O Tribunal de Contas da União (TCU), nos últimos cinco anos, com base nos orçamentos anuais cada vez maiores decorrentes do uso intensivo e maciço de TI, na complexidade do tema e na enorme ocorrência de irregularidades e denúncias, passou a debruçar-se sistematicamente sobre o emprego e as contratações de Tecnologia da Informação e Comunicações (TIC) realizadas pelos órgãos públicos da APF.
Como parte desse trabalho sistemático, e diante das diretrizes traçadas pelo Acórdão 1.603/2008 - TCU-Plenário (BRASIL, 2008c, p.49), realizou-se no ano de 2010 o Levantamento de Auditoria da TC nº 000.390/2010-0, cujo objeto de fiscalização é a GTI na APF (BRASIL, 2010e, p.1). Esse levantamento se deu num universo de 315 (trezentos e quinze) órgãos jurisdicionados ao TCU com um total de 265 (duzentos e sessenta e cinco) respondentes, o que equivale a 84% da amostra inicial. Esses órgãos foram submetidos a um questionário off-line com 30 (trinta) questões organizadas de acordo com 7 (sete) dimensões do Gespública (liderança, estratégias e planos, cidadãos, sociedade, informações e conhecimento, pessoas e processos), totalizando assim 152 (cento e cinqüenta e dois) itens. Os insumos para a elaboração do questionário foram:
as recomendações do Acórdão nº 1.603/2008 - TCU-Plenário;
o Gespública - programa federal de Gestão Pública estabelecido pelo Decreto n° 5.378, de 23 de fevereiro de 2005;
a legislação brasileira vigente;
os padrões e frameworks reconhecidos internacionalmente:
o COBIT 4.1 (Control OBjectives for Information and related Technology); a ABNT NBR ISO/IEC 27002:2005 - segurança da informação; e
a ABNT NBR ISO/IEC 38500:2009 - governança corporativa de TI.
O Acórdão 1.603/2008 - TCU-Plenário (BRASIL, 2008c), anteriormente citado, originou-se a partir do primeiro levantamento relacionado à GTI realizado pelo TCU
em 2007. Esse levantamento se deu sobre um universo de 333 (trezentos e trinta e três) órgãos jurisdicionados ao TCU com um total de 255 (duzentos e cinqüenta e cinco) respondentes, o que equivale a 77% da amostra inicial. Esses órgãos foram submetidos a um questionário on-line com 39 (trinta e nove) questões baseadas nas normas técnicas brasileiras NBR ISO/IEC 17.799:2005, NBR ISO/IEC 15.999-1:2007 e no Control OBjectives for Information and related Technology (COBIT 4.1). Dependendo das respostas dadas, deveriam ser anexados eletronicamente documentos que as evidenciassem.
De posse dos resultados dos dois levantamentos, o TCU comparou os dois estudos, o de 2007 e o de 2010, conforme mostrado no Gráfico 1. (BRASIL, 2010e, p.49).
Gráfico 1. Radar comparativo dos levantamentos de Governança de Tecnologia da Informação realizados nos anos de 2007 e 2010.
Fonte: TCU (BRASIL, 2010e, p.49).
Cabe aqui ressaltar que, apesar das diferenças estruturais entre os dois levantamentos, foi possível realizar as comparações em bases sólidas graças ao trabalho de consolidação das duas pesquisas realizado pela equipe da SEFTI/TCU. A comparação apresentada corresponde às respostas de 223 (duzentos e vinte e três) órgãos públicos que participaram dos dois levantamentos.
Percebe-se no Gráfico 1 que alguns indicadores evoluíram, outros permaneceram no mesmo nível e outros regrediram. Chama a atenção principalmente o grupo de questões de 1 a 3 sobre o Planejamento Estratégico Institucional, Planejamento Estratégico de Tecnologia da Informação e Comitê de TI. Isso porque o resultado direto do bom planejamento deve nortear, em tese, toda a ação dos órgãos públicos no que tange a Gestão e Governança de TI. O Gráfico 2 expressa a comparação desse grupo de questões de forma mais focalizada:
Gráfico 2. Evolução dos indicadores de Planejamento Estratégico.
Fonte: TCU (BRASIL, 2010d, p.14).
Conforme se pode constatar, o quesito Planejamento Estratégico Institucional apresentou uma evolução da ordem de 50% em 2010 comparado a 2007 (passou de 53% para 79%). Já os quesitos Planejamento Estratégico de TI e Comitê de TI permaneceram estáveis, praticamente nos mesmos níveis (o primeiro passou de 41% para 39% e o segundo estacionou em 32%). Isso não deveria acontecer, uma vez que essas são ações relacionadas e interdependentes.
Seria de se esperar que em organizações comprometidas com a melhoria contínua e a evolução do seu nível de gestão e governança de TI, o resultado fosse bem diferente. No mínimo esperava-se que tivessem taxa de crescimento compatível com a do primeiro indicador, expressando assim o compromisso de adoção de boas práticas e cumprimento da legislação e normas. A jurisprudência e as normas existentes associam explicitamente as práticas relacionadas a esses indicadores.
Diante dessa estagnação, incompatível com o forte crescimento do primeiro indicador, tem-se um indício de falta de maturidade na GTI por parte dos órgãos em questão (BRASIL, 2010e, p.11).
O Ministro do TCU Guilherme Palmeira adverte (BRASIL, 2008e, p.13):
A existência de um comitê diretivo de TI (IT Steering Committee), que determine as prioridades de investimento e alocação de recursos nos diversos projetos e ações de TI, é de fundamental importância para o alinhamento entre as atividades de TI e o negócio da organização, bem como para a otimização dos recursos disponíveis e a redução do desperdício.
Por sua vez, o Ministro do TCU Augusto Sherman Cavalcanti (2010, p.10) destaca:
É de extrema importância a existência de um Comitê Executivo de TI, composto por representantes das diversas áreas executivas da organização, que decida sobre priorização de projetos e ações e o alinhamento do investimento em TI com os objetivos e diretrizes estratégicas do órgão ou entidade. Dessa maneira, a decisão sobre os gastos com TI não recaem exclusivamente sobre a área de TI, mas é compartilhada por todas as áreas da organização que são suportadas pelos serviços de TI. O consenso, neste caso, faz muita diferença.
A Secretaria de Logística e Tecnologia da Informação (SLTI) do Ministério do Planejamento, Orçamento e Gestão (MPOG), por meio da Instrução Normativa SLTI Nº 4 de 2010 (Brasil, 2010b) e da Estratégia Geral de Tecnologia da Informação - EGTI 2011-2012 (Brasil, 2010a), fomenta fortemente, no poder executivo, a criação, implantação e atuação efetiva dos Comitês de GTI. Como demonstração desse esforço, em Setembro de 2011, realizaram o lançamento da obra: ‘Guia para criação e funcionamento do Comitê de TI’ (BRASIL, 2011a) disponível para download no sítio www.sisp.gov.br/guiacomiteti/wiki/apresentacao.
O Gráfico 3 reflete o fruto dessa política no Poder Executivo. Refere-se a trabalho de Ribeiro, Barros e Pereira (2011, p.19), que extraiu do Auto-diagnóstico realizado anualmente pela SLTI, junto aos seus órgãos jurisdicionados: Sistema de Administração de Recursos de Informação e Informática (SISP), informações sobre a criação e existência dos Comitês de GTI.
Gráfico 3. Evolução dos CGTI no âmbito do sistema SISP.
Fonte: RIBEIRO, 2011.
Percebe-se claramente o êxito do trabalho de estímulo a criação e implantação dos Comitês de GTI, no SISP do poder Executivo. Em suas respectivas alçadas, os demais Órgãos Governantes Superiores devem estar agindo de forma similar.
Cabe aqui uma observação importante, de que os órgãos jurisdicionados à SLTI/MPOG, objetos do estudo supracitado, representam proporcionalmente metade dos órgãos estudados nos levantamentos do TCU. Portanto, a taxa de crescimento no número de comitês de TI no estudo da SLTI não é conflitante, a princípio, com os resultados do levantamento de 2010 do TCU que indicam uma estagnação. Além disso, não se sabe, a rigor, se os órgãos da amostra do estudo da SLTI também participaram dos levantamentos do TCU.
Conforme pode-se notar os comitês estão sendo criados e implantados, mas naturalmente seria salutar o questionamento e/ou investigação sobre a real atuação desses Comitês de GTI, bem como os ganhos advindos da sua ação.
Nesta pesquisa não foram identificados na literatura trabalhos que estudem, através de métodos qualitativos e/ou quantitativos, a atuação desses comitês na APF brasileira.
O Acórdão 2.471/2008 (BRASIL, 2008d, p.32) de Tema de Maior Significância (TMS) com Fiscalização de Orientação Centralizada (FOC) trouxe, entre outros aspectos, recomendações acerca dos projetos básicos e da utilização da modalidade pregão na contratação de serviços de TI. Diante dos inúmeros achados, o Ministro-relator Benjamin Zymler profere em seu voto (BRASIL, 2008d, p.33):
10. Após analisar os resultados da avaliação da governança de TI empreendida por esta Corte, verifiquei a existência das seguintes falhas graves:
- ainda que haja comitês de TI instituídos em alguns entes, normalmente esses comitês não são atuantes; (grifo nosso)
…
No Gráfico 4 são explicitados os resultados obtidos nas questões sobre as ações de promoção da GTI realizadas pela alta administração dos órgãos pesquisados. Deve-se notar que não são realizadas comparações entre os dois levantamentos, uma vez que essas informações somente foram coletadas no levantamento mais recente de 2010. Mas resta a seguinte pergunta, como a alta administração se compromete com a GTI em seus órgãos?
Gráfico 4. Questões referentes ao desempenho institucional na gestão e uso da TI.
Fonte: TCU (BRASIL, 2010d, p.31).
Mais uma vez tem-se a sinalização de falta de maturidade através do baixo comprometimento da alta administração dos órgãos públicos com a GTI de seus órgãos. Praticamente metade dos órgãos pesquisados não se responsabilizam pelas políticas de TI e não designaram comitês de TI. Daqueles que o fazem, aproximadamente 3/4 (três/quartos) não monitoram a atuação desses comitês e 3/5 (três/quintos) não designaram representantes da área de negócio para compor esses comitês.
O Ministro-Relator do TCU Aroldo Cedraz (BRASIL, 2010d, p.32) ainda complementa enfaticamente: “o dirigente que não se responsabiliza pelas políticas de TI, não sentirá necessidade do apoio de um comitê, menos ainda de acompanhar seu funcionamento”.
Em termos mundiais, Huff, Maher e Munro (2006) reconhecem a existência de um deficit de atenção nos boards das corporações com relação a questões relevantes de TI. Em pesquisa realizada com o presidentes de boards e CIOs de 17
(dezessete) corporações americanas, de médio para grande porte, constataram que, por unanimidade, a única questão que esses boards prestam atenção diz respeito ao risco da TI. Esses autores finalizam com seis dicas para reduzir esse deficit de atenção com a TI (HUFF, MAHER e MUNRO, 2006, p.62): i) incluir o tema TI na agenda do board; ii) convidar o CIO para as reuniões do board; iii) estimular breves apresentações do CIO para aculturar o board sobre TI; iv) recrutar membros do board com experiência em TI; v) fazer o board falar sobre TI; e vi) compreender que hoje os boards operam na era do conhecimento, na sociedade da informação.
O problema é que na APF brasileira esses números são alarmantes: praticamente metade da alta administração dos órgãos públicos (o equivalente ao board) da APF não se responsabilizam pela GTI e também não constituem grupo colegiado que se responsabilize ou governe a TI. A título de curiosidade: Será que eles pelo menos se preocupam com o risco associado a TI? O levantamento de 2010 do TCU indica que apenas 16% dos órgãos fazem análise de risco (BRASIL, 2010d, p.18).
Tony J. Read (2004, p.105), no contexto norte-americano, enumera as razões da importância da GTI e, de forma indireta, porque a alta administração deve prestar mais atenção à GTI:
50% do capital de investimento norte-americano são gastos com TI: dentro de dez anos, os gastos com TI devem triplicar para
uma média de 10% das vendas;
fusão TI-Negócio: a TI é o negócio e o negócio é a TI; 70% dos projetos de TI não entregam os resultados esperados:
apenas 16% dos projetos de TI são entregues no prazo e dentro do orçamento original;
31% dos projetos são cancelados antes de ficarem prontos, custando 81 bilhões de dólares;
um trilhão de dólares seriam gastos em investimentos de baixo desempenho nos Estados Unidos nos próximos cinco anos;
90% das corporações são afetadas por brechas de segurança de TI: estima-se que já se perderam 20 bilhões de dólares em ativos
como resultado de ataques de negação de serviço desde meados da década de 1990;
estima-se que, apenas em 2001, se perderam 13 bilhões de dólares mundo afora decorrentes da ação de códigos maliciosos; e
O Ministro do TCU Augusto Sherman Cavalcanti (2008, p.4) apresenta os seguintes achados em auditorias do TCU que, além de explicitarem um aspecto da APF brasileira, configuram elementos irrefutáveis da falta ou inefetividade de GTI:
frequente carência de pessoal em quantidade e qualidade necessárias;
frequente ausência ou precariedade do processo de planejamento institucional e de TI;
ausência ou precariedade de processos formais para gerenciar os serviços de TI, os processos de software, a segurança da informação e os investimentos em TI.
Destacam-se aqui alguns pontos: i) tem-se, portanto, que a GTI diz respeito a toda a organização e impacta significativamente todo o negócio; ii) tem-se que a GTI não é uma mera questão de conformidade com políticas e mitigação de riscos; muito mais do que isso, diz respeito ao retorno para os acionistas e, no caso do setor público, para os cidadãos; iii) acredita-se que hoje essa realidade não seja muito diferente em todo o mundo, pelo menos proporcionalmente, apesar dos dados citados por Read (2004) referirem-se à realidade norte-americana e serem relacionados a pesquisas publicadas em 2003; iv) o prognóstico feito pelo Min. Sherman do TCU sobre a GTI na APF é muito grave; e v) conforme será mencionado, somente no ano de 2011, o orçamento federal previsto para gastos com TI era da ordem de 18 bilhões de reais, ou seja, aproximadamente 10 bilhões de dólares.
Diante do exposto, possivelmente a alta administração da APF brasileira ainda não tenha tomado ciência do seu papel primordial e indelegável na GTI. Essas análises ajudam a entender a origem do baixo índice de Comitês de TI e a sua representatividade parcial (demonstrando a miopia da alta administração quanto à participação dos setores de negócio nas decisões estratégicas de TI da organização). Isso expressa grande falta de maturidade.
Percebe-se, portanto, que apesar dos normativos, da jurisprudência firmada e do forte trabalho dos órgãos de controle e dos órgãos governantes superiores, os Comitês de Governança de Tecnologia da Informação da administração pública federal, em sua grande maioria, estão em fase bastante inicial, com atuação tímida e imperceptível.