PROPOSIÇÕES DE MELHORIAS PARA A GOVERNANÇA DE TI NA FIOCRUZ

Nesta seção, estão algumas proposições de ações que podem ser tomadas para promover a Governança de TI na FIOCRUZ, baseadas nos dados colhidos na pesquisa de acordo com o modelo de análise.

A necessidade do compromisso da alta direção está prevista no modelo COBIT (IT GOVERNANCE..., 2007) e na biblioteca ITIL (OFFICE..., 2007a) e foi observada por Weill e Ross (2006) e por Fernandes e Abreu (2008). Para que isso seja possível, a alta direção da instituição e os diretores das unidades precisam ser informados sobre os benefícios

trazidos e sobre os passos que precisam ser seguidos no sentido de promover a Governança de TI de um modo mais eficaz.

O ITGI (2007) recomenda que haja um representante da área de TI nos fóruns de tomada de decisões estratégicas, o que funciona como uma forma de aproximar a área de TI do negócio visando alinhar as estratégias de TI e da organização. Uma maneira de promover essa representação é a presença de representantes da área de TI em grupos, comitês ou conselhos que tomam decisões estratégicas, tanto nas unidades quanto na sede da FIOCRUZ, o que pode facilitar a identificação de oportunidades de aplicação da TI em prol dos objetivos da instituição. Para Weill e Ross (2006), a parceria entre a alta administração e os líderes de TI no processo decisório cria expectativas realistas para a TI e promove o esclarecimento da estratégia de negócios.

Os princípios de TI e os requisitos da organização para a área de TI, decisões de alto nível que orientam todo o planejamento estratégico de TI (FERNANDES; ABREU, 2008), precisam ser estabelecidos nas unidades da FIOCRUZ. Os responsáveis por estabelecer esses princípios e requisitos podem ser tanto os dirigentes das unidades quanto um grupo designado por eles para essa finalidade. Essas decisões podem ser tomadas também em conjunto pelos dirigentes e pelos chefes de TI das unidades (WEILL; ROSS, 2006), e esses princípios e requisitos devem seguir orientações de princípios e requisitos gerais da FIOCRUZ, que podem ser estabelecidos por estruturas semelhantes.

Os membros da CGTI da FIOCRUZ são, em sua maioria, servidores da instituição que, até antes da criação da CGTI, trabalhavam nas áreas de TI e de comunicação em diferentes unidades técnico-científicas e técnico-administrativas do Rio de Janeiro. Esse grupo não conta com membros de outras áreas da instituição, o que é recomendado pelo ITGI (2007), por Weill e Ross (2006) e Fernandes e Abreu (2008). Essa recomendação está presente também no Guia para Criação e Funcionamento do Comitê de TI (SECRETARIA..., 2011) elaborado pela SLTI/MPOG, que indica também os instrumentos pelos quais o Comitê pode ser criado, além das suas competências, sua composição e suas atribuições.

Sugere-se que a CGTI da FIOCRUZ adote um modelo de Governança de TI que seja válido para toda a organização, que deve incluir um conjunto mínimo de boas práticas, controles e processos para serem adotados por todas as unidades. Entre as boas práticas desse modelo, sugere-se que estejam a criação de Comitês de TI e de Subcomitês de Segurança da

Informação nas unidades, que, segundo Weill e Ross (2006), Fernandes e Abreu (2008) e o ITGI (2007), devem incluir pessoal de TI e usuários, e devem decidir localmente sobre as políticas, ações e estratégias de TI de cada unidade.

Como resultado efetivo da criação desses comitês, cada unidade deve ter seu próprio PDTI e sua própria Política de Segurança da Informação, uma vez que fazem seus respectivos planos estratégicos e planejam e executam seus orçamentários de maneira autônoma – as unidades são dotadas de autonomia tanto administrativa quanto para planejar e executar seu orçamento. Os PDTIs das unidades devem representar seus respectivos planejamentos estratégicos de TI, e devem compor o PDTI geral da FIOCRUZ. É sugerido que o processo de planejamento estratégico de TI da FIOCRUZ seja representativo e participativo, preservando a cultura democrática da organização. Essa mesma sugestão pode ser aplicada às Políticas de Segurança da Informação e aos planos de continuidade das unidades, que precisam estar em conformidade com a Política de Segurança da Informação e Comunicações da FIOCRUZ e com outras normas específicas publicadas de maneira centralizada pela CGTI, pelo Comitê de Segurança da Informação geral da FIOCRUZ e por outros órgãos de regulação e fiscalização internos ou externos à FIOCRUZ.

Em cada unidade da FIOCRUZ, sugere-se que as competências pessoais dos profissionais da área de TI sejam identificadas, conforme o ITGI (2007) e Fernandes e Abreu (2008). Uma vez mapeadas as competências existentes, essas informações poderão ser utilizadas para, juntamente com os planos estratégicos da unidade e da instituição, identificar as competências de TI que precisam ser desenvolvidas nos profissionais que já estão na organização e as que precisam ser contratadas, seja por concurso público ou por terceirização de serviços, subsidiando uma estratégia de outsourcing.

O desempenho de atividades estritamente relacionadas a Governança de TI por pelo menos um servidor público da área de TI das unidades pode facilitar a adoção de diversas boas práticas e a melhoria dos processos internos de TI. Fernandes e Abreu (2008) apresentam algumas estruturas de operações de serviços de TI com diversas funções, competências, requisitos, processos internos, níveis de serviço e atividades associadas. Entre as estruturas apresentadas pelos autores está o Escritório do CIO, responsável pelo planejamento e gestão da área de TI e por boa parte das atividades de melhoria dos processos internos da área de TI, e está também a Operação de Segurança da Informação, que, entre outras coisas, é responsável pelo planejamento da segurança da informação, o que inclui a

gestão de riscos e a elaboração de planos de segurança da informação e continuidade do negócio. São estruturas complexas, que exigem uma quantidade de servidores públicos e outros funcionários que muitas unidades da FIOCRUZ não terão condições de implementar. Mas o importante não é a existência da estrutura, mas a dedicação de servidores públicos da área de TI às atividades que deveriam ser desenvolvidas por essas estruturas, dentro das possibilidades de cada unidade. Se a realidade da unidade não permitir a dedicação integral de um ou mais servidores a essas atividades, pode ser dedicada uma fração do tempo, o que pode promover um processo contínuo que leve à Governança de TI eficaz.

Outras ações podem ainda ser adotadas para promover a Governança de TI na FIOCRUZ, como a adoção de padrões e metodologias de análise e desenvolvimento de sistemas dentre aqueles que foram apresentados por Fernandes e Abreu (2008). Sugere-se que essa adoção de padrões e metodologias de análise e desenvolvimento de sistemas seja transversal, alcançando todas as unidades da instituição, o que pode facilitar a integração entre sistemas desenvolvidos por unidades diferentes e também pela CGTI da FIOCRUZ.

A implantação de bancos de dados de gerenciamento da configuração, bibliotecas de software institucional, bases de conhecimentos de TI e Centrais de Serviços de TI são boas práticas previstas na biblioteca ITIL (OFFICE..., 2007d; 2007e) e que, sendo adotadas pelas unidades da FIOCRUZ, poderão facilitar o controle sobre o ambiente computacional suportado pelas áreas de TI.

Como forma de avaliação dos serviços de TI, tanto aqueles prestados pela área de TI de maneira geral quanto os prestados pelas empresas terceirizadas, é sugerido que sejam estabelecidos acordos de nível de serviço. A avaliação de desempenho na prestação de serviços de TI utilizando acordo de nível de serviço é uma obrigação legal para avaliação de serviços terceirizados, por força das Instruções Normativas SLTI/MPOG Nº 4/2010 e SLTI/MPOG Nº 2/2008, e é também uma boa prática presente na biblioteca ITIL (OFFICE..., 2007e), que pode servir como base objetiva para avaliar serviços prestados pela área de TI (FERNANDES; ABREU, 2008). O estabelecimento de acordo de nível de serviço entre a área de TI e a unidade pode ser considerado também como uma forma transparente de assumir um compromisso de qualidade na prestação de serviços de TI, podendo ser utilizado como meio de avaliação de desempenho institucional da área de TI nas unidades da FIOCRUZ.