A ABNT ISO/IEC 27005:2011 é a norma brasileira que traz diretrizes para o processo de gestão de riscos de segurança da informação. As fases do processo de gestão de riscos, segundo a norma 27005, são: definição do contexto, processo de avaliação de riscos, tratamento do risco, aceitação do risco, comunicação e consulta do risco, monitoramento e análise crítica de riscos.
A NC4 faz referência a esta norma e recepciona em seu texto praticamente todas as fases do processo de GRSIC apresentadas, alinhando assim um compendio de boas práticas às especificidades do setor público brasileiro.
2.4 - ACORDÃO Nº 3.117 - TCU - PLENÁRIO
O TCU, através da Secretaria de Fiscalização de Tecnologia da Informação (SEFTI), vem realizando sucessivos levantamentos, por meio de questionários, para avaliar a situação da governança e da gestão de TI na APF.
O quarto e mais recente destes levantamentos, objeto deste referencial, foi realizado em 2014 e deu origem ao acórdão 3.117. Neste levantamento, foram selecionadas 373 organizações, que tiveram como principal critério de seleção a representatividade no orçamento da união e a autonomia de governança de TI.
Para validar a situação informada nos levantamentos, a SEFTI realiza, nos anos ímpares, auditorias in loco em parte das organizações. Essas auditorias, além de validarem a situação dos órgãos frente às respostas fornecidas, avaliam a gestão de riscos e o alcance dos resultados de TI, demonstrando o interesse do TCU em uma abordagem focada em riscos. As auditorias realizadas em 2013, referentes ao levantamento de 2012, revelaram que a situação dos órgãos auditados eram menos favoráveis, se comparados ao informado nos questionários.
Segundo (BRASIL, 2014c), uma evolução significativa neste sentido se deu neste último levantamento com a alteração na escala das respostas, que, nos levantamentos anteriores, eram binárias (sim ou não) e passaram a contar com cinco categorias (não se aplica, não adota, iniciou plano para adotar, adota parcialmente, adota integralmente) relativas ao nível de adoção da prática questionada. Essa alteração tende a resultar em respostas mais representativas.
O índice criado pela SEFTI para medir a maturidade de GTI nos órgãos participantes do levantamento foi denominado iGovTI, que é calculado a partir dos resultados do levantamento, que contemplou as dimensões do GesPública, a saber: liderança, estratégias e planos, cidadãos, sociedade, informações e conhecimento, pessoas, processos e resultados. Além do modelo de gestão pública do governo brasileiro, foram utilizados como referência modelos de boas práticas reconhecidos internacionalmente, como o COBIT 5 (Control Objectives for Information and related Technology), a norma ABNT NBR ISO/IEC 27002:2013 e a ABNT NBR ISO/IEC 38500:2008.
O iGovTI foi alterado ampliando os níveis de capacidade. Os níveis atuais são: - 1) Inicial: iGovTI menor que 0,30;
- 2) Básico: iGovTI maior ou igual a 0,30 e menor que 0,50; - 3) Intermediário: iGovTI maior ou igual a 0,50 e menor que 0,7; - 4) Aprimorado: iGovTI maior ou igual a 0,7.
Conforme os resultados de (BRASIL, 2014c), 22% das organizações apresentaram um índice inferior a 0,30, indicando um baixo nível de aderência às práticas de governança e de gestão de TI, sendo que este grupo dificilmente contribuirá no sentido de entregar valor ao negócio, enquanto apenas 8% das organizações apresentaram capacidade aprimorada; neste grupo há grandes chances de que a TI otimize sua contribuição para o alcance dos resultados organizacionais. Nos níveis básico e intermediário se concentrou o maior número de organizações, 70%.
2.4.1 - Avaliação do Processo de Contratação
A SEFTI avaliou a contratação de TI dentro da dimensão processos e ressaltou que a mesma deve ser primeiramente regida pela Lei 8666/93 (BRASIL, 1993), entretanto, este processo ganhou maior especificidade com a IN4 que, desde a sua publicação, vem se estabelecendo como um guia para o gestor público, ao especificar as responsabilidades, as fases e os artefatos que devem ser produzidos ao longo deste processo.
Sendo assim, a avaliação da contratação de TI se deu seguindo o fluxo do processo trazido pela IN4. Neste referencial, apenas os dados relativos à fase de análise de riscos e os resultados obtidos neste quesito foram avaliados, como segue na Tabela 3.
Tabela 3 - Contratação de serviços de TI
Realiza análise dos riscos que possam comprometer o sucesso da contratação Percentual
Iniciou plano 15%
Adota parcial 26%
Adota integral ooooooooooooooooooooooooooooooooooooooooooooooo 44%
Fonte: Brasil (2014c) (adaptado pelo autor)
Segundo (BRASIL, 2014c), apesar do alto valor de 70%, que é a soma dos respondentes que informaram adotar parcial ou integralmente a análise de riscos nos processos de contratação de TI, os 30% de órgãos que ainda não realizam a análise de riscos ou apenas iniciaram algum plano de realizá-la devem ser vistos com preocupação, já que os mesmos ainda se encontram à mercê da sorte para alcançar os resultados esperados em seus processos de contratações e de gestão contratual de TI.
Ainda referente às contratações de TI, na perspectiva da dimensão pessoas, foram inseridas, no levantamento, questões relacionadas ao desenvolvimento das competências do
pessoal de TI e um destes quesitos tratou de avaliar a existência formal, dentro do plano de capacitação dos órgãos, de treinamento específico em contratação e gestão de contratos de TI. O resultado segue apresentado na Tabela 4.
Tabela 4 - Desenvolvimento de competências de TI
Capacitação em contratação e gestão de contratos de TI Percentual
Iniciou plano 14%
Adota parcial 27%
Adota integral ooooooooooooooooooooooooooooooooooooooooooooooo 39% Fonte: Brasil (2014c) (adaptado pelo autor)
Para Brasil (2014c), estes índices demonstram pouca preocupação, por parte dos órgãos, em capacitar os gestores para que realizem processos de contratação de TI mais eficientes e, consequentemente, assegurem a correta gestão dos contratos firmados.
No contexto abrangente do processo de contratação de TI, os dados do levantamento apontaram, segundo (BRASIL, 2014c), um cenário de evolução em relação ao levantamento de 2012, indicando uma maior efetividade dos órgãos no sentido de atender às necessidades do negocio, quando estes contratam soluções de TI, entretanto, o cenário ainda não é o desejado já que o crescimento da maturidade depende do aprimoramento de cada prática relacionada ao processo de contratação de TI e o simples fato de ainda haver órgãos não conformes com tais práticas, mesmo havendo legislação relacionada ao tema, pode sinalizar indícios de irregularidades. No caso específico da gestão de riscos nos processos de contratação de TI, o uso de uma abordagem sistêmica e metódica se mostra relevante por ampliar o conhecimento e por contribuir para o crescimento da maturidade ao se contratar e gerir contratos de TI na APF, podendo ainda trazer melhorias para a gestão do orçamento público e benefícios para os cidadãos.
2.4.2 - Avaliação da Gestão de Riscos
O crescimento da importância conferida à gestão de riscos ficou demonstrado por parte da SEFTI quando esta se propôs avaliar esta prática sob diferentes aspectos, desde a dimensão liderança com a gestão corporativa de riscos e a gestão de riscos de TI até a dimensão processos, onde o processo de gestão de riscos foi detalhadamente avaliado.
A existência de uma política corporativa de gestão de riscos foi avaliada na dimensão liderança e os dados revelaram, conforme mostrado na Tabela 5, que apenas 23% dos órgãos informaram possuir este instrumento de governança; deste percentual, apenas 12% informou adotá-lo integralmente. Segundo (BRASIL, 2014c), a ausência deste instrumento em 54% dos órgãos pesquisados desperta preocupação, já que este é essencial para direcionar as ações corporativas de avaliação dos riscos associados aos objetivos organizacionais.
Tabela 5 - Política corporativa de gestão de riscos
Dispõe de política de gestão de riscos Percentual
Iniciou plano 23%
Adota parcial 11%
Adota integral ooooooooooooooooooooooooooooooooooooooooooooooo 12% Fonte: Brasil (2014c) (adaptado pelo autor)
Os riscos de TI foram avaliados ainda no nível estratégico sob quatro aspectos, como apresentado no Gráfico 1. Os dados revelaram que apenas 8% dos órgãos declararam adotar integralmente diretrizes para gestão de riscos de TI, entretanto, segundo (BRASIL, 2014c), o percentual de 17% dos órgãos que informaram adotar parcialmente tais diretrizes pode ter relação com atividades pontuais de TI, como as contratações de soluções de TI.
Gráfico 1 - Riscos de TI
Fonte: Brasil (2014c)
A formalização dos papeis e responsabilidades, na gestão de riscos de TI, foi avaliada e apenas 7% dos órgãos declararam adotá-la integralmente, enquanto 26% declararam haver
em suas organizações algum plano de adoção inicial. A hipótese levantada por (BRASIL, 2014c) para os 19% que declararam definir parcialmente papeis e responsabilidades recaíram, novamente, sobre algumas atividades de TI isoladas ou sem formalização.
Quanto à definição do apetite ao risco de TI e à tomada de decisão estratégica com base no apetite ao risco, ambas com apenas 4% de adoção integral, foram consideradas por (BRASIL, 2014c) como praticas ainda distantes da realidade da administração pública brasileira.
Para a SEFTI, os resultados revelaram que a alta administração das organizações públicas federais ainda não reconhece a importância da gestão de riscos para que os objetivos institucionais sejam atingidos, mesmo gerindo grandes orçamentos. Atuar sem conhecer os diversos riscos aos quais suas ações estão expostas tem como consequências a provável ineficiência das ações e o desperdício do dinheiro público.
O processo de gestão de riscos de TI, especificamente na dimensão dos processos, teve sua primeira avaliação realizada neste levantamento, como apresentado no Gráfico 2.
Gráfico 2 - Processo de gestão de riscos de TI
Fonte: Brasil (2014c)
As principais etapas do processo de gestão de riscos de TI - identificação, avaliação e tratamento dos riscos - foram avaliadas e os resultados para a adoção integral foram 10%, 9% e 6%, respectivamente. Estes percentuais se elevam um pouco quando somados ao percentual informado para adoção parcial. Segundo (BRASIL, 2014c), estes resultados revelam que grande parte da APF ainda não sabe a que riscos de TI está sujeita, nem a probabilidade de ocorrência e o impacto que a concretização desses riscos pode ter no alcance dos objetivos de TI e da organização. E, ainda, segue argumentando que, mesmo que algumas organizações tenham conhecimento dos riscos de TI, não há uma prática de tratamento satisfatória para que os riscos sejam mantidos em níveis e custos aceitáveis.
Quanto à execução do processo de gestão de riscos de TI e à formalização do mesmo, os resultados da soma das entidades que informaram adotar integralmente com as que informaram adotar parcialmente foram ainda piores que os apresentados para as três práticas anteriores, sendo estes percentuais de 21% para a execução de um processo de gestão de riscos de TI e 14% para a formalização de tal processo.
Para o TCU, em (BRASIL, 2014c),os resultados obtidos neste primeiro levantamento, especifico sobre o processo de gestão de riscos de TI, demonstraram baixa maturidade e uma possível negligencia por parte de alguns órgãos da APF, o que aumenta a probabilidade da TI não entregar resultados ao negócio nos prazos, custos e qualidade acordados, novamente impactando a consecução dos objetivos institucionais. A SEFTI conclui relacionando o baixo nível de adoção desta prática ao baixo nível de adoção das práticas de governança responsáveis por viabilizar a gestão de riscos.
3 - METODOLOGIA
Este capítulo apresenta a classificação e a descrição da pesquisa, onde são descritos os passos dados para que os objetivos fossem atingidos.
3.1 - CLASSIFICAÇÃO DA PESQUISA
Para Gil (2010), é natural que as pesquisas sejam classificadas, já que as mesmas abordam os mais diversos objetos e se prestam aos mais diferentes objetivos. Para os autores Gil (1999), Silva e Meneses (2005) e Moresi (2003), as pesquisas recebem classificações de acordo com a finalidade (básica ou aplicada), os objetivos (exploratória, descritiva ou explicativa), a abordagem do problema (qualitativa ou quantitativa), o local onde é realizada (bibliográfica, de campo e de laboratório) e os procedimentos técnicos (pesquisa bibliográfica, pesquisa documental, levantamento, estudo de caso, pesquisa-ação, pesquisa participante, pesquisa experimental, pesquisa Ex-Post-Facto).
Quanto à finalidade, esta pesquisa pode ser classificada como aplicada, pois, conforme Gil (1999), tais pesquisas são voltadas à aquisição de conhecimentos com vistas à aplicação numa situação específica.
Quanto aos objetivos, segundo Silva e Menezes (2005), esta pesquisa pode ser classificada como descritiva, pois visa descrever as características de determinada população, ou fenômeno ou o estabelecimento de relações entre variáveis.
Quanto à abordagem, esta pesquisa é classificada, predominantemente, como
quantitativa, pois, para Moresi (2003), abordar o problema desta forma significa traduzir em
números as opiniões e informações para poder classificá-las e analisá-las. Ainda sobre a pesquisa quantitativa, o autor afirma que esta abordagem pode requerer a utilização de recursos e de técnicas estatísticas que, neste trabalho, foram utilizados para analisar os resultados obtidos, valendo-se do levantamento, procedimento técnico que permite a generalização das conclusões para o total de uma população e assim para o universo pesquisado.
Especificamente sobre o levantamento de dados, também conhecido como survey, Pinsonneault e Kraemer (1993) o descrevem como a obtenção de dados ou informações sobre características, ações ou opiniões de determinado grupo de pessoas, indicados como representantes de uma população-alvo, por meio de um instrumento de pesquisa, normalmente um questionário, que Malhotra (2001, p. 179) complementa, afirmando que tal técnica deve se valer de um questionário estruturado, seja de uma série de perguntas escritas ou verbais,
aplicado a uma amostra da população, visando obter informações específicas dos entrevistados.
Gunther (2003) aponta que as vantagens da utilização do survey estão ligadas à qualidade e à utilização dos dados obtidos e que este tipo de levantamento por amostragem assegura uma melhor representatividade. Entretanto, Mattar (1999) ressalta como ponto fraco neste tipo de levantamento a subordinação à sinceridade dos respondentes, já que a emoção ou a relação com a instituição podem influenciar nas respostas.
Do entendimento de que este procedimento técnico era adequado para atingir os objetivos da pesquisa, o survey foi escolhido e utilizado a fim de alcançar o maior número de respondentes em um curto espaço de tempo.
3.2 - DESCRIÇÃO DA PESQUISA
A presente pesquisa propõe avaliar a percepção dos gestores da APF, em relação à conformidade à etapa de gestão de riscos, dentro dos processos de contratações de soluções de TI regidos pela IN4. Partindo desta premissa e tendo como norte os objetivos propostos, foi identificada a maturidade do setor público brasileiro em GRSIC através da análise dos resultados dos levantamentos periódicos realizados pelos órgãos de controle externo e foi desenvolvido e aplicado um questionário que avaliou a percepção de gestores da APF em relação à conformidade ao processo de gestão de riscos, especificamente nas contratações de TI, e por fim os resultados obtidos foram analisados.
O modelo apresentado no Quadro 2 objetiva resumir quais etapas e fases foram seguidas no desenvolvimento da pesquisa.
Quadro 2 - Fases e etapas da pesquisa
D is se rt aç ão
Iniciação Planejamento Execução Finalização
Pesquisa e levantamento preliminar. Definição do problema, objetivos, referencial teórico e metodologia.
Aplicação do questionário. Redação do capítulo de resultados e análises.
Definição do tema. Definição da ferramenta de pesquisa.
Análise dos resultados. Redação da conclusão.
Revisão da Literatura.
Aplicação de pesquisa piloto.
A pesquisa foi dividida em quatro fases: iniciação, planejamento, execução e finalização que, por sua vez, estão divididas em etapas. As seções seguintes detalham cada uma dessas fases e etapas.
3.2.1 - Iniciação
A primeira fase da pesquisa divide-se em três etapas: pesquisa e levantamento preliminar, definição do tema e revisão da literatura.
• Pesquisa e levantamento preliminar
Nesta etapa, foi realizado um levantamento prévio a fim de definir uma proposta de tema a ser pesquisado. Esta etapa se desenvolveu através de orientações e pesquisas em portais acadêmicos com o objetivo de obter um panorama sobre a temática gestão de riscos e processos de contratação de soluções de TI na APF.
• Definição do tema
Após a realização da pesquisa preliminar avaliando a aderência do tema ao programa de pós-graduação da UCB e da constatação de um campo de pesquisa viável, em que a temática, processo de contratação de soluções de TI no contexto da IN4 vinha sendo explorada por vários pesquisadores, optou-se por pesquisar a percepção dos gestores da APF, especificamente sobre o processo de gestão de riscos nas contratações.
• Revisão da literatura
Nesta etapa, uma revisão de literatura, descrita no capítulo 1, se deu em portais acadêmicos, valendo-se de protocolos de pesquisa para selecionar publicações que abordassem a temática definida e, assim, o estado das pesquisas que abordassem temas correlatos fosse conhecido. A princípio, devido às especificidades da temática escolhida, a revisão buscou apenas publicações nacionais, abordagem esta que se aprimorou após a etapa de qualificação, em que membros da banca sugeriram uma nova revisão, agora buscando termos no idioma inglês em bases internacionais, consideração que enriqueceu esta dissertação, ampliando o entendimento sobre gestão de riscos nos processos de contratação de TI no setor público internacional.
3.2.2 - Planejamento
A segunda fase da pesquisa dividiu-se em três etapas: definição do problema, objetivos, referencial teórico e metodologia, definição da ferramenta de pesquisa e aplicação de pesquisa piloto.
• Definição do problema, objetivos, referencial teórico e metodologia.
A partir da revisão de literatura, técnicas de metodologia científica e orientações, foram definidas; a questão de pesquisa, o objetivo geral e os objetivos específicos o referencial teórico e a metodologia a ser aplicada.
• Definição da ferramenta de pesquisa
A ferramenta definida e utilizada na aplicação e coleta dos dados foi o SurveyMonkey (www.surveymonkey.com), ferramenta versátil e que se mostrou adequada a atender todas as etapas da pesquisa.
• Aplicação de pesquisa piloto
Foi aplicado um questionário piloto a um servidor público de carreira, com atuação na área de TI, com experiência na condução de processos de contratação e lotado numa autarquia especial, órgão este participante do SISP. Foi disponibilizado um link na Internet para o respondente.
3.2.3 - Execução
A terceira fase da pesquisa dividiu-se em duas etapas: aplicação do questionário e análise dos resultados.
• Aplicação do questionário
Nesta etapa, que sucedeu a qualificação do projeto foram acatadas as sugestões oriundas da aplicação piloto e das considerações dos membros da banca concernentes ao questionário. O novo questionário adequado contou com dois conjuntos de questões, além das questões relacionadas ao perfil dos respondentes, que foram ampliadas. O primeiro conjunto teve como referência praticamente literal os incisos e parágrafos do 13º artigo da IN4 e o segundo teve como referência as diretrizes para o processo de gestão de riscos da NC4. As assertivas, assim como foram redigidas e apresentadas pela ferramenta utilizada, podem ser consultadas nos Apêndice A e B.
O questionário foi enviado a uma lista de contatos e teve, majoritariamente, como público alvo diretores, coordenadores, gestores de TI, membros de equipes de planejamento de contratação, pessoal de áreas finalísticas e pessoal administrativo de vários órgãos da APF.
Alguns dados sobre a amostra de respondentes foram consolidados em tabelas com o intuito de trazer maiores informações demográficos a esta pesquisa. Um total de 15 órgãos, de diferentes poderes, foram informados pelos respondentes em uma questão optativa, como segue mostrado na Tabela 6.
Tabela 6 - Órgãos informados pelos respondentes
PR - Presidência da República ME - Ministério do Esporte
MTE - Ministério do Trabalho e Emprego
MDS - Ministério do Desenvolvimento Social e Combate à Fome TST - Tribunal Superior do Trabalho
TCU - Tribunal de Contas da União CJF - Conselho da Justiça Federal
IRD - Instituto de Radioproteção e Dosimetria STN - Secretaria do Tesouro Nacional MPF - Ministério Público Federal
CNEN - Comissão Nacional de Energia Nuclear
CDTN - Centro de Desenvolvimento da Tecnologia Nuclear ANATEL - Agência Nacional de Telecomunicações
IBAMA - Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis CRCN-NE - Centro Regional de Ciências Nucleares do Nordeste
Fonte: O autor (2015)
As informações referentes aos cargos ocupados pelos respondentes e o percentual de cargos de direção e de gestão/operacional, foram tabulados e apresentados na integra como mostrado na Tabela 7.
Tabela 7 - Cargos informados pelos respondentes
33% Cargos de Direção 67% Cargos Gestão/Operacionais
Coord. de Infraestrutura de TIC Analista de Sistemas Gestor de TI
Coord. de Infraestrutura Administrador/Gestor de TI Técn. Judiciário - Área Administrativa Diretor de TI Gerente de Contrato Analista em Tecn. da Informação Chefe de Serviço Analista de Ciência e Tecnologia Gerente de Projetos
Secretário de Planej. Governança e Gestão Analista em Tecn. da Informação Analista
Subsecretário de Tecnologia e Sup. Técnico Tecnologista Gerente de Projetos Secretário de TI Pregoeiro Gerente de Projetos de TI