Segundo o último levantamento sobre Governança de TI na esfera da Administração Pública realizado pelo TCU (Tribunal de Contas da União) em 2014 com 373 Organizações, os tópicos que abordaram a Gestão de Riscos de TI tiveram resultados alarmantes, como mostra a figura abaixo:
Figura 1: Resultados do questionário sobre Gestão de Riscos de TI na Administração Pública. Fonte: TCU.
Em um primeiro momento, os números podem induzir o leitor a associar esse cenário com as clássicas justificativas, já ultrapassadas, de “baixa produtividade dos órgãos públicos”, “ineficiência e ineficácia dos processos de trabalho nos 3 Poderes” etc. Porém, partindo para uma análise real do cenário, vale a seguinte reflexão: Qual o grau de complexidade do contexto externo e interno no qual uma Organização Pública está inserida, para que um modelo de Gestão de Riscos de TI possa ser implementado?
O contexto da Administração Pública envolve um alto grau de departamentalização, entraves burocráticos quando há necessidade de interface entre diferentes departamentos e, além disso, Atos Normativos rígidos que prevalecem sobre qualquer framework ou boa prática de mercado. Paralelamente, os órgãos públicos sofrem as mesmas pressões do mercado para “informatizar” suas atividades, ou seja, a TI é alavancada à esfera estratégica sem tempo hábil para planejar corretamente o seu crescimento. O resultado, em muitos casos, é uma área de TI trabalhando apenas sob demanda, de forma desestruturada, sem gerenciar de forma correta os seus riscos.
Recentemente, a Bridge Consulting desenvolveu um modelo de Gestão de Riscos de TI em um Órgão Público no Estado de São Paulo. Com a institucionalização da Secretaria de Tecnologia da Informação (STI) criou-se uma meta de estabelecer o formato digital para todos os novos processos entrantes a partir de 2016. Surgiu então um grande desafio: como assegurar níveis aceitáveis de riscos em uma TI que mantém os serviços associados ao processo digital durante 24 horas por dia e 7 dias por semana? Para se ter uma ideia do nível de complexidade desse órgão, na época da inauguração de seu Data center (há aproximadamente 2 anos) apenas 6 empresas no mundo operavam com capacidade semelhante à sua (mais de 5 petabytes).
Para desenvolvimento desse modelo, primeiramente, foram identificados os princípios da Gestão de Riscos que melhor se adaptavam ao contexto da organização, como mostra a tabela abaixo:
Tabela 1: Princípios da Gestão de Riscos mais aderentes ao contexto da organização. Fonte: Adaptado da ISO 31000.
A partir da identificação dos princípios direcionadores da Gestão de Riscos de TI, foi proposto um modelo baseado em um ciclo PDCA, desde a concepção da estrutura até o monitoramento e revisão do modelo.
Figura 2: Modelo de Gestão de Riscos de TI baseado no ciclo PDCA. Fonte: Bridge Consulting.
Um modelo cíclico estabelece uma cronologia de implementação organizada, cujo início é marcado por atividades de estruturação dos processos e envolvimento das diretorias necessárias, para que a execução, monitoramento e revisão do modelo estejam devidamente alinhadas com o contexto e necessidades do órgão público. A implementação gradual desse modelo já permitiu a adequação da área de TI a algumas Resoluções (principalmente em questões envolvendo a criação de Comitês e elaboração de uma Política de Gestão de Riscos de TI) e, internamente, estabeleceu mecanismos regulares de comunicação e divulgação dos resultados e benefícios em manter os riscos de TI dentro de níveis aceitáveis para o negócio.
O fluxo de trabalho do processo de Gestão de Riscos de TI e seus respectivos controles e indicadores, definidos pela equipe da Bridge Consulting, já estão sendo implementados na ferramenta de Gerenciamento de Riscos – Módulo Risk Manager – e, em breve, passarão a gerar periodicamente relatórios de desempenho dos processos e planos de ação para a área de TI. Paralelamente algumas ações de integração entre as soluções utilizadas já estão sendo executadas, para que o escopo desde o processo de identificação de riscos até o monitoramento esteja devidamente alinhado com os serviços de TI que suportam o core business da organização.