Os resultados da pesquisa sobre o tamanho das áreas de TI se mostraram heterogêneos (ver Gráfico 4), apontando a existência de varias realidades, em relação ao quantitativo de pessoal de TI nos órgãos da APF. Os resultados obtidos variaram desde equipes pequenas, representadas pelos 22% dos órgãos que informaram contar com equipes que não ultrapassam 15 pessoas, até os 41% dos órgãos que informaram contar com equipes de TI com mais de 81 pessoas.
Gráfico 4 - Tamanho das áreas de TI
Fonte: O autor (2015)
4.1.4 - Equipes de Planejamento da Contratação
De acordo com os dados da pesquisa, apresentados na Tabela 9, 33% dos respondentes informaram exercer o papel de integrante técnico nas equipes de planejamento da contratação. Este percentual maior pode estar relacionado ao caráter tecnológico das aquisições e ao perfil profissional do grupo de respondentes selecionados, entretanto, os gestores que informaram pertencer às áreas administrativas e de negócio, ambos representando 19%, conferiram aos resultados uma representatividade diversa, dada a visão que cada membro da equipe de planejamento, proposta pela IN4, traz para o processo de contratação. Contudo os 30% que informaram exercer outro papel nas equipes de contratação, que não o formalizado pela instrução, podem indicar a existência de membros das equipes de contratação sem o entendimento abrangente do seu papel e sem a devida qualificação para contribuir positivamente para que os resultados esperados sejam alcançados.
Tabela 9 - Equipe de planejamento
Papel na equipe de planejamento da contratação Percentual
Integrante Técnico 33%
Integrante Requisitante 19%
Integrante Administrativo 19%
Outroooooooooooooooooooooooooooooooooooooooooooooooooooooooo 30%
4.2 - ADOÇAO DA INSTRUÇÃO NORMATIVA 04/SLTI
Os resultados da pesquisa revelaram (ver Gráfico 5) que 93% dos gestores informaram seguir os ditames da IN4 em seus processos de contratação e gestão contratual de soluções de TI, sendo que os 7% dos respondentes que informaram não segui-la pertencem a órgãos do poder judiciário, cuja observância à norma não é obrigatória. É satisfatório observar que a quase totalidade dos gestores informaram adotar a instrução normativa, quando esta é pertinente, pois isso demonstra o amadurecimento e o interesse pela adoção das boas práticas de planejamento propostas pela instrução. Entretanto, vale ressaltar que este elevado índice pode estar relacionado à legalidade que vincula a observância da mesma por parte dos órgãos, fator este que pode desvirtuar este elevado índice quando as várias etapas internas e a conformidade às mesmas são avaliadas detalhadamente, conforme ficou demonstrado por Santos (2013) em pesquisa realizada no âmbito do ministério público brasileiro.
Gráfico 5 - Adoção da instrução normativa nº 04/SLTI
Fonte: O autor (2015)
A fim de investigar a percepção dos gestores quanto à conformidade em relação ao processo e às etapas de gestão de riscos propostos pela IN4, foi proposta uma sequência de questões que avaliaram especificamente o capítulo da instrução que traz tais diretrizes.
4.3 - CONFORMIDADE ÀS FASES DA GESTÃO DE RISCOS.
Foram elaboradas oito questões, baseadas nos incisos e parágrafos do 13º artigo da IN4, que tratam do processo de gestão de riscos. Na elaboração deste conjunto de questões foi utilizada uma escala Likert, com os seguintes níveis de respostas: nunca, raramente, às vezes e sempre, a fim de avaliar o nível de concordância de cada uma delas. Por se tratar de assertivas longas, o resultado de cada questão foi rotulado de Q1 a Q8 para melhor
apresentação nos resultad apresentadas pela ferrament
4.3.1 - Identificação dos R
A pesquisa revelou sempre identificar os princi contratação e gestão contr procedem com a identificaç organizações que rarament conforme apresentado no G
Gráfico 6 - Identificação dos r
Fonte: O autor (2015)
Quanto à identificaç TI não alcance os resultado das organizações que inform Q1, enquanto que os perce esta etapa da GRSIC se ma que informaram raramente resultados esperados, cujos Q1.
4.3.2 - Estimativa deOcorr Os dados consolida informaram sempre estimar
tados gráficos. As assertivas, assim como enta utilizada, podem ser consultadas no Apênd
Riscos (Q1/Q2)
ou que pouco mais da metade, 52% das org ncipais riscos que possam comprometer o suce ntratual de soluções de TI (Q1), 33% infor cação dos riscos, enquanto que o restante, 14% ente ou nunca realizam esta importante etapa
Gráfico 6.
s riscos do processo (Q1) e de serviço/produto (Q2)
cação dos principais riscos que possam fazer c dos que atendam as necessidades da contrataç ormaram sempre identificar tais riscos reduziu centuais de organizações que informaram nun antiveram iguais em relação a Q1, diferentem nte identificar os riscos da solução de TI contr jos percentuais apresentaram um aumento de 8
orrência e deDanos Potenciais (Q3/Q4)
idados da pesquisa apontaram que apenas 22 ar a probabilidade de ocorrência para cada ris
mo foram redigidas e ndice B.
organizações, informou ucesso dos processos de formaram que às vezes 4%, ficou dividido entre a da Gestão de Riscos,
2)
r com que a Solução de tação (Q2), o percentual iu 8 pontos em relação a unca e às vezes realizar emente das organizações ntratada não alcançar os e 8 pontos em relação a
22% das organizações risco identificado (Q3),
enquanto que mais da me informaram não realizar sis processos de contratação q ou raramente estimam a pro
Gráfico 7 - Estimativa de ocor
Fonte: O autor (2015)
Em relação à estim (Q4), o percentual de organ de 37% e 30%, respectivam comparados aos resultados uma redução de 22 pont Aproximadamente, um terç estimativa dos potenciais da Estes resultados, al ações que se complemen percentuais obtidos nas que dos riscos da contratação d resultados esperados para Gráfico 8.
metade das organizações, 52%, como aprese sistematicamente a estimativa de ocorrência do que conduzem. Somados, o percentual de org probabilidade de ocorrência dos riscos identific
corrência (Q3) e dos danos relacionados aos riscos (
imativa dos danos potenciais relacionados ao ganizações que informou sempre e às vezes rea
amente, o que representou um aumento de 15 os de Q3, para os que informaram sempre estim ontos percentuais para os que informaram
erço das organizações informou que nunca ou danos relacionados aos riscos identificados. além de apresentarem diferenças percentuai
entam, demonstraram diferenças significativ questões Q1 e Q2, onde se avaliou, respectivam
de TI (processo) e a identificação dos riscos ra tal contratação (produtos/serviços), como
esentado no Gráfico 7, dos riscos para todos os organizações que nunca ficados foi de 26%.
s (Q4)
aos riscos identificados realizar a estimativa foi 15 pontos percentuais se timar os danos, havendo às vezes estima-los. ou raramente realiza a
uais consideráveis para ativas em relação aos vamente, a identificação os de não se alcançar os o segue mostrado no
Gráfico 8 - Percentual comparativo da conformidade em Q1, Q2, Q3 e Q4
Fonte: O autor (2015)
As quedas nos percentuais de total conformidade em Q3 e Q4 para 22% e 37%, em relação a Q1 e Q2 se constituem em um dos achados desta pesquisa ao indicar o possível desconhecimento por parte dos gestores quanto à necessidade de se estimar as probabilidades de ocorrência (Q3) e os danos potenciais para cada risco identificado (Q4) nas etapas anteriores, e o possível comprometimento da qualidade do processo de gestão de riscos como um todo, tendo em vista que tais estimativas auxiliam na priorização dos riscos e subsidiam a etapa subsequente do processo de gestão onde o tratamento dos riscos é definido.
4.3.3 - Definição dos Responsáveis e das Ações de Tratamento (Q5)
Os resultados da pesquisa revelaram que, em relação à definição dos responsáveis e das ações previstas a serem tomadas para reduzir ou eliminar as chances de ocorrência dos eventos relacionados aos riscos identificados (Q5), 7% das organizações informaram nunca definir tais ações nem tampouco os responsáveis por executá-las, seguido por 19% que raramente realizam esta definição. Contudo, os percentuais de conformidade das organizações que informou às vezes ou sempre definir os responsáveis e as ações preventivas para tratar os riscos somaram 74%, como está mostrado no Gráfico 9.
Gráfico 9 - Definição dos resp
Fonte: O autor (2015)
4.3.4 - Definição dos Respo
Os resultados da pes tomadas, caso os eventos re por tais ações (Q6) aprese sempre e igual resultado, so raramente realizam estas de
Gráfico 10 - Definição dos res
Fonte: O autor (2015)
Os resultados com investigaram respectivamen eventos relacionados aos ris os eventos relacionados aos gestores, como mostrado no Observa-se que os p de mais da metade das in coerência nos percentuais s
sponsáveis e das ações de tratamento dos riscos (Q
sponsáveis e das Ações de Contingência (Q6)
esquisa que avaliaram a definição das ações de relacionados aos riscos se concretizem e os res sentou o mesmo percentual da Q5, 74%, par somado, 26%, também se deu na faixa de orga definições, ver Gráfico 10.
responsáveis e das ações de contingência (Q6)
mparados entre os percentuais de Q5 e Q ente, as ações tomadas para reduzir ou elimi riscos identificados e as ações de contingência aos riscos se concretizem, se mostraram coeren no Gráfico 11.
percentuais de total conformidade variaram ap instituições terem informado conformidade s se apresentaram como um achado ao sinaliza
(Q5)
6)
de contingência a serem respectivos responsáveis para os itens às vezes e rganizações que nunca e
Q6, questões onde se iminar a ocorrência dos ia a serem tomadas caso rentes, na percepção dos
apenas 4 pontos, apesar e parcial ou nula, esta lizar a igual importância
dada pelos gestores, tanto p abordagem contingencial do
Gráfico 11 - Percentual compa
Fonte: O autor (2015)
4.3.5 - Consolidação e Ace
De acordo com os re conformidade, pois 59% d produzidas em todas as etap de análise de riscos (Q7). E respondentes que informar informaram estar conformes
Gráfico 12 - Consolidação (Q7
Fonte: O autor (2015)
o para a abordagem preventiva do tratamento do dos mesmos.
parativo da conformidade em Q5 e Q6
ceite (Q7/Q8)
s resultados, esta foi a questão que apresentou das organizações informaram sempre conso tapas da fase de planejamento da contratação em ). Entretanto, por se tratar de uma formalidade,
aram nunca a realizarem, seguido de 34% es apenas raramente ou às vezes, como aprese
(Q7) e aceite do artefato de GRSIC (Q8)
dos riscos, como para a
u o maior percentual de nsolidar as informações em um documento final de, ainda houve 7% dos % de respondentes que sentado no Gráfico 12.
Os resultados da pesquisa, para a última questão relacionada à etapa de análise de riscos na IN4, revelou que 52% dos respondentes sempre avaliam o documento produzido e que o mesmo, depois de aceito, é assinado por todos os membros da equipe de planejamento (Q8). Novamente, este elevado percentual pode apontar para o formalismo proposto pela normativa e, neste quesito, o percentual de respondentes que informou nunca realizar esta etapa aumentou 12 pontos em relação a Q7, enquanto que 30% das respostas foram divididas entre os que às vezes ou raramente realizam este rito de encerramento do ciclo de análise de riscos proposto pela IN4.
Neste ponto, em que os principais resultados de conformidade às etapas detalhadas da IN4 foram expostos, uma representação consolidada dos resultados, mostrada no Gráfico 13, conclui esta primeira etapa de questões, ao apresentar aos gestores e pessoal envolvido em contratações de TI, as etapas que maiores desafios trarão à implementação da gestão de riscos.
Gráfico 13 - Percentual de conformidade total às etapas da IN4
Fonte: O autor (2016)
4.4 - ADOÇÃO DA NORMA COMPLEMENTAR 04/DSIC
Foi avaliada a percepção dos gestores quanto à adoção e conhecimento das diretrizes trazidas pela NC04, que é o principal instrumento de GRSIC, no âmbito de todos os órgãos e entidades da APF, devendo ser o normativo orientador da disciplina gestão de riscos quando esta for aplicada a qualquer contexto dentro do setor público brasileiro.
0% 10% 20% 30% 40% 50% 60% Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8
A pesquisa revelou, como mostrado no Gráfico 14, que apenas 15% dos respondentes informaram adotar integralmente as diretrizes da NC04, enquanto 41% informou adotar parcialmente tais diretrizes. O elevado percentual, 44%, dos respondentes que informaram não adotar o normativo, traz preocupação quanto à qualidade da GRSIC que vem sendo realizada no contexto pesquisado.
Gráfico 14 - Adoção da norma complementar nº 04/DSIC
Fonte: O autor (2015)
Foram elaboradas dezesseis assertivas, baseadas no texto da NC4, e apenas os gestores que informaram adotá-la integral ou parcialmente foram direcionados a este conjunto de questões detalhadas sobre o processo de GRSIC proposto pela norma. Assim, da mesma maneira que no conjunto de questões anteriores, foi utilizada uma escala Likert com os níveis de respostas: nunca, raramente, às vezes e sempre, a fim de avaliar o nível de concordância de cada uma delas. Novamente, por se tratar de longas assertivas, cada questão foi rotulada, de QN1 a QN16, para melhor apresentação dos resultados gráficos que se seguem. As assertivas, assim como foram redigidas e apresentadas aos respondentes, podem ser consultadas no Apêndice B.
Os gestores que informaram não adotar as diretrizes da NC4 não obtiveram acesso ao conjunto de questões detalhadas e as mesmas foram automaticamente marcadas como nunca e os respondentes direcionados para uma questão qualitativa, não obrigatória, sobre a percepção dos mesmos sobre a necessidade de haver um processo formal de GRSIC em seu órgão. Esta escolha de implementação determinou o percentual de não adoção da norma em 44%.
Neste ponto da análise, convém retomar os resultados obtidos na questão que avaliou a percepção dos gestores quanto à adoção da IN4 e compará-los aos resultados obtidos nesta questão. Os percentuais informados pelos gestores para a adoção integral da NC4 em comparação aos percentuais informados para a adoção integral, mesmo que abrangente, da
IN4, se apresentaram como um importante achado desta pesquisa, como segue apresentado no Gráfico 15.
Gráfico 15 - Percentual de conformidade na adoção da IN4 e da NC4
Fonte: O autor (2015)
A diferença de 78 pontos percentuais separando a adoção integral da IN4 da adoção integral da NC4 pode indicar o desconhecimento por parte dos gestores das diretrizes e metodologias de GRSIC recomendadas pela NC4, que se tornaram mandatórias no contexto das contratações de TI regidas pela IN4, quando esta trouxe explicitamente em seu texto uma etapa de gestão de riscos, conferindo assim um caráter complementar a estes instrumentos normativos.
Em última análise, esta descoberta pode sinalizar que a não observância ao processo de gestão de riscos proposto pela NC4 pode indicar a existência de processos de contratação de TI sendo realizados de forma inadequada, ineficiente e, possivelmente, resultando em desperdício de dinheiro público.
4.4.1 - Análise e Avaliação de Riscos (QN1)
A pesquisa revelou que apenas 37% dos respondentes informaram sempre realizar a etapa de análise e avaliação dos riscos (QN1) de forma abrangente, conforme mostrado no Gráfico 16.
Gráfico 16 - Análise e avaliaçã
Fonte: O autor (2015)
De acordo com Bras identificação dos riscos, levan de informação para que os n quase dois terços dos respond GRSIC deve ser visto com p processo de GRSIC se sustent processo de GRSIC.
Para o conjunto de q etapas da análise e avaliação d
4.4.2 - Inventário dos Ativ
A pesquisa apontou e mapear os ativos de infor 37% que informaram raram mostrado no Gráfico 17.
Gráfico 17 - Inventário e mape
Fonte: O autor (2015)
Segundo ABNT (20 convém que tais ativos de
ação de riscos (QN1)
rasil (2013), é na etapa de análise e avaliação d ando em consideração as ameaças e vulnerabilidad níveis dos riscos sejam estimados, avaliados e p ondentes que informaram nunca ou às vezes realiz
preocupação pelos órgãos por ser esta a ativida nta. Portanto, quanto maior a maturidade nesta etap questões que se segue, QN2 a QN6, serão avali o de riscos conforme propostas pela NC4.
vos de Informação (QN2)
ou que apenas 19% dos respondentes informara formação segundo as diretrizes da NC10/DSIC ramente ou às vezes realizar esta etapa propo
apeamento dos ativos de informação (QN2)
(2011), um ativo é algo que tem valor para a o de informação sejam inventariados e mapeado
o de riscos que ocorre a ades associadas aos ativos priorizados. O índice de alizar esta etapa inicial da idade sobre a qual todo o tapa, maior a qualidade do aliadas detalhadamente as
aram sempre inventariar SIC (QN2), seguido dos posta pela NC04, como
a organização, portanto, dos para que subsidiem
suficientemente o processo especifica quanto à identific baixo percentual de conf preocupação pelos gestores maneira ineficiente por não pela norma internacional de
4.4.3 - Identificação dos R
A pesquisa revelou com a identificação dos r envolvidas, as vulnerabilida existentes (QN3), como mo
Gráfico 18 - Identificação dos r
Fonte: O autor (2015)
Para este conjunto resultado para total conform que, para ABNT (2011), é ativos sejam identificadas, ameaças e que os controles mesmos não sejam duplicad Neste ponto da aná pesquisa que avaliaram a id no conjunto de questões perspectiva da NC4, como s
sso de análise e avaliação de riscos. Mesmo ificação dos ativos de informação no processo d onformidade informado para esta prática d
res, que podem estar conduzindo seus process não contarem com este expediente proposto ta de boas práticas.
Riscos (QN3)
u que apenas 22% dos respondentes informara s riscos associados ao escopo definido, cons idades existentes nos ativos de informação e as
ostrado no Gráfico 18.
s riscos, ameaças, vulnerabilidades e ações de GRSIC
to de ações contidas na questão QN3 e pro ormidade pode ser considerado baixo e inefic , é conveniente que as ameaças com potencia assim como as vulnerabilidades que possam s les pré-existentes sejam convenientemente iden cados implicando em aumento de custos e retrab análise, vale a pena retomar os resultados o
identificação dos riscos na IN4 e compará-los a s referentes à análise, avaliação e identifica o segue mostrado no Gráfico 19.
o não havendo citação o de contratação de TI, o deve ser visto com essos de contratação de tanto pela NC4 quanto
aram total conformidade nsiderando as ameaças as ações de GRSIC pré-
IC pré-existentes (QN3)
ropostas pelas NC4, o ficiente, tendo em vista cial de comprometer os ser exploradas por tais dentificados para que os
rabalho.
obtidos nas etapas da os aos resultados obtidos icação de riscos sob a
Gráfico 19 - Percentual comparativo da conformidade em QN1, QN3, Q1 e Q2
Fonte: O autor (2015)
Os principais achados deste conjunto de questões comparadas surgem na análise da diferença percentual encontrada nos extremos, tanto de ausência de conformidade como na conformidade total às etapas de análise, avaliação e identificação dos riscos.
Enquanto que para a IN4 (Q1 e Q2) apenas 7% dos respondentes informaram ausência total de conformidade à etapa de identificação dos riscos, em avaliações semelhantes realizadas no contexto da NC4 (QN1 e QN3) estes índices se elevaram em 37 pontos percentuais, passando para 44% os respondentes que informaram nunca realizar estas etapas da GRSIC relacionadas à análise, avaliação e identificação dos riscos.
No outro extremo, quando comparados os resultados dos respondentes que informaram total conformidade às etapas de análise, avaliação e identificação dos riscos na NC4 (QN1 e QN3), os índices diminuíram em relação à primeira avaliação; enquanto em Q1 52% informaram sempre identificar os riscos do processo de contratação de TI e em Q2 44% informaram sempre identificar os riscos relacionados ao serviço ou produto contratado, em QN1 apenas 37% informaram total conformidade a esta etapa da GRSIC e este índice ficou ainda menor em QN3, passando para 22% o índice de respondentes que informaram total conformidade a esta etapa proposta pela NC4.
A diferença percentual entre os respondentes que informaram sempre estarem conformes às etapas de análise, avaliação e identificação de riscos propostas pela NC4, em comparação com o percentual encontrado para ações semelhantes no contexto da IN4, não foi
tão expressiva como a dife conformidade, entretanto, desconhecimento por parte inicial da GRSIC, já que a identificação de riscos pode segundo ABNT (2011).
4.4.4 - Estimativa dos Risc
A pesquisa revelou estimar os riscos identific associadas à perda de dis ativos considerados (QN4) f
Gráfico 20 - Estimativa dos ris
Fonte: O autor (2015)
A importância de os quanto aos níveis de probab é ressaltada em ABNT (20 esta etapa da GRSIC como oportunidades de negócio.
Este resultado, quan GRSIC proposto pela IN4 conformidade à etapa em resultados se mostraram e variação de 4 pontos percen relação à total conformidade
iferença encontrada na faixa dos que informar o, assim como naquela comparação, esta
rte dos gestores quanto à importância que d e a não observância de tais diretrizes durante de implicar na elevação dos custos e na possib
iscos, Probabilidades e Consequências (QN4)
ou que a porcentagem dos respondentes que ificados quanto aos níveis de probabilidade disponibilidade, integridade, confidencialidade 4) foram de apenas 26%, conforme mostrado no
riscos, probabilidades e consequências (QN4)
os riscos serem estimados qualitativamente e babilidade e quanto às consequências diretas no
2011), quando esta cita algumas consequência mo: perda da eficácia, condições adversas de
uando comparado à avaliação semelhante real