GOVERNANÇA DE TI NA FIOCRUZ

Até a criação da Coordenação de Gestão de Tecnologia da Informação (CGTI), em agosto de 2009 (FUNDAÇÃO..., 2009), não havia na FIOCRUZ uma instância que tivesse a função de dirigir de maneira centralizada a TI institucional. Historicamente, não foram muitas as tentativas de planejar ações relacionadas a TI de maneira centralizada e estratégica na FIOCRUZ, e poucas dessas ações planejadas foram levadas adiante. Isso foi observado por Marques (2011) ao pesquisar os documentos e relatórios produzidos nos Congressos Internos da FIOCRUZ3, realizados nos anos de 1988, 1994, 1998, 2002, 2005 e 2010. As decisões tomadas antes da CGTI eram normalmente discutidas em reuniões da Subcâmara Técnica de Informática e não obrigavam as unidades a segui-las – eram apenas recomendações feitas pelos profissionais de TI das unidades que participavam dessas reuniões.

As áreas de TI das unidades da FIOCRUZ podem ter diferentes denominações, como serviço, seção, setor, departamento ou coordenação. Em sua pesquisa, que envolveu todas as unidades da FIOCRUZ, Marques (2011) descobriu que a área de TI não está presente no organograma de cinco das 21 unidades. Descobriu também que, a depender da unidade, a TI pode estar subordinada ao serviço de Administração, à Vice-Diretoria de Gestão ou à Vice- Diretoria de Ensino, Informação e Comunicação, e que, em um caso, a TI está subordinada a duas áreas distintas. Além disso, em dez unidades, a área de TI acumula responsabilidades não relacionadas a TI, como Informação, Comunicação e Planejamento.

Marques (2011) identificou também que apenas 24,5% dos 314 profissionais de TI da FIOCRUZ são servidores públicos. Além disso, três das 21 unidades não contam com profissionais de atendimento e suporte ao usuário, mas todas contam com profissionais trabalhando com desenvolvimento de sistemas. Os fatos de desenvolverem atividades semelhantes – pesquisa, ensino, desenvolvimento tecnológico, informação e atividades de

3

O Congresso Interno da FIOCRUZ é uma reunião que acontece a cada quatro anos, onde a comunidade, representada por delegados eleitos nas unidades, participa das deliberações sobre assuntos estratégicos relacionados à Instituição.

apoio, como gestão e comunicação – e de integrarem a mesma organização levam as unidades a necessitarem de serviços, sistemas e aplicações semelhantes ou comuns a todas elas. Por isso, é particularmente estranho algumas unidades não terem profissionais de suporte – embora todas utilizem computadores e precisem de suporte e manutenção dos seus equipamentos – mas todas terem profissionais de desenvolvimento de sistemas – atividade que, por uma questão de eficiência, poderia ser centralizada.

Apenas dez profissionais de segurança da informação trabalham na FIOCRUZ. Isso significa que existem unidades que não contam com esse perfil de profissional (MARQUES, 2011). Também é estranho uma instituição que tem a informação como um dos seus principais insumos e produtos, que lida com informações sigilosas de pacientes e com outros dados que devem ser protegidos por questões éticas, que realiza licitações e que busca constantemente a inovação tecnológica e, consequentemente, a garantia do respeito à propriedade intelectual não ter um grupo de profissionais especializados em segurança da informação. Em pesquisa exploratória realizada em uma unidade técnico-científica da FIOCRUZ, Albuquerque Junior e Santos (2011) identificaram que a maioria dos funcionários da área de TI da unidade desconhece a norma NBR ISO/IEC 27002:2005 e outros conceitos sobre segurança da informação. Os autores identificaram também que poucos controles de segurança da informação previstos na norma são adotados na unidade e que, dos 39 objetivos de controle previstos na norma, apenas dois são alcançados. Os autores concluem que isso é resultado da falta de direcionamento estratégico da instância central de TI da instituição, que não promove a elaboração de Políticas de Segurança da Informação em suas unidades descentralizadas.

Albuquerque Junior, Machado e Santos (2011) descobriram que a quantidade de profissionais de TI, entre servidores públicos e terceirizados, varia de três a 19 nas cinco unidades técnico-científicas da FIOCRUZ que pesquisaram. Isso reflete as desigualdades entre as unidades da instituição. Na pesquisa, que procurou identificar a percepção da importância de indicadores da adoção de boas práticas de Governança de TI para profissionais de TI e gestores das unidades, os autores concluíram que os respondentes consideravam mais importantes indicadores de boas práticas que estão no início do ciclo de Governança de TI proposto por Fernandes e Abreu (2008), relacionados à dimensão Alinhamento Estratégico e

Compliance, bem como indicadores relacionados a Segurança da Informação, mostrando uma

preocupação tanto dos profissionais da área de TI quanto dos gestores com questões mais estruturais de Governança de TI, como alinhamento estratégico, comitês, planos e políticas de

TI. A pesquisa mostrou também que os indicadores relacionados a questões mais operacionais tem pouca importância para o grupo de respondentes.

Considerando as atividades desenvolvidas nas unidades técnico-científicas e técnico-administrativas e os tipos de dependência que as organizações podem ter da TI apontadas por Fernandes e Abreu (2008), é possível dizer que a FIOCRUZ pode ser enquadrada como uma organização cujas operações-chave são altamente dependentes da TI, a exemplo da execução de licitações através de pregão eletrônico pela Internet, do acesso a sistemas hospedados em outras instituições do Governo Federal, de sistemas e processos transversais hospedados no Rio de Janeiro e acessados por todas as unidades regionais, de projetos de pesquisa envolvendo participantes de diferentes unidades regionais ou de outras instituições brasileiras ou estrangeiras que exigem intensa troca de informações através da Internet, da facilidade que o uso de recursos computacionais traz para a pesquisa bibliográfica em bases de dados de teses e artigos científicos, das ferramentas on-line de submissão de artigos para periódicos e congressos, além do imenso acervo de dados e informações eletrônicas geradas pelas pesquisas desenvolvidas na instituição e armazenadas nas redes de computadores das unidades.

A importância que essas operações fortemente ligadas à tecnologia tem para a FIOCRUZ é o suficiente para classificar a TI como área estratégica para uma organização, segundo Fernandes e Abreu (2008). Além disso, há uma necessidade clara de adotar boas práticas de Governança de TI em uma instituição que desenvolve tecnologia e que tem uma preocupação natural com direitos autorais e preservação das informações utilizadas ou geradas em suas pesquisas e em suas atividades administrativas.

O grupo de trabalho que viria a se tornar a CGTI da FIOCRUZ elaborou um relatório que apresentou uma proposta de criação de uma instância central de TI (FUNDAÇÃO..., 2009) – fato que viria a se concretizar pouco depois – e um PDTI FIOCRUZ 2010 (FUNDAÇÃO..., 2010a), primeiro documento elaborado com a finalidade de ser um planejamento estratégico de TI da FIOCRUZ. O PDTI FIOCRUZ 2010 foi divulgado em 2010 sem dar, entretanto, orientações para a organização das áreas de TI nem para elaboração de PDTIs nas unidades descentralizadas. Assim sendo, as unidades que decidiram elaborar seus próprios PDTIs fizeram isso conforme o que os profissionais de TI locais sabiam sobre o assunto, ou seguindo o modelo publicado pelo SLTI (2008), com poucas orientações da FIOCRUZ. As unidades que não elaboraram um PDTI próprio se limitaram a

enviar para a CGTI da FIOCRUZ as informações sobre as aquisições e contratos que pretendiam realizar naquele ano para compor o PDTI geral da FIOCRUZ.

Depois de ser formalmente criada, a CGTI da FIOCRUZ elaborou ainda um PDTI vigente entre junho de 2011 e maio de 2012, publicado para as regionais em setembro de 2011, e uma Política de Segurança da Informação e Comunicações (POSIC) para toda a FIOCRUZ, publicada em fevereiro de 2011. O novo PDTI foi elaborado da mesma forma que o anterior: cada unidade fez seu próprio planejamento, com base nos respectivos Planos Quadrienais, sem seguir uma orientação central nem projetos ou programas identificados pela CGTI da FIOCRUZ como sendo estratégicos para a instituição. A POSIC foi elaborada por um grupo formado por servidores da FIOCRUZ, mas não houve um processo de consulta ou algum tipo de participação dos usuários ou dos profissionais de TI das unidades. Outros dois documentos foram elaborados e divulgados pela CGTI da FIOCRUZ: a Recomendação Técnica IN-001, que trata de especificações para nomes de caixas postais e protocolo de correio eletrônico; e uma orientação sobre aquisições de soluções de TI conforme a IN Nº 4/2010. Dessa forma, dos quatro documentos elaborados e publicados pela CGTI da FIOCRUZ, um é o PDTI geral da FIOCRUZ (que não orienta a elaboração dos PDTIs das unidades, mas apenas compila as informações sobre previsão de execução orçamentária das unidades em um só documento), o segundo é uma recomendação (que as unidades não são obrigadas a seguir), o terceiro é um manual elaborado com base em uma norma do MPOG, e apenas um é uma política que obrigatoriamente deve ser seguida por todas as unidades da FIOCRUZ, mas que não traz orientações sobre como as unidades devem elaborar suas próprias políticas e normas.

Como cada unidade da FIOCRUZ geriu seus serviços de TI de maneira independente por muitos anos, e só recentemente houve ações no sentido de centralizar parte das decisões relacionadas à TI, alguns gestores de unidades perceberam a importância e a dependência que têm da TI e adotaram boas práticas de Governança de TI, antecipando as normas originadas da necessidade detectada pelo TCU. A adoção de boas práticas por algumas unidades, entretanto, foi pouco divulgada nas outras unidades, mesmo entre os profissionais de TI, quando essa divulgação poderia servir para orientar as demais unidades na melhoria dos seus processos internos de TI, na ausência de orientações centrais da FIOCRUZ.

Espera-se que a CGTI da FIOCRUZ, como uma parte importante da estrutura de Governança de TI, aponte quais projetos ou processos identificados dentro dos documentos de

planejamento estratégico da FIOCRUZ exigem a realização de ações estratégicas pelas áreas de TI das unidades. Essas ações estratégicas de TI, juntamente com os planos estratégicos individuais das unidades, devem se materializar nos PDTIs de cada unidade, que, por fim, devem compor o PDTI da FIOCRUZ. Além disso, espera-se da CGTI da FIOCRUZ o estabelecimento de políticas e normas que orientem a criação e a gestão da estrutura organizacional de TI das unidades, incluindo suas estruturas próprias de decisão, seus processos internos, suas políticas e normas próprias e a adoção de outras boas práticas de Governança de TI.

A dependência que a instituição tem da TI, o fato de ter ficado tanto tempo sem uma área central para orientar na elaboração de planos e definir políticas e normas gerais para a FIOCRUZ e a autonomia com que as unidades foram geridas tornaram necessária a identificação das boas práticas que foram adotados em unidades da FIOCRUZ localizadas no Rio de Janeiro e em outros estados, fazendo um diagnóstico da situação atual da adoção de boas práticas e das causas da situação encontrada, e indicando caminhos que poderão ser seguidos para que seja implantada uma Governança de TI eficaz.

As unidades regionais da FIOCRUZ têm uma característica comum, que não é compartilhada com as unidades localizadas no campus de Manguinhos, no Rio de Janeiro: suas despesas condominiais, como segurança, água, energia elétrica, manutenção predial, serviços de telefonia e comunicação de dados, são inteiramente custeadas com recursos do orçamento das próprias unidades, enquanto que, nas unidades localizadas no campus de Manguinhos, esses serviços são custeados de maneira centralizada. Tendo a pesquisa como atividade finalística, as unidades técnico-científicas tem necessidades semelhantes de boas práticas de Governança de TI e sofrem influências de pessoas com perfis semelhantes nas decisões relacionadas à TI. As próximas seções tratam das unidades estudadas nesta pesquisa.

4.2 INSTITUTO DE COMUNICAÇÃO E INFORMAÇÃO CIENTÍFICA E