da rea de TI nas decises estratgicas da unidade? Fonte: coordenador de TI Requisitos de negcio para a TI: P4. Os requisitos de negcio so o que se espera que a rea de TI apie, garanta, implemente ou integre para que a organizao alcance suas estratgias. Quais so os requisitos de negcio para a rea de TI da unidade? Esses requisitos de negcio esto claramente identificados e documentados? Fonte: coordenador de TI P5. Como foram decididos quais so esses requisitos de negcio para a rea de TI? Fonte: coordenador de TI Comit Gestor de TI: P7. Como so tomadas as decises estratgicas de TI na unidade? Existe um Comit Gestor de TI ou algum grupo formalmente designado para tomar decises estratgicas relacionadas rea de TI? Fonte: coordenador de TI Plano Diretor de TI: P8. A unidade tem um PDTI prprio elaborado, publicado e vigente? Fonte: coordenador de TI Adoo e aderncia (compliance) a modelos de melhores prticas, normas de Governana de TI e legislao: P9. A unidade adota alguma metodologia ou modelo de melhores prticas de Governana de TI, como COBIT e ITIL, ou a norma ABNT para segurana da informao?

170

Fonte: coordenador de TI P10. Como voc classifica o respeito ou a adoo das Instrues Normativas do Governo Federal para as aquisies e contrataes de TI? Elas so respeitadas em todas as aquisies e contrataes? Fonte: coordenador de TI P11. Como voc classifica a adoo dos padres e-PING, de interoperabilidade, e eMAG, de acessibilidade, publicados pelo Governo Federal, nos sistemas e websites da unidade? Voc conhece a e-PING e o e-MAG? P12. Como foi a participao da unidade na elaborao da Poltica de Segurana da Informao e Comunicao da FIOCRUZ? A Poltica vem sendo seguida pela unidade? Fonte: coordenador de TI

PRINCPIOS DE TI Princpios de TI: P13. Princpios de TI so definidos na literatura sobre Governana de TI como regras gerais da organizao que servem para subsidiar a tomada de deciso sobre a arquitetura e a infraestrutura de TI, a aquisio e desenvolvimento de software e equipamentos, a gesto de ativos e o uso de padres, e que devem ser seguidas por todos os colaboradores da organizao. A unidade tem definidos seus Princpios de TI? Como foram definidos os Princpios de TI da unidade? Fonte: coordenador de TI

NECESSIDADES DE APLICAES Sistemas e aplicaes necessrios: P14. Foram identificados os sistemas e aplicaes que a unidade necessita para apoiar seus objetivos estratgicos? Fonte: coordenador de TI P15. Como isso foi feito e com base em qu? Fonte: coordenador de TI

ARQUITETURA DE TI Padronizao de dados de sistemas e aplicaes: P16. Os padres de dados e dicionrios de dados dos sistemas utilizados localmente na unidade esto definidos e documentados? Fonte: coordenador de TI

171

Identificao e catlogo de sistemas: P17. Como so identificados os sistemas desenvolvidos internamente ou por terceiros utilizados na unidade? Eles so cadastrados em algum catlogo? Fonte: coordenador de TI Reutilizao de componentes de sistemas e aplicaes: P18. A unidade tem algum processo ou procedimento para reutilizao de cdigos ou componentes de sistemas? Esse processo ou procedimento est documentado? Fonte: coordenador de TI Integrao e compartilhamento de dados entre sistemas e aplicaes: P19. Como feita a integrao e o compartilhamento de dados entre sistemas novos e antigos? Quando um sistema desenvolvido ou implantado, so analisadas as possibilidades de integrao e compartilhamento de dados? Existe um procedimento ou checklist para isso? Fonte: coordenador de TI Integrao e compartilhamento de infraestrutura entre sistemas e aplicaes: P20. E como feita a integrao e o compartilhamento de infraestrutura entre sistemas e aplicaes? feita uma anlise para isso quando um sistema desenvolvido ou implantado? Existe um procedimento ou checklist? Fonte: coordenador de TI

INFRAESTRUTURA DE TI Necessidades de servios de infraestrutura de TI: P21. Para esta pesquisa, consideramos servios de infraestrutura de TI aqueles servios oferecidos normalmente atravs da rede de computadores, como correio eletrnico, servios e sistemas web, intranet, webmail, servidores de arquivos e de impresso em rede, proxy, servidores de terminais, DNS e DHCP, entre outros. A rea de TI da unidade tem esses servios identificados e documentados? Fonte: coordenador de TI Necessidades de recursos computacionais: P22. A rea de TI conhece as necessidades de hardware e software para atender aos requisitos da unidade? Como essas necessidades so identificadas? Fonte: coordenador de TI Banco de Dados de Gerenciamento da Configurao: P23. A unidade utiliza um Banco de Dados de Gerenciamento da Configurao? Como esse banco de dados atualizado?

172

Fonte: coordenador de TI P24. Que tipo de informaes esse banco de dados contm? Hardware e software? Inclui todos os equipamentos de TI? Fonte: coordenador de TI Biblioteca de Software Institucional: P25. Como so identificados os softwares de prateleira utilizados na unidade? A rea de TI mantm uma biblioteca contendo informaes sobre todos esses softwares? Fonte: coordenador de TI P26. Como feito o controle das licenas dos softwares de prateleira que a unidade possui? Fonte: coordenador de TI OBJETIVOS DE DESEMPENHO Metas de desempenho para a rea de TI: P27. Como feita a avaliao da rea de TI na unidade? A rea de TI avaliada com base em metas quantitativas de desempenho acordadas com a direo? Fonte: coordenador de TI Acordos de nvel de servio: P28. A unidade utiliza como meio de avaliao de servios de TI o cumprimento de acordos de nvel de servio? Fonte: coordenador de TI CAPACIDADE DE ATENDIMENTO Planejamento da capacidade de equipamentos: P29. O planejamento de capacidade de equipamentos o processo que identifica necessidades de melhoria e ampliao da quantidade e da capacidade dos equipamentos que compem a infraestrutura de TI para atender s necessidades da organizao. Como a rea de TI da unidade faz seu planejamento de capacidade para os equipamentos que utiliza? So considerados objetivos de desempenho definidos pela unidade ou acordados entre a rea de TI e a unidade? Fonte: coordenador de TI P30. O que considerado pela rea de TI da unidade quando faz seu planejamento de capacidade dos equipamentos da sua infraestrutura? Os acordos de nvel de servio estabelecidos pela rea de TI so considerados ao planejar a capacidade dos equipamentos? Fonte: coordenador de TI P31. H uma preocupao com o crescimento vegetativo da utilizao dos recursos desses equipamentos?

173

Fonte: coordenador de TI Planejamento da capacidade de software: P32. Da mesma forma que o planejamento de capacidade de equipamentos, o planejamento de capacidade de software procura identificar necessidades de melhoria e ampliao dos softwares utilizados pela organizao. Como feito o planejamento da capacidade de software na unidade? Fonte: coordenador de TI P33. O que considerado pela rea de TI quando faz seu planejamento da capacidade dos sistemas e aplicaes utilizados pela unidade? So considerados os objetivos de desempenho e os nveis de servio acordados? Fonte: coordenador de TI P34. Ao fazer o planejamento de capacidade de software, h uma preocupao com o crescimento vegetativo da utilizao dos softwares, como quantidade de licenas ou de usurios simultneos que cada software suporta? Fonte: coordenador de TI Planejamento da capacidade de recursos humanos: P35. O planejamento da capacidade de recursos humanos identifica a quantidade necessria de profissionais de cada rea dentro da TI e a formao e capacitao que esses profissionais precisam ter para atender s necessidades da organizao. Como feito o planejamento de capacidade de recursos humanos na unidade? Fonte: coordenador de TI P36. O que considerado quando a rea de TI da unidade faz o planejamento de capacidade de recursos humanos? So considerados os projetos e processos que esto atualmente em execuo e aqueles que esto planejados? Fonte: coordenador de TI ESTRATGIA DE OUTSOURCING Estratgia de outsourcing de TI: P37. Como so tomadas as decises sobre o que dever ser terceirizado ou o que dever ser executado por servidores da instituio na rea de TI da unidade? A rea de TI tem uma estratgia de terceirizao definida? Sabe quais servios devem ser terceirizados e como essa terceirizao deve ser feita? Fonte: coordenador de TI SEGURANA DA INFORMAO Plano de continuidade do negcio: P38. A unidade tem um plano de continuidade dos negcios documentado? Fonte: coordenador de TI

174

P39. A unidade tem um plano de continuidade dos servios de TI documentado? Fonte: coordenador de TI Poltica de Segurana da Informao: P40. A unidade tem uma Poltica de Segurana da Informao documentada e publicada? Fonte: coordenador de TI P41. Como foi elaborada a Poltica de Segurana da Informao da unidade? P42. A Poltica de Segurana da Informao da unidade foi elaborada antes ou depois da Poltica de Segurana da Informao e Comunicaes da FIOCRUZ? Comit de Segurana da Informao: P43. Como so tomadas as decises sobre poltica e normas de segurana da informao na unidade? A unidade tem um Comit de Segurana da Informao ou algum grupo que tome decises sobre segurana da informao? Fonte: coordenador de TI P44. Como foi elaborada a Poltica de Segurana da Informao da unidade? Quem elaborou a Poltica de Segurana da Informao na unidade? Fonte: coordenador de TI P45. Como feita a reviso da Poltica de Segurana da Informao da unidade? Quem so os responsveis por fazer essa reviso? o Comit de Segurana da Informao da unidade? Fonte: coordenador de TI P46. A Poltica de Segurana da Informao da unidade foi aprovada por algum? Quem aprovou a Poltica de Segurana da Informao da unidade? Fonte: coordenador de TI COMPETNCIAS Competncias existentes: P47. As competncias dos profissionais que trabalham na rea de TI da nidade so conhecidas? E essas competncias esto documentadas? Fonte: coordenador de TI Competncias necessrias: P48. Operaes de servios de TI so as operaes relacionadas a sistemas, tratamento de incidentes de segurana da informao, suporte ao usurio, implantao e manuteno da infraestrutura. Como feita a definio das competncias que precisam ser contratadas atravs de terceirizao ou por concurso pblico, necessrias especificamente para as atividades de operaes de servios de TI? Essas competncias necessrias esto documentadas?

175

Fonte: coordenador de TI P49. Como feita a definio das competncias que precisam ser contratadas atravs de concurso pblico especificamente para atividades de gesto, segurana da informao e Governana de TI? Essas competncias necessrias esto documentadas? Fonte: coordenador de TI Capacitao dos profissionais de TI: P50. Como feita a identificao das necessidades de capacitao dos profissionais de TI da unidade? Essas necessidades de capacitao esto documentadas? Fonte: coordenador de TI P51. As necessidades de capacitao dos profissionais de TI da unidade ficam sob responsabilidade da rea de TI ou do Servio de RH da unidade? Fonte: coordenador de TI Capacitao dos usurios: P52. Como feita a identificao das necessidades de capacitao dos usurios de TI na unidade em sistemas e aplicaes? Fonte: coordenador de TI P53. Essas necessidades esto documentadas? Fonte: coordenador de TI P54. Essas necessidades so informadas e discutidas junto ao Servio de RH da unidade? Fonte: coordenador de TI PROCESSOS E ORGANIZAO Mapeamento de processos de TI: P55. Os processos de TI da unidade esto mapeados e documentados? Fonte: coordenador de TI P56. Os responsveis pelos processos internos da rea de TI da unidade esto identificados e designados? Fonte: coordenador de TI Funes internas da rea de TI: P57. Como est dividida internamente a rea de TI da unidade? Fonte: coordenador de TI P58. Existem outras subdivises dentro dessas divises internas da rea de TI? A funo ou subrea interna da rea de TI responsvel pelo atendimento ao usurio est dividida em nveis de atendimento de acordo com a complexidade dos incidentes e problemas atendidos?

176

Fonte: coordenador de TI P59. Como so feitos os atendimentos s solicitaes de suporte feitas pelos usurios da unidade? Fonte: coordenador de TI Responsabilidades sobre as funes internas da rea de TI: P60. Cada funo interna da rea de TI tem um responsvel formalmente designado? Fonte: coordenador de TI PLANO DE TI Plano Diretor de TI ou Plano Estratgico de TI publicado: P61. Caso a unidade tenha um PDTI prprio, como ele foi elaborado? Ele foi elaborado utilizando quais documentos de planejamento estratgico da unidade e da FIOCRUZ? Fonte: coordenador de TI Princpios de TI documentados: P62. Os Princpios de TI foram includos no documento do PDTI da unidade? Fonte: coordenador de TI e documento do PDTI Necessidades de aplicaes documentadas: P63. As necessidades de aplicaes da unidade foram includas no seu PDTI? Fonte: coordenador de TI e documento do PDTI Arquitetura de TI documentada: P64. A arquitetura de TI da unidade foi includa no seu PDTI? Fonte: coordenador de TI e documento do PDTI Infraestrutura de TI documentada: P65. A infraestrutura atual de TI da unidade foi includa no seu PDTI? Fonte: coordenador de TI e documento do PDTI P66. As necessidades de hardware da unidade foram includas no seu PDTI? Fonte: coordenador de TI e documento do PDTI P67. As necessidades de software da unidade foram includas no seu PDTI? Fonte: coordenador de TI e documento do PDTI P68. O documento do PDTI da unidade inclui uma lista com o software suportado pela rea de TI? Fonte: coordenador de TI e documento do PDTI

177

P69. O hardware suportado pela rea de TI foi includo no documento do PDTI da unidade? Fonte: coordenador de TI e documento do PDTI Objetivos de desempenho documentados: P70. As metas quantitativas de desempenho para a rea de TI da unidade esto includas no seu PDTI? Fonte: coordenador de TI e documento do PDTI Capacidade de atendimento documentada: P71. O histrico de crescimento da utilizao de recursos de hardware est includo no PDTI da unidade? Fonte: coordenador de TI e documento do PDTI P72. O planejamento de capacidade do hardware est includo no PDTI da unidade? Fonte: coordenador de TI e documento do PDTI P73. O histrico da utilizao de recursos de software est includo no PDTI da unidade? Fonte: coordenador de TI e documento do PDTI P74. O planejamento de capacidade de software est includo no PDTI da unidade? Fonte: coordenador de TI e documento do PDTI P75. O planejamento de capacidade de recursos humanos est includo no PDTI da unidade? Fonte: coordenador de TI e documento do PDTI Estratgia de outsourcing documentada: P76. A estratgia de outsourcing est includa no PDTI da unidade? Fonte: coordenador de TI e documento do PDTI Competncias de TI documentadas: P77. As competncias dos profissionais de TI esto includas no PDTI da unidade? Fonte: coordenador de TI e documento do PDTI P78. As competncias que a rea de TI precisa desenvolver em seus profissionais esto includas no PDTI da unidade? Fonte: coordenador de TI e documento do PDTI P79. As competncias que precisam ser contratadas esto includas no PDTI da unidade? Fonte: coordenador de TI e documento do PDTI Necessidades de capacitao em TI documentadas:

178

P80. As necessidades de capacitao dos profissionais de TI da unidade esto includas no seu PDTI? Fonte: coordenador de TI e documento do PDTI P81. As necessidades de capacitao dos usurios da unidade esto includas no seu PDTI? Fonte: coordenador de TI e documento do PDTI Processos de TI documentados: P82. Os processos de TI da unidade esto includos no seu PDTI? Fonte: coordenador de TI e documento do PDTI Responsabilidades de TI documentadas: P83. Os responsveis pelas funes internas da rea de TI da unidade esto identificados no PDTI? Fonte: coordenador de TI e documento do PDTI P84. Os responsveis pelas atividades desempenhadas na rea de TI esto identificados no PDTI da unidade? Fonte: coordenador de TI e documento do PDTI Avaliao dos servios: P85. Os nveis de servio requeridos pela unidade esto documentados no seu PDTI? Fonte: coordenador de TI e documento do PDTI Priorizao de projetos de TI: P86. Os projetos de desenvolvimento de software esto priorizados e includos no PDTI? Fonte: coordenador de TI e documento do PDTI P87. Os projetos de infraestrutura esto priorizados e includos no PDTI? Fonte: coordenador de TI e documento do PDTI

DECISO, COMPROMISSO, PRIORIZAO E ALOCAO DE RECURSOS MECANISMOS DE DECISO Estruturas para tomadas de decises sobre TI P88. Como so tomadas as decises sobre Princpios de TI da unidade? Fonte: coordenador de TI P89. Como so tomadas as decises sobre Arquitetura de TI da unidade? Fonte: coordenador de TI

179

P90. Como so tomadas as decises sobre Infraestrutura de TI da unidade? Fonte: coordenador de TI P91. Como so tomadas as decises sobre Necessidades de Aplicaes de TI da unidade? Fonte: coordenador de TI P92. Como so tomadas as decises sobre Investimentos e Priorizao de Recursos de TI da unidade? Fonte: coordenador de TI P93. O Comit Gestor de TI ou o grupo que toma decises relativas ao alinhamento estratgico de TI da unidade conta com a participao de representante da rea de TI? Fonte: coordenador de TI P94. O Comit de Segurana da Informao ou o grupo que toma decises relativas a poltica e normas de segurana da informao na unidade conta com a participao de representante da rea de TI? Fonte: coordenador de TI P95. A direo da unidade sabe quem so os responsveis pelas decises estratgicas da rea de TI na FIOCRUZ e na unidade? Fonte: coordenador de TI P96. As pessoas que identificam as necessidades de solues de TI so as mesmas que decidem sobre a prioridade dessas necessidades? Fonte: coordenador de TI PORTFLIO DE TI Portflio de projetos de TI: P97. Os projetos em execuo ou para serem executados pela rea de TI esto includos no PDTI da unidade? Se no estiverem no PDTI, esto em outro documento? Fonte: coordenador de TI e documento do PDTI P98. Os projetos que sero executados pela rea de TI esto priorizados e documentados no PDTI da unidade? Se no estiverem no PDTI, esto em outro documento? Fonte: coordenador de TI e documento do PDTI P99. Os projetos considerados crticos esto identificados no PDTI da unidade? Se no estiverem no PDTI, esto em outro documento? Fonte: coordenador de TI e documento do PDTI P100. Os riscos relacionados aos projetos esto identificados no PDTI da unidade? Se no estiverem no PDTI, esto em outro documento? Fonte: coordenador de TI e documento do PDTI Catlogo de servios de TI:

180

P101. Os servios prestados pela rea de TI esto listados em um Catlogo de Servios de TI e documentados no PDTI da unidade? Se no estiverem no PDTI, esto em outro documento? Fonte: coordenador de TI e documento do PDTI P102. Os servios de TI considerados crticos e os riscos relacionados esto identificados e documentados no PDTI da unidade? Se no estiverem no PDTI, esto em outro documento? Fonte: coordenador de TI e documento do PDTI P103. Os prejuzos provocados pela interrupo de servios de TI esto identificados e documentados no PDTI da unidade? Se no estiverem no PDTI, esto em outro documento? Fonte: coordenador de TI e documento do PDTI

ESTRUTURA, PROCESSOS, OPERAO E GESTO OPERAES DE SERVIOS Documentao de procedimentos de operao: P104. A rea de TI da unidade tem documentados seus procedimentos de operao, como rotinas de backup, substituio de fitas e monitoramento de equipamentos de rede e servidores? Fonte: coordenador de TI Central de Servios de TI: P105. A unidade tem uma Central de Servios de TI? Fonte: coordenador de TI e observao da unidade P106. A central de servios de TI o nico ponto de acesso dos usurios aos servios de TI na unidade? Todos os incidentes e solicitaes relacionados a TI chegam atravs da Central de Servios? Fonte: coordenador de TI Base de Conhecimentos: P107. A rea de TI documenta procedimentos de suporte e solues para incidentes e problemas conhecidos, possibilitando consultas superiores? Fonte: coordenador de TI Metodologias de desenvolvimento de sistemas: P108. A rea de TI da unidade utiliza anlise por pontos de funo para mensurar o esforo necessrio para desenvolver um sistema? Fonte: coordenador de TI

181

P109. A rea de TI da unidade utiliza algum modelo de melhores prticas para desenvolvimento de sistemas, como CMMI ou MPS-BR? Se utiliza, diga qual ou quais. Fonte: coordenador de TI P110. A rea de TI da unidade utiliza algum padro ou modelo documentado de modelagem de sistemas, como UML? Se utiliza, indique qual ou quais. Fonte: coordenador de TI Metodologias de gerenciamento de projetos: P111. A rea de TI da unidade utiliza alguma metodologia de gerenciamento de projetos, como PMBOK? Se utiliza, indique qual ou quais. Fonte: coordenador de TI Monitoramento de ativos de TI: P112. Como feito o monitoramento dos ativos de TI da unidade? So utilizadas ferramentas automatizadas? Fonte: coordenador de TI Dedicao s atividades de gesto de TI: P113. O coordenador da rea de TI da unidade tambm desempenha funes tcnicas ou dedica-se exclusivamente s atividades de gesto? Fonte: coordenador de TI P114. Como a fiscalizao de contratos de TI quanto s atividades de fiscalizao tcnica e administrativa? As atividades relativas fiscalizao tcnica de contratos de TI esto atribudas a profissionais da rea de TI e as relativas fiscalizao administrativa esto atribudas a profissionais da rea administrativa? Fonte: coordenador de TI P115. Os fiscais tcnicos e administrativos dos contratos de TI so formalmente designados? Fonte: coordenador de TI P116. Para os contratos em que necessrio um fiscal requisitante, como contratos de desenvolvimento de software, esse fiscal formalmente designado? Fonte: coordenador de TI Dedicao s atividades de desenvolvimento: P117. Os profissionais da rea de TI so dedicados quelas atividades s quais tem experincia ou foram capacitados para desempenhar? P118. Os profissionais que trabalham com desenvolvimento de sistemas esto dedicados s atividades de desenvolvimento, ou realizam atividades relacionadas infraestrutura, suporte ou administrao do ambiente? Fonte: coordenador de TI

182

Dedicao s atividades de infraestrutura: P119. Os profissionais que trabalham com operao, suporte, manuteno e administrao da infraestrutura esto dedicados s suas atividades, ou realizam tambm atividades tpicas da rea de desenvolvimento de sistemas? Fonte: coordenador de TI Escritrio de projetos de TI: P120. A rea de TI da unidade conta com uma estrutura ou grupo de pessoas para gerenciar ou apoiar a execuo de projetos de TI? Fonte: coordenador de TI Tratamento de incidentes de segurana da informao: P121. Como so atendidos os incidentes relacionados segurana da informao na unidade? A rea de TI da unidade conta com uma estrutura ou grupo tcnico especfico para tratar de incidentes de segurana da informao? Fonte: coordenador de TI RELACIONAMENTO COM OS USURIOS Avaliao pelos usurios dos servios prestados: P122. Como so avaliados pelos usurios os servios prestados pela rea de TI da unidade? Existe algum meio disponibilizado pela rea de TI para os usurios fazerem essa avaliao? Fonte: coordenador de TI Responsabilidades dos usurios: P123. As responsabilidades dos usurios quanto utilizao dos recursos computacionais e segurana da informao esto documentadas? Fonte: coordenador de TI P124. As responsabilidades sobre a utilizao de recursos computacionais e segurana da informao so apresentadas aos usurios? Os usurios assinam alguma declarao de que tem conhecimento sobre suas responsabilidades quanto utilizao dos recursos computacionais e segurana da informao? Fonte: coordenador de TI P125. Os usurios recebem da rea de TI algum relatrio ou informao sobre as demandas atendidas? Esse retorno eletrnico (e-mail ou sistema) ou por telefone? Fonte: coordenador de TI Acesso aos servios de TI:

183

P126. Quais so os critrios para atendimento dos problemas e incidentes que chegam para a rea de atendimento ao usurio? Ordem de chegada, a critrios conhecidos de priorizao? Fonte: coordenador de TI P127. Como so registradas as solicitaes feitas pelos usurios? A unidade utiliza algum sistema informatizado para registro e acompanhamento das solicitaes? Fonte: coordenador de TI P128. Quais so os meios de acesso dos usurios aos servios de TI? Esses meios de acesso so conhecidos e respeitados pelos usurios? Fonte: coordenador de TI P129. O Catlogo de Servios de TI foi divulgado e est acessvel aos usurios? Fonte: coordenador de TI e Catlogo de Srvios de TI RELACIONAMENTO COM FORNECEDORES Documentao de controle dos contratos: P130. Como feito o registro de incidentes e eventos relacionados aos contratos de TI? Que tipo de informao registrada? Fonte: coordenador de TI Responsabilidades relacionadas a contatos com fornecedores: P131. Os responsveis por realizar contatos com os fornecedores de servios, materiais e bens de TI esto designados? Fonte: coordenador de TI P132. Os fornecedores e prestadores de servios de TI declaram ter conhecimento sobre suas responsabilidades relativas aos contratos? Fonte: coordenador de TI Contratos de TI: P133. Existe um plano documentado para operacionalizar o funcionamento dos servios de TI aps a finalizao no planejada de contratos com prestadores de servios? Fonte: coordenador de TI P134. Existem planos de transferncia para operacionalizar mudanas de prestadores de servios de TI? Fonte: coordenador de TI P135. A unidade utiliza o procedimento elaborado pelo CGTI da FIOCRUZ para contratao de servios de TI? Fonte: coordenador de TI

184

MEDIO DE DESEMPENHO GESTO DE DESEMPENHO DA TI Acordo de nvel de servio em contratos de TI: P136. Todos os contratos de servios de TI estabelecem acordos de nvel de servio entre a unidade e a empresa prestadora de servios? Fonte: coordenador de TI P137. Os contratos de TI que estabelecem acordos de nvel de servio tem previses de penalidades para o no cumprimento desses acordos? Fonte: coordenador de TI P138. Os acordos de nvel de servio dos contratos so estabelecidos com base em que informaes? So utilizados os objetivos de desempenho de TI? Fonte: coordenador de TI Acordo de nvel de servio com a unidade: P139. A rea de TI tem estabelecidos acordos de nvel de servio com a unidade? Fonte: coordenador de TI P140. Os acordos de nvel de servio da rea de TI com a unidade so estabelecidos com base em que informaes? So utilizados os objetivos de desempenho de TI para estabelecer esses acordos de nvel de servio? Fonte: coordenador de TI

185

PERGUNTA COMPLEMENTAR P141. Esta pesquisa tem demonstrado que a adoo de boas prticas de Governana de TI em unidades tcnico-cientficas no uniforme, apesar de a FIOCRUZ ter uma CGTI desde 2009. Na sua opinio, que fatores levam essa diferena na adoo de boas prticas de Governana de TI?