Aplicando Conceitos e Práticas de Governança de TI Na Administração Pública: Estudo de Caso.

Universidade Federal de Lavras
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
Pós Graduação Lato Sensu
MBA-EXECUTIVO EM GOVERNANÇA
DE TECNOLOGIA DA INFORMAÇÃO
Delson Pereira da Silva
Aplicando conceitos e práticas de

governança de TI na Administração
Pública: estudo de caso.
LAVRAS – MG
2013
DELSON PEREIRA DA SILVA
APLICANDO CONCEITOS E PRÁTICAS DE GOVERNANÇA DE TI NA

ADMINISTRAÇÃO PÚBLICA: ESTUDO DE CASO.
Monografia apresentada ao Departamento de

Ciência da Computação da Universidade Federal
de Lavras, como parte das exigências do Curso de
Pós-Graduação Lato Sensu “MBA Executivo em
Governança de Tecnologia da Informação”, para
obtenção do título de Especialização.
Orientador
Professor: André Luiz Zambalde.
LAVRAS
MINAS GERAIS – BRASIL
2013.
DELSON PEREIRA DA SILVA
APLICANDO CONCEITOS E PRÁTICAS DE GOVERNANÇA DE TI NA

ADMINISTRAÇÃO PÚBLICA: ESTUDO DE CASO.
Monografia apresentada ao Departamento de

Ciência da Computação da Universidade Federal
de Lavras, como parte das exigências do Curso de
Pós-Graduação Lato Sensu “MBA Executivo em
Governança de Tecnologia da Informação”, para
obtenção do título de Especialização.
APROVADA em ______ de _____________ de ______.
Professor(a):_________________________________________.
Professor(a):_________________________________________.
Professor(a) Orientador(a) UFLA:_________________________________________.
LAVRAS
MINAS GERAIS – BRASIL
2013.
À minha amada esposa que ao meu lado trilha o caminho, compartilhando meu anseio em
vivificar a justa missão do servidor público em promover o desenvolvimento soberano do
Estado apresentando-se cada vez mais qualificado para o desempenho de suas atribuições.
Meus agradecimentos ao Instituto do Patrimônio Histórico e Artístico Nacional, em especial
às Coordenações Gerais de Tecnologia da Informação e de Gestão de Pessoas, pela
oportunidade concedida e pela tão estimada presteza ao trabalho.
SUMÁRIO
SUMÁRIO ................................................................................................................................. I
LISTA DE FIGURAS............................................................................................................ IV
LISTA DE TABELAS ............................................................................................................. V
LISTA DE ABREVIATURAS, SIGLAS E SÍMBOLOS ................................................... VI
RESUMO / ABSTRACT ...................................................................................................... VII
1 INTRODUÇÃO. .......................................................................................................... 1
1.1 Contextualização e motivação. ...................................................................................... 1
1.2 Objetivos e estrutura do trabalho. ................................................................................. 3
1.3 Metodologia. ................................................................................................................. 4
1.3.1 Tipo de pesquisa. ........................................................................................................... 4
1.3.2 Procedimentos metodológicos....................................................................................... 4
1.3.3 Estrutura do trabalho. .................................................................................................... 5
2 APRESENTAÇÃO E DESCRIÇÃO DA ORGANIZAÇÃO. ................................. 6
2.1 Apresentação da organização. ....................................................................................... 6
2.2 Descrição da TI na organização. ................................................................................. 10
3 GOVERNANÇA E ESTRATÉGIA ORGANIZACIONAL E DE TI. ................ 15
3.1 Governança e estratégia organizacionais. ................................................................... 15
i
3.1.1 Referencial teórico. ..................................................................................................... 15
3.1.2 Diagnóstico na organização. ....................................................................................... 17
3.1.3 Propostas de melhorias e discussão. ............................................................................ 25
3.1.4 Considerações Finais. .................................................................................................. 28
3.2 Governança de tecnologia da informação. .................................................................. 28
3.2.1 Referencial teórico. ..................................................................................................... 28
3.2.2 Diagnóstico na organização. ....................................................................................... 32
3.2.3 Propostas de melhorias e discussão. ............................................................................ 40
3.2.4 Considerações finais. ................................................................................................... 43
4 MATURIDADE E EXCELÊNCIA EM PRODUTOS DE TI. .............................. 47
4.1 Referencial teórico. ..................................................................................................... 47
4.2 Diagnóstico na organização. ....................................................................................... 49
4.3 Proposta de melhorias e discussão. ............................................................................. 52
4.4 Considerações Finais. .................................................................................................. 54
5 GESTÃO DE SEGURANÇA DA INFORMAÇÃO. .............................................. 56
ii
5.4 Considerações finais. ................................................................................................... 61
6 GESTÃO DE SERVIÇOS DE TI. ........................................................................... 63
6.4 Considerações finais. ................................................................................................... 70
7 CONCLUSÕES. ........................................................................................................ 72
8 BIBLIOGRAFIA ....................................................................................................... 78
ANEXO I. AVALIAÇÃO DE MATURIDADE EM SEGURANÇA DA

INFORMAÇÃO. ..................................................................................................................... 82
ANEXO II. ARRANJOS DECISÓRIOS DA ÁREA DE TI. ........................................... 87
ANEXO III. PRINCIPAIS SISTEMAS DE INFORMAÇÃO EM USO NA

ORGANIZAÇÃO. .................................................................................................................. 88
ANEXO IV. SUGESTÃO DE INDICADORES E METAS. .......................................... 91
iii
LISTA DE FIGURAS
Figura 1.1: Gráfico comparativo dos gastos diretos da União com informação e comunicação
no período 2009 – 2012, por subclasses de despesas (CGU, 2012). .......................... 2
Figura 2.1: Organograma do Instituto do Patrimônio Histórico e Artístico Nacional. .............. 9
Figura 2.2: Organograma da Coordenação Geral de Tecnologia da Informação. .................... 10
Figura 2.3: Gráfico comparativo da força de trabalho em TI por situação de vínculo – 2012. 12
Figura 3.1: Resumo esquemático do sistema de planejamento aplicado pela organização

(IPHAN, 2012). ........................................................................................................ 19
Figura 3.2: Contexto de elaboração do planejamento de TI da organização (IPHAN, 2010). . 22
Figura 3.3: Governança de TI versus Gestão de TI (Adaptado de ISACA, 2011). .................. 29
Figura 3.4: Contexto do planejamento da TI na Administração Pública (Adaptado de TCU,

2012). ........................................................................................................................ 33
Figura 3.5: Tarefas básicas do processo de elaboração do Plano Diretor de TI (BRASIL,

2012). ........................................................................................................................ 34
Figura 3.6: Evolução do Índice de Governança de TI (iGovTI) mensurado pelo TCU na

organização, no período 2007 a 2012 (TCU, 2013). ................................................ 44
Figura 6.1: Gráfico comparativo da evolução na adoção de processos de gestão de serviços de

TI baseados em ITIL® na Administração Pública brasileira – Resultados de
levantamentos realizados nos anos de 2010 e 2012 (TCU, 2012). ........................... 66
Figura 7.1: Fatores motivadores para adoção de práticas de governança de TI. ...................... 75
iv
LISTA DE TABELAS
Tabela 1.1: Modelos de melhores práticas para gestão e governança de TI (FERNANDES e

ABREU, 2012). .......................................................................................................... 3
Tabela 2.1: Força de trabalho total mínima recomendada para TIC (CNJ, 2009). .................. 12
Tabela 3.1: Ações estratégicas da área de TI - Descrição e diagnóstico de situação (IPHAN,

2010). ........................................................................................................................ 22
Tabela 3.2: Processos críticos priorizados e síntese da avaliação de maturidade. ................... 38
Tabela 5.1: Relação entre ações propostas, deficiências identificadas, princípios de

conformidade e boas práticas para a área de gestão de segurança da informação. .. 60
v
LISTA DE ABREVIATURAS, SIGLAS E SÍMBOLOS
ABNT Associação Brasileira de Normas Técnicas
CGTI Coordenação Geral de Tecnologia da Informação
CGU Controladoria Geral da União
CMMI Integração do Modelo de Maturidade da Capacidade, do inglês Capability

Maturity Model Integration
COBIT Guia para governança de Tecnologia da Informação, do inglês Control
Objectives for Information and related Technology
COGESTI Comitê Gestor de Tecnologia da Informação
IEC International Electrotechnical Commission – organização internacional de

padronização de tecnologias elétricas, eletrônicas e relacionadas
IN Instrução Normativa
IPHAN Instituto do Patrimônio Histórico e Artístico Nacional
ISO International Organization for Standardization – entidade de normalização

internacional.
ITIL Information Technology Infrastructure Library
MPS.BR Melhoria de Processo de Software Brasileiro
PDTI Plano Diretor de Tecnologia da Informação
PSI Política de Segurança da Informação
SI Segurança da Informação
SISP Sistema de Administração de Recursos de Tecnologia da Informação do Poder

Executivo Federal
SOFTEX Sociedade para Promoção da Excelência do Software Brasileiro
TCU Tribunal de Contas da União
TI Tecnologia da Informação
vi
RESUMO / ABSTRACT
APLICANDO PRÁTICAS E CONCEITOS DE GOVERNANÇA DE TI NA ADMINISTRAÇÃO

PÚBLICA: ESTUDO DE CASO.
RESUMO
O trabalho apresenta um diagnóstico da situação geral de governança de TI em uma autarquia
pública brasileira, com foco nas áreas de maturidade e excelência em produtos de TI, gestão de
segurança da informação e gestão de serviços de TI. O estudo considera, sobretudo, que uma boa
governança de TI exige que os envolvidos em implementá-la tenham conhecimentos sobre seus
fundamentos, componentes e requisitos. Sendo assim, como as organizações públicas atuais têm
lidado com as novas práticas de gestão de TI? Como estão se saindo em aplicar princípios de
governança de TI? São os fundamentos, componentes e requisitos dessa disciplina eficazmente
compreendidos no âmbito da Administração Pública brasileira? Além de responder essas questões, o
estudo apresenta fundamentos conceituais, boas práticas e sugestões de melhorias para auxiliar a
organização a ampliar o alinhamento estratégico entre a área de TI e suas áreas de negócio. O
estudo também aponta os principais desafios que necessitam ser enfrentados pela área de TI
buscando melhorar sua percepção de entrega de valor e amadurecer suas práticas de gestão e
governança. Outra conclusão importante é que ao implantar melhorias em uma determinada área
estas irão inevitavelmente impactar positivamente outras áreas, isso ocorre porque os processos de
gestão e governança de TI não são estanques e, em sua maioria, estão estreitamente inter-
relacionados.
Palavras Chave: Estudo de Caso; estratégia organizacional; governança de TI; segurança da

informação; gestão de serviços de TI; administração pública.
APPLYING PRACTICES AND CONCEPTS OF IT GOVERNANCE IN PUBLIC

ADMINISTRATION: CASE STUDY.
ABSTRACT
The paper presents a general diagnosis of the general situation of IT governance in a Brazilian public
autarchy, focusing on the areas of maturity and excellence in IT products, management of information
security and IT service management. The study considers, especially, that good governance requires
that those involved in implementing it have knowledge about their fundamentals, components and
requirements. Thus, how current public organizations have dealt with the new practices of IT
management? How are faring in applying the principles of IT governance? Are the fundamentals,
components and requirements of this discipline effectively understood in the context of the Brazilian
public administration? In addition to answering these questions, the study presents conceptual
foundations, best practices and suggestions for improvement to assist the organization to expand the
strategic alignment between IT and its business areas. The study also addresses the key challenges
that need to be faced by the IT department seeking to improve their perception of value and mature
their management practices and governance. Another important conclusion is that when you deploy
improvements in a given IT area inevitably these will positively impact other areas. This is because the
processes of management and IT governance are not watertight areas and, mostly, are closely
interrelated.
Key words: Case study; organizational strategy; IT governance; information security

management; IT service management; Brazilian public administration.
vii
1 INTRODUÇÃO.
1.1 CONTEXTUALIZAÇÃO E MOTIVAÇÃO.
O surpreendente desenvolvimento da informática e das tecnologias de informação e

comunicação, principalmente a partir da segunda metade do século XX, tem provocado
profundas e significativas mudanças no dia-a-dia das pessoas e das organizações. É certo que
hoje as relações entre mercados e indivíduos ou entre Governos e sociedade, se redesenham
com crescente velocidade e alcance universal, numa cadeia informacional de impacto global e
instantâneo.
É inegável o papel estratégico que a tecnologia da informação (TI) desempenha nos

mais diversos setores econômicos, dando suporte aos seus processos de negócio. Porém, é no
âmbito governamental que tal importância tem crescido exponencialmente, uma vez que a TI
tem cada vez mais se apresentando como instrumento viabilizador das atividades-meio e
atividades-fim das organizações públicas.
No Brasil, ao longo dos anos, órgãos e entidades da Administração Pública tem

ampliado seus investimentos em recursos de TI, embora com ritmos e avanços ainda bastante
diferenciados. Nota-se, porém, que a evolução desse processo vai além da aquisição e
disponibilização de produtos e serviços de TI; não se trata meramente de informatizar as
rotinas estabelecidas, mas de definir processos e procedimentos tendo em vista a plena
exploração das potencialidades abertas pela tecnologia da informação. Tal tendência leva à
necessidade de se promover um amplo gerenciamento desses recursos e serviços de TI, do
contrário o resultado não será outro senão a mera ‘automatização do caos’.
A utilização da informática na Administração Pública Federal brasileira remonta a

meados da década de 1960 com a concepção dos primeiros sistemas informatizados,
desenvolvidos e geridos por diversos órgãos públicos para o atendimento de suas
necessidades singulares.
Nessa evolução histórica não foram construídos mecanismos que permitissem a

permutação de dados e informações de uso comum, resultando assim numa multiplicidade de
sistemas desintegrados onde a redundância na coleta, tratamento e distribuição de dados onera
os investimentos públicos, gera fragilidades de segurança e não permite o aproveitamento
máximo das potencialidades tecnológicas desses sistemas.
O mesmo pode se dizer dos processos de aquisição de infraestrutura tecnológica e
sua organização em redes locais, concebidas de forma isolada e voltadas ao atendimento das
peculiaridades de cada área ou órgão, permitindo a criação de verdadeiras ilhas de excelência,
mas gerando, ao mesmo tempo, sérias dicotomias entre órgãos e setores de Governo.
Dentro da Administração Pública Federal brasileira a realidade atual mostra que a

área de TI cresceu não somente em número de soluções providas, mas também em
importância orçamentária. Para se ter um exemplo disso basta considerar que, segundo dados
da Controladoria Geral da União, no período de 2009 a 2012 a União realizou gastos diretos
de cerca de R$ 19,8 bilhões de reais com “informação e comunicação” (CGU, 2012). A
Figura 1.1, a seguir, demonstra a distribuição comparativa desses gastos por subclasses de
despesa:
Consultoria em tecnologia da informação
Desenvolvimento de programas sob

33% encomenda
Suporte técnico, manutenção e outros

serviços em TI
46%
Desenvolvimento e licenciamento de
programas de computador não
customizáveis
Desenvolvimento e licenciamento de
programas de computador customizáveis
11% Outras Subclasses
1% 2% 7%
Figura 1.1: Gráfico comparativo dos gastos diretos da União com informação e comunicação no período 2009 – 2012,
por subclasses de despesas (CGU, 2012).
Tais gastos sustêm a enorme infraestrutura tecnológica necessária à gestão do

aparelho do Estado possibilitando a manutenção e a evolução desse legado, sem o qual se
tornaria inviável administrar um país de tamanhas dimensões geográficas e peculiaridades tão
complexas.
E essa é, sem dúvida, uma das grandes razões que tem levado governos de todos os
níveis a reconhecer a área de TI como área estratégica: sua capacidade ímpar em prover o
sustentáculo à gestão governamental, habilitando os processos e fluxos de trabalho e gerando
valor inestimável ao 'negócio governo'. É essa instrumentalização tecnológica que vem
2
permitindo ao Estado implantar políticas públicas mais eficientes e prestar mais e melhores
serviços públicos.
Nas duas últimas décadas vem surgindo e sendo elaborados diversos modelos de
melhores práticas para TI, desde aqueles considerados originais até derivações e evoluções de
outros modelos (FERNANDES e ABREU, 2012). Os principais modelos em discussão na
atualidade – quer no meio acadêmico ou profissional – podem ser relacionados e
contextualizados da seguinte forma:
Tabela 1.1: Modelos de melhores práticas para gestão e governança de TI (FERNANDES e ABREU, 2012).
Modelo de melhores práticas Escopo do modelo

COBIT - Control Objectives for Modelo abrangente aplicável para a auditoria e o controle de processos
Information and related de TI, desde o planejamento da tecnologia até a monitoração e auditoria
Technology de todos os processos.
Val IT – Enterprise Value: Modelo que trata da governança dos investimentos de TI e gerenciamento
Governance of IT do portfólio desses investimentos.
Risk IT – Enterprise Risk: Identify,

Modelo que trata do gerenciamento dos riscos de TI.
Govern and Manage IT Risks
ISO/IEC 38500:2009 Modelo abrangente para governança corporativa de TI
ISO/IEC 27001 e 27002 Trata de princípios e guias para segurança da informação.
CMMI – Capability Maturity

Desenvolvimento de produtos e projetos de sistemas e softwares.
Model Integration / ISO 12207
MPS.br Modelo brasileiro para melhoria do processo de software.
ITIL – Information Technology Serviços de TI, segurança da informação, gerenciamento da

Infrastructure Library infraestrutura, gestão de ativos e aplicativos, etc.
eSCM-SP / eSCM-CL Modelos para gerenciamento de sourcing.
Mas, como as organizações públicas atuais têm lidado com essas novas práticas de
gestão de TI? Como estão se saindo em aplicar princípios de governança de TI? Uma boa
governança de TI exige que os envolvidos em implementá-la tenham conhecimentos sobre
seus fundamentos, componentes e requisitos. São esses fundamentos, componentes e
requisitos compreendidos eficazmente no âmbito da Administração Pública?
1.2 OBJETIVOS E ESTRUTURA DO TRABALHO.
Buscando melhor compreender como os conceitos e práticas de governança de TI

estão sendo tratados na esfera governamental este trabalhou objetivou realizar diagnóstico da
3
situação geral de governança de TI em uma dada organização pública com visão específica
das áreas de maturidade e excelência em produtos de TI, gestão de segurança da informação e
gestão de serviços de TI – áreas selecionadas em virtude de sua criticidade para o ‘negócio’
da organização.
A intenção desse diagnóstico, além de conhecer o próprio ambiente, é incentivar a

organização estudada a promover a melhoria de suas práticas de gestão e governança de TI,
explanando os principais fundamentos conceituais de tais práticas e sugerindo condições de
ampliar o alinhamento estratégico entre a área de TI e suas áreas de negócio.
1.3 METODOLOGIA.
1.3.1 Tipo de pesquisa.
Adota-se como estratégia para alcançar o objetivo proposto a análise de caso único,
do ponto de vista da sua natureza trata-se de uma pesquisa aplicada (ou tecnológica), pois
gera conhecimentos a partir da aplicação prática de conceitos a problemas específicos
(SILVA & MENEZES, 2001).
Quanto aos objetivos é uma pesquisa exploratória, pois não há elaboração de

hipóteses a serem testadas, sendo que a intenção é familiarizar-se com o fenômeno estudado –
através de descrições precisas da situação – e promover a geração de novas ideias (CERVO,
2007). A abordagem é qualitativa, com base em estudo de caso. Para a coleta de dados foi
aplicado o método de observação, apoiada por visitas técnicas e entrevistas informais com
apoio de roteiro semiestruturado.
1.3.2 Procedimentos metodológicos.
O estudo de caso foi realizado no período de 09/04/2012 a 16/11/2012 nas

dependências da Coordenação Geral de Tecnologia da Informação do Instituto do
Patrimônio Histórico e Artístico Nacional, na cidade de Brasília (DF).
O trabalho foi desenvolvido a partir dos conceitos e práticas apresentados durante o

desenvolvimento das disciplinas do curso de pós-graduação lato sensu em Governança de
Tecnologia da Informação, ministrado pelo Departamento de Ciências da Computação da
Universidade Federal de Lavras (MG).
Foram utilizados roteiros semiestruturados e questionários de apoio para a realização

do trabalho, essencialmente aplicados junto ao gestor de TI da organização.
4
1.3.3 Estrutura do trabalho.
O trabalho está dividido em oito capítulos. No primeiro capítulo encontra-se a

introdução ao estudo, sua contextualização e motivação, além da explanação de objetivos e
procedimentos metodológicos. No capítulo dois se faz a apresentação da organização
selecionada para realização do estudo diagnóstico, incluindo a descrição de seu ambiente de
TI.
No capítulo três inicia-se a fase de realização do diagnóstico propriamente dito, com

apresentação da situação de governança corporativa, análise de estratégias da organização e
da situação de governança de TI; incluindo um referencial teórico sobre o tema, sugestões de
melhoria e considerações finais.
O capítulo quatro trata do diagnóstico com respeito à maturidade e excelência em

produtos de TI no âmbito da organização; envolvendo a apresentação de um referencial
teórico, sugestões de melhoria e considerações finais.
No capítulo cinco a área diagnosticada é a gestão de segurança da informação e

novamente se apresenta um referencial teórico sobre o tema, descreve-se o diagnóstico de
situação na organização, fazem-se sugestões de melhoria e considerações finais sobre a área.
O capítulo seis – último da fase de diagnóstico – abrange a área de gestão de serviços

de TI e, ao molde dos capítulos anteriores, apresenta-se um referencial teórico, sugestões de
melhores e considerações finais para a área. No capítulo sete são apresentadas as conclusões
do estudo.
5
2 APRESENTAÇÃO E DESCRIÇÃO DA ORGANIZAÇÃO.
2.1 APRESENTAÇÃO DA ORGANIZAÇÃO.
O Instituto do Patrimônio Histórico e Artístico Nacional – IPHAN é uma

autarquia brasileira vinculada ao Ministério da Cultura e integrante da estrutura da
Administração Pública Federal indireta. Atualmente o órgão contra com 962 funcionários
públicos em seu quadro de pessoal (CGU, 2013).
A Administração Indireta é constituída de entidades com personalidade jurídica e

patrimônio próprio, autonomia administrativa e autogestão financeira. Sua criação é sempre
autorizada por Lei, não tendo liberdade para promover modificação ou fixação de seus
próprios fins. As autarquias executam, nesse contexto, atividades típicas da Administração
Pública, que requeiram, para seu melhor funcionamento, gestão administrativa e financeira
descentralizada (CHIAVENATO, 2006).
É finalidade institucional do IPHAN preservar, proteger, fiscalizar, promover,

estudar e pesquisar o patrimônio cultural brasileiro, na acepção do artigo 216 da Constituição
da República Federativa do Brasil de 1988 (BRASIL, 1988):
Art. 216. Constituem patrimônio cultural brasileiro os bens de natureza material e

imaterial, tomados individualmente ou em conjunto, portadores de referência à
identidade, à ação, à memória dos diferentes grupos formadores da sociedade
brasileira, nos quais se incluem:
I - as formas de expressão;
II - os modos de criar, fazer e viver;
III - as criações científicas, artísticas e tecnológicas;
IV - as obras, objetos, documentos, edificações e demais espaços destinados às

manifestações artístico-culturais;
V - os conjuntos urbanos e sítios de valor histórico, paisagístico, artístico,

arqueológico, paleontológico, ecológico e científico.
§ 1º - O Poder Público, com a colaboração da comunidade, promoverá e protegerá o

patrimônio cultural brasileiro, por meio de inventários, registros, vigilância,
tombamento e desapropriação, e de outras formas de acautelamento e preservação.
[...]
O dispositivo legal original de criação do órgão é Decreto-Lei n° 25, de 30 de

novembro de 1937, sendo este o mesmo ato normativo que instituiu o “tombamento” como
instrumento de proteção do patrimônio cultural brasileiro, aqui considerando em todas as suas
formas de expressão, tais como: modos de criar, fazer e viver; criações científicas, artísticas e
tecnológicas; obras, objetos, documentos, edificações e demais espaços destinados às
manifestações artístico-culturais; conjuntos urbanos e sítios de valor histórico, paisagístico,
artístico, arqueológico, paleontológico, ecológico e científico.
Em seu referencial estratégico, o órgão declara que sua missão institucional é

“promover e coordenar o processo de preservação do Patrimônio Cultural Brasileiro para
fortalecer identidades, garantir o direito à memória e contribuir para o desenvolvimento
socioeconômico do país” (IPHAN, 2012).
Em sua visão, o órgão busca se posicionar como “instituição coordenadora da

Política e do Sistema Nacional do Patrimônio Cultural, capaz de identificar, produzir e
difundir referências para a preservação do patrimônio cultural no plano nacional e
internacional, dotada de carreira de Estado, qualificação técnica e estrutura funcional para
atender as demandas da sociedade” (IPHAN, 2012).
O campo de atuação da organização envolve, atualmente, no que tange ao patrimônio

material, a gestão de 1.117 bens tombados, divididos em 1.006 bens tombados
individualmente, 04 conjuntos rurais e 83 sítios urbanos que englobam mais de 40 mil
edificações (outros 20 sítios urbanos encontram-se em processo de tombamento), há ainda 22
paisagens naturais tombadas. Além disso, o órgão é responsável pela manutenção do
inventário de mais de 40 mil bens móveis e integrados e de outros mais de 15 mil sítios
arqueológicos já inseridos em seu Cadastro Nacional.
Quanto ao patrimônio imaterial, o IPHAN mantém e coordena dezenas de

inventários realizados por todo o território brasileiro, tanto de referências culturais quanto de
diversidade linguística. Esses inventários são responsáveis pelo conhecimento de diversos
domínios da vida social – celebrações, saberes, modos de fazer, lugares e formas de expressão
– aos quais são atribuídos sentidos e valores de importância diferenciada, constituindo, por
isso, marcos de identidade e memória para determinado grupo social.
Por fim, o órgão também se responsabiliza pela gestão de cerca de quinze mil
volumes de livros e periódicos espalhados em bibliotecas por todo o país e, ainda, centenas de
milhares de documentos arquivísticos, registros fotográficos, cinematográficos, videográficos
e audiográficos.
As ações finalísticas empreendidas pelo IPHAN envolvem uma variada gama de

serviços, tais como:
7
a) Realização de atividades de campo envolvendo vistorias, visitas técnicas e
ações de fiscalização de núcleos históricos tombados e seu entorno, de sítios
arqueológicos e de bens culturais móveis e imóveis;
b) Análises de projetos de tombamento de bens, intervenções em bens tombados e

atividades arqueológicas. Envolvendo a emissão de pareceres técnicos,
autorizações, notificações, embargos e acompanhamento dos projetos
autorizados;
c) Análises e emissões de pareceres técnicos para os programas de renúncia fiscal

do Ministério da Cultura;
d) Autorização para circulação e comercialização de bens culturais, inclusive o

cadastramento de negociantes de antiguidades e obras de arte no país
(CNART);
e) Elaboração de instruções, inventários, laudos técnicos e relatórios de

patrimônio material e imaterial, atividades de arqueologia e patrimônio
genético;
f) Análise de estudos e relatórios de impacto ambiental (RIA) sobre

empreendimentos potencialmente capazes de afetar o patrimônio cultural
brasileiro;
g) Ações relacionadas ao Programa de Aceleração do Crescimento das Cidades

Históricas (PAC Cidades Históricas);
h) Ações de educação patrimonial.
Esses serviços são direcionados a um público extenso e heterogêneo, como

administrações públicas municipais das cidades históricas; pessoas físicas e jurídicas
negociantes de antiguidades e obras de arte; instituições, órgãos e entidades integrantes do
Sistema Nacional de Patrimônio Cultural; ocupantes de imóveis tombados pelo patrimônio
material; pesquisadores e profissionais das áreas de paleontologia, genética, arquitetura,
engenharia, urbanismo, sociologia, gastronomia, biblioteconomia, historiologia; além de
pessoas e comunidades detentoras de práticas culturais imateriais (como “modos de fazer”,
costumes, tradições, etc.). E, mormente tratar-se de um órgão público, seu principal “cliente”
é o cidadão, como maior interessado na preservação do patrimônio histórico cultural da
nação!
8
Fisicamente, o órgão tem sede na cidade de Brasília (DF) e conta com
superintendências em todas as unidades da Federação, escritórios técnicos em diversas
cidades interioranas que dispõem de grande volume de acervo patrimonial histórico, dois
parques históricos nacionais e quatro unidades especiais; totalizando assim 67 unidades físicas
instaladas em 59 diferentes cidades brasileiras.
Analiticamente, o Instituto adota uma estrutura departamentalizada mista onde há o

agrupamento, de acordo com um critério específico de homogeneidade, das atividades e
correspondentes recursos (humanos, financeiros, materiais e equipamentos) em unidades
organizacionais conforme organograma apresentado na Figura 2.1, a seguir:
Gabinete da
Órgãos Colegiados
Presidência
Procuradoria Federal Auditoria Interna
Superintendências
Estaduais
Parques Históricos
Escritórios Técnicos
Nacionais
Departamento de Departamento de
Departamento de Departamento de
Planejamento e Patrimônio Material e
Articulação e Fomento Patrimônio Imaterial
Administração Fiscalização
Centro Nacional de Centro Cultural Paço Centro Nacional de

Sítio Roberto Burle Max
Arqueologia Imperial Folclore e Cultura Popular
Figura 2.1: Organograma do Instituto do Patrimônio Histórico e Artístico Nacional.
9
2.2 DESCRIÇÃO DA TI NA ORGANIZAÇÃO.
No IPHAN a unidade gestora de TI é a Coordenação Geral de Tecnologia da

Informação (CGTI), que está subordinada ao Departamento de Planejamento e Administração
(DPA) e tem sede na cidade de Brasília (DF).
As atribuições e competências da Coordenação Geral de Tecnologia da Informação

(CGTI) estão descritas nos artigos 49 a 51 da Portaria MinC n° 92, de 05 de julho de 2012,
das quais se destacam:
a) Planejar, pesquisar, implementar, fomentar e desenvolver tecnologias de

informação, comunicação e informática que possibilitem a disseminação de
dados, informações e conhecimento necessários às ações institucionais do
IPHAN;
b) Supervisionar e monitorar o Plano Diretor de Tecnologia da Informação –

PDTI e secretariar o Comitê Gestor de Tecnologia da Informação (COGESTI),
conforme regulamento específico;
c) Definir diretrizes, padrões, normas e procedimentos para a contratação de bens,

serviços e soluções de Tecnologia da Informação - TI, no âmbito do IPHAN,
incluindo a elaboração de estudos de viabilidade técnica e econômica prévios à
implantação de tais soluções;
A estrutura funcional interna da área de TI está organizada conforme mostra a Figura

2.2, a seguir:
DEPARTAMENTO DE PLANEJAMENTO E ADMINISTRAÇÃO
Coordenação Geral de Coordenação Geral de Coordenação Geral

Coordenação Geral de
Planejamento e Logística, Convênios e
Gestão de Pessoas
de Tecnologia da
Orçamento Contrato Informação
Divisão de Sistemas de Informação
Divisão de Infraestrutura
Figura 2.2: Organograma da Coordenação Geral de Tecnologia da Informação.
10
Numa visão geral, a área de TI oferta produtos e serviços para os seguintes
segmentos:
a) Microinformática: estações de trabalho, computadores portáteis, serviços de

digitalização e impressão, periféricos, certificados digitais, licenciamento de
softwares, serviços de suporte, manutenção técnica e capacitação de usuários;
b) Redes Locais 1 : administração de ativos e passivos de rede (servidores de rede,

nobreaks, cabeamento estruturado, comunicação sem fio, ativos de segurança,
infraestrutura de armazenamento, tratamento e resguardo de dados);
c) Redes Corporativas WAN2 e VPN3: tecnologia e infraestrutura de comunicação,

ativos de rede, criptografia, serviços de manutenção e suporte, conectividade
remota;
d) Serviços de Data Center: serviços de correio eletrônico, diretório e autenticação,

segurança da informação (solução antivírus e antispyware), telefonia VoIP,
serviços de videoconferência e webconference, proxy internet e colaboração em
rede;
e) Portais Internet e Intranet: infraestrutura de portais, arquitetura da informação,

acessibilidade, layout e identidade visual, gestão de conteúdo;
f) Sistemas de Informação: metodologia de desenvolvimento, tecnologias de

desenvolvimento e de banco de dados, plataforma de integração e
interoperabilidade, plataforma de gestão eletrônica de documentos e certificação
digital, plataforma de Business Intelligence e de gestão do conhecimento, Plano de
Sistemas de Informação, gestão de desenvolvimento e manutenção de sistemas;
g) Processos de TI: processo de planejamento e tomada de decisão, definição de

políticas, normas e padrões tecnológicos, priorização das ações, constituição de
subcomitês de TI, representatividade das áreas envolvidas, legitimação das
decisões perante as áreas envolvidas.
1
Rede Local (ou LAN, acrônimo de Local Area Network) é um conjunto de hardware e software estruturado para permitir
que computadores individuais estabeleçam comunicação entre si, trocando e compartilhando informações e recursos.
2
Rede WAN (acrônimo para Wide Area Network) refere-se a uma rede de área alargada, de longa distância ou
geograficamente distribuída.
3
Rede VPN (Virtual Private Network, ou Rede Virtual Privada) refere-se a uma grande rede virtual construída sobre a
infraestrutura de uma rede pública pré-existente (no caso do IPHAN, a própria Internet).
11
A organização apresenta reduzida estrutura de pessoal em TI, sendo que a maior
parte dos recursos humanos dessa área é composta por servidores de carreiras públicas em
exercício descentralizado (vinculados essencialmente ao Ministério do Planejamento,
Orçamento e Gestão) e cujas atribuições estão relacionadas à gestão da TI no órgão. A força
de trabalho total é composta atualmente por 43 colaboradores, distribuídos conforme
demonstrado na Figura 2.3:
2% 2%
12%
14%
Servidores da carreira de TI da
própria instituição
Servidores de outras carreiras da

2% própria instituição
Servidores de carreiras em exercício

descentralizado
Servidores cedidos de outras

instituições
Terceirizados regulares
Estagiários
68%
Figura 2.3: Gráfico comparativo da força de trabalho em TI por situação de vínculo – 2012.
Os colaboradores enquadrados na situação de terceirização exercem exclusivamente

atividades de cunho técnico-operacional, conforme determinação legal. As atividades
indelegáveis de gestão de TI são executadas em um núcleo contínuo composto
exclusivamente por servidores públicos ocupantes de cargos efetivos.
Em 2009 o Conselho Nacional de Justiça publicou uma norma interna objetivando a

nivelar os recursos de TI no âmbito do Poder Judiciário, considerando inclusive uma
quantidade mínima de recursos humanos recomendada para as áreas de TI segundo as
proporções apresentadas na Tabela 2.1:
Tabela 2.1: Força de trabalho total mínima recomendada para TIC (CNJ, 2009).
Mínimo necessário de
Total de Usuários de % Mínima de força de trabalho de TIC
profissionais do quadro
recursos de TIC (efetivos, comissionados e terceirizados)
permanente
Até 500 7,00% 15
Entre 501 e 1.500 5,00% 35
Entre 1.501 e 3.000 4,00% 75
12
Entre 3.001 e 5.000 3,00% 120
Entre 5.001 e 10.000 2,00% 150
Acima de 10.000 1,00% 200
Aplicando esse mesmo parâmetro adotado pelo Conselho Nacional de Justiça (CNJ,
2009) para calcular a força de trabalho total mínima recomendada para TI, a organização
apresentaria um déficit de 75% em seu quadro próprio de pessoal na área de TI, contanto
com apenas nove servidores quando seriam necessários trinta e cinco. Porém, este é um
critério genérico e o ponto de equilíbrio ideal pode ser obtido apenas com realização de uma
análise complexa e criteriosa das operações do setor de TI, bem como do estudo dos
direcionadores estratégicos definidos pela organização para a área de TI.
Um aspecto relevante observado na organização é que, embora a estratégia

governamental de provimento de mão-de-obra para a área de TI baseie-se na terceirização
(outsourcing), é adotado um modelo de “multisourcing” (MAGALHÃES e PINHEIRO,
2007), ou seja, há a combinação de recursos internos (quadro permanente) e externos em
virtude da impossibilidade de se terceirizar as atividades de planejamento, gestão e
fiscalização.
Assim, há uma cuidadosa avaliação do que pode e deve ser passado para terceiros e
do que será executado exclusivamente pelos recursos internos. Vê-se, no caso prático, que
quando a organização opta pela prática da terceirização esta adota uma estratégia de
“outtasking” (MAGALHÃES e PINHEIRO, 2007), ou seja, contrata-se a prestação de
serviços por provedores externos abrangendo atividades específicas ao invés de terceirizar
toda uma área de serviços (prática conhecida como outsourcing).
Por força do Decreto n° 7.579, de 11 de outubro de 2011, o órgão integra o Sistema

de Administração dos Recursos de Tecnologia da Informação – SISP4, do Poder Executivo
Federal. Esse sistema é responsável por centralizar “o planejamento, a coordenação, a
organização, a operação, o controle e a supervisão dos recursos de tecnologia da informação
dos órgãos e entidades da administração pública federal direta, autárquica e fundacional, em
articulação com os demais sistemas utilizados direta ou indiretamente na gestão da
informação pública federal” (BRASIL, 2011).
O SISP realiza, dentre outras competências, o planejamento estratégico global para a

área de TI no Governo Federal, produzindo periodicamente a chamada Estratégia Geral de
Tecnologia da Informação – EGTI.
4
Informações mais detalhadas sobre o SISP podem ser obtidas no seguinte endereço eletrônico: <http://www.sisp.gov.br>.
13
Por fim, observa-se que financiamento da área de TI na organização é realizado a
partir de destinação orçamentária própria, aprovada e executada conforme as regras gerais do
orçamento público da União. Esses recursos orçamentários têm crescido seguidamente nos
últimos anos, tendo atingido no ano de 2011 seu maior patamar: R$14,6 milhões de reais.
Porém, considerando dados já consolidados de anos anteriores, o orçamento de TI representa
apenas cerca de 7,2% do orçamento financeiro global da organização – aprovado em R$203,1
milhões para o exercício de 2011 (IPHAN, 2012).
14
3 GOVERNANÇA E ESTRATÉGIA ORGANIZACIONAL E DE TI.
3.1 GOVERNANÇA E ESTRATÉGIA ORGANIZACIONAIS.
3.1.1 Referencial teórico.
Governança corporativa, para fins de referência conceitual, é o “sistema pelo qual as

organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre
proprietários, Conselho de Administração, Diretoria e órgãos de controle”. As boas práticas
de Governança Corporativa convertem princípios em recomendações objetivas, alinhando
interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu
acesso a recursos e contribuindo para sua longevidade (IBGC, 2009).
A preocupação da governança corporativa é criar um conjunto eficiente de

mecanismos, tanto de incentivos quanto de monitoramento, a fim de assegurar que o
comportamento dos executivos esteja sempre alinhado com o interesse da alta administração
(IBCG, 2012), além disso, ela cuida de prover a estrutura por meio da qual os objetivos da
organização serão estabelecidos, definindo os meios para atingi-los e monitorando seu
desempenho (SILVA, 2010).
A boa governança proporciona aos proprietários (acionistas ou cotistas) a gestão

estratégica de sua empresa e a monitoração da direção executiva. As principais ferramentas
que asseguram o controle da propriedade sobre a gestão são o conselho de administração, a
auditoria independente e o conselho fiscal (IBGC, 2009).
As organizações que adotam boas práticas de governança corporativa diferenciam-se

pelas condições internas de transparência administrativa, prestação de contas, equidade e
responsabilidade corporativa. Para tanto, são criadas condições internas propícias à divisão de
papéis e responsabilidades, estabelecimento de estratégias, monitoração de resultados e
avaliação contínua do desempenho da organização.
O termo ‘estratégia’, por sua vez, tem origem no ambiente militar onde seu conceito
refletia a arte ou ciência de conduzir forças militares para derrotar um inimigo ou para
amenizar as consequências de uma derrota em situações bélicas (OLIVEIRA, 2007). Aos
poucos tal conceito foi evoluindo e sendo adotado em diversos outros segmentos.
Assim, podemos dizer que no mundo corporativo estratégia é a “arte de planejar e

colocar um plano em ação, com o objetivo de alcançar ou manter posições relativas e
potenciais favoráveis a futuras ações táticas sobre um objetivo e procurar condições
favoráveis para alcançar objetivos específicos” (RIBEIRO, 2008). Dessa forma a estratégia
nas organizações modernas reflete uma ação intencional e planejada através da qual se
buscam objetivos predeterminados.
De forma prática pode-se dizer que a estratégia organizacional ocupa-se com os

objetivos de longo prazo e com os meios para alcançá-los, sendo construída através de um
processo dinâmico, sistêmico, coletivo, participativo e contínuo (REZENDE, 2008).
Nas organizações privadas o planejamento pode objetivar a obtenção de maiores

lucros, a perenidade dos negócios e a sobrevivência da empresa (inteligência organizacional),
todavia no ambiente governamental tais objetivos não são válidos tendo em vista que as
organizações públicas não são orientadas ao lucro nem ao mercado concorrencial. Assim, no
ambiente público o planejamento direciona as organizações para a obtenção de melhores
resultados, a otimização de recursos, a prestação de melhores serviços públicos, a estruturação
de processos, dentre outros objetivos.
Na esfera pública, a gestão estratégica contribui para a adoção de medidas de

prestação de contas, incentiva a adoção de boas práticas de gestão e auxilia na vinculação
entre a aplicação de recursos públicos e a obtenção de melhores resultados em sua utilização –
atividades integrantes do conceito de accountability (PALUDO, 2012).
Uma metodologia para definir o planejamento estratégico pode se constituir em uma

abordagem organizada para alcançar o sucesso do projeto por meio de passos
preestabelecidos, dentro de um processo dinâmico e estruturado que pode fazer uso de uma ou
mais técnicas (REZENDE, 2008).
A formulação, avaliação e revisão da estratégia organizacional podem ser

consideradas importantes dentro das seguintes perspectivas (RIBEIRO, 2008):
a) Controlar o destino da organização: a estratégia estabelece objetivos, meios,

instrumentos e formas de controle para conduzir a organização à sua meta,
firmando inclusive os limites dessa organização;
b) Visualizar oportunidades com clareza: isso se relaciona com o fato da

organização passar a melhor observar e interpretar os cenários aos quais ela
está inserida (interna e externamente), assim quando surgirem oportunidades a
organização estará mais bem preparada para agir;
16
c) Aprender a pensar em longo prazo: este talvez seja um dos grandes méritos do
pensamento estratégico e faz com que a organização possua uma mentalidade
de longo prazo em detrimento do pensamento meramente operacional;
d) Canalizar recursos para um objetivo comum: sem o estabelecimento de uma

estratégica comum os interesses particulares das diversas áreas prevalecerão
sobre o interesse coletivo, a gestão estratégica eficiente cuida em mobilizar os
recursos em torno do objetivo coletivo.
A gestão estratégica nas organizações zela pelo conjunto de decisões em torno dos
objetivos de longo prazo da organização maximizando o desenvolvimento dos valores
corporativos, da capacidade gerencial interna e trabalhando desde a formulação, a
implementação até o controle das estratégias organizacionais.
Para as organizações públicas a gestão estratégica assume ainda uma função

essencial que lhe cabe: a de nortear as políticas públicas em consonância com as necessidades
e interesses maiores da sociedade, numa perspectiva de longo prazo que se estenda além do
calendário eleitoral (FILHO, 2011).
3.1.2 Diagnóstico na organização.
Em obediência aos preceitos constitucionais da ação pública o órgão adota métodos

de planejamento de suas ações, tendo como referencial as diretrizes de Governo estabelecidas
no chamado Plano Plurianual (PPA). Segundo o órgão, o aperfeiçoamento de seu processo de
gestão estratégica ganhou força a partir do ano de 2006 quando foram realizadas as primeiras
reuniões com um Comitê Gestor, composto à época pelos diretores de departamentos,
diretores das Unidades Especiais, superintendentes e chefes das unidades sub-regionais
(IPHAN, 2012).
Tal ação visava a estruturar o planejamento estratégico da instituição e aperfeiçoar o

planejamento operacional, tendo como proposta fortalecer a estrutura descentralizada das
políticas de patrimônio; reafirmar o papel do IPHAN na definição da política nacional de
patrimônio; incentivar a democratização do acesso à informação entre os dirigentes, para
aprimorar processos de tomada de decisão compartilhada; e a implantar processos de gestão
participativa e por resultados. Nesse contexto, foram trabalhados os eixos da estratégia de
gestão da instituição, que podem ser sintetizados pelas seguintes dimensões:
a) Dimensão Estratégica, Permanente ou de Estado: contempla missão, visão de futuro,

desafios estratégicos, políticas e regras e normas.
17
b) Dimensão Situacional ou de Governo (contexto político): contempla a legitimidade
dos planos em relação às diretrizes de Governo.
c) Dimensão Operacional (capacidade administrativa): contempla estrutura

organizacional, recursos humanos, recursos tecnológicos, recursos materiais e recursos
orçamentários.
Instituiu-se também o “Comitê Nacional de Monitoramento”, composto pelo

Gabinete da Presidência, pelos técnicos do Departamento de Planejamento e Administração e
pelos Coordenadores Gerais dos demais departamentos finalísticos (IPHAN, 2012).
Ao longo desse período, foram criados indicadores para avaliação da implementação

da estratégia de desenvolvimento das políticas, programas e desafios estratégicos, bem como
um sistema de informações gerencias (SIGIPHAN 5 ), que permite o acompanhamento e
monitoramento de projetos e obras – cuja plataforma tecnológica foi customizada a partir do
SIMEC (software público desenvolvido pelo Ministério da Educação). Dentre os indicadores
criados encontram-se os seguintes:
a) IPPM – Índice de Preservação do Patrimônio Material;
b) Índice de execução Orçamentária (Geral e por Unidade);
c) Relação atividade meio/atividade fim;
d) Indicador de Produção (Geral e por Unidade).
Os principais desafios do ponto de vista do fortalecimento do processo de

planejamento estratégico são: refletir de forma mais adequadas as constantes mudanças
inseridas por imposição do Orçamento Geral da União e pela renovação do Plano Plurianual
do Governo; aprofundar e consolidar o processo de monitoramento e estruturar um sistema de
avaliação mais eficiente; além de refletir sobre os indicadores existentes e construir novos
indicadores e meios para avançar na avaliação dos resultados.
O processo de planejamento do órgão, conforme esquematizado adiante, obedece em

tese à metodologia mais comumente utilizada na atualidade pelos órgãos públicos (Balanced
Score Card – BSC) onde a alta administração define missão, visão, metas e objetivos da
organização (nível estratégico) e as unidades descendentes realizam o planejamento nos níveis
tático e operacional.
5
O Sistema de Informações Gerenciais do IPHAN – SIGIPHAN está atualmente sendo remodelado e aperfeiçoado para
atender de forma mais plena as necessidades do órgão.
18
Esquematicamente, o planejamento estratégico da autarquia direciona-se pelo
sistema apresentado na Figura 3.1, adiante:
Figura 3.1: Resumo esquemático do sistema de planejamento aplicado pela organização (IPHAN, 2012).
Porém, na prática nota-se que muito embora o IPHAN conte com um sistema
definido de planejamento organizacional não há uma metodologia padrão definida para que as
unidades realizem seus planejamentos nos níveis tático e operacional, o que provoca sérias
distorções destes em relação ao referencial estratégico geral.
A estrutura funcional da organização – que mistura traços das estruturas tradicionais

funcional (agrupamento das atividades por funções) e por produtos/serviços (agrupamento das
pessoas/atividades relacionadas a um mesmo serviço) – configura-se como um ponto
facilitador para o desenvolvimento de estratégias departamentais, porém, nem todas as áreas
extraem dos planos estratégicos os de nível tático e operacional. Algumas áreas, como a TI,
tem forte cultura de planejamento (a exemplo do PDTI) enquanto outras o realizam apenas
precariamente.
19
A comunicação do referencial estratégico da organização (missão, visão, metas,
indicadores e resultados) não ocorre de forma adequada fazendo com que grande parte dos
integrantes da organização desconheçam – ou conheçam apenas minimamente – tais
diretrizes. Como ponto positivo, nota-se a divulgação interna de relatórios de execução física
e financeira dos programas de Governo de responsabilidade da casa, muito embora estes
apresentem linguagem excessivamente técnica.
3.1.2.1 Diagnóstico de objetivos e estratégias de negócio.
O plano estratégico da organização define cinco desafios estratégicos que resumem

seus objetivos de negócio e para cada um desses objetivos foram definidas diversas iniciativas
estratégicas que visam a orientar a ação dos departamentos e unidades. Os desafios
estratégicos definidos pelo órgão para o período 2010 – 2015 (IPHAN, 2012) são:
a) Implantar e consolidar o Sistema Nacional do Patrimônio Cultural, possibilitando

ampliar a sinergia interna e externa das ações do Iphan;
b) Consolidar a cultura e a prática de planejamento no IPHAN, possibilitando que o

planejamento estratégico e sua execução sejam permanentes e cotidianos em todos
os níveis a fim de aumentar a eficiência na prestação do serviço à população;
c) Contribuir para tornar a cultura elemento estratégico de um novo modelo de

desenvolvimento do país pela aplicação do conceito ampliado de Patrimônio
Cultural nas ações do IPHAN e articulação da preservação do patrimônio cultural
às demais políticas públicas;
d) Formular e implementar uma Política de Gestão da Informação e Documentação,

aperfeiçoando a infraestrutura informacional para atender às necessidades de maior
integração das ações do IPHAN e à ampliação do diálogo com a sociedade através
de meios e formas que permitam a socialização do conhecimento e da informação
sobre o patrimônio cultural;
e) Consolidar e aperfeiçoar a estrutura organizacional do IPHAN com foco na

formação e gerenciamento de pessoas, com adequação quantitativa e qualitativa do
quadro técnico, nas necessidades de cada unidade da Federação, na modernização
dos modelos de gestão e na integração da área técnica, administrativa e jurídica.
Todos os objetivos estratégicos estão alinhados com o “negócio” da organização,

exceto aqueles que refletem um macro ambiente sobre o qual a atuação do órgão não tem
20
poder de gestão (tome como exemplo o desafio descrito na alínea “c”). Outro ponto
importante é que, embora todos os objetivos se enquadrem ao “negócio” da organização, nem
todas as “áreas de negócio” contam com desafios (objetivos) claros.
A partir da fixação dos desafios e das iniciativas estratégicas era de se esperar

encontrar um conjunto de planos de ação e de iniciativas departamentais estruturadas, no
entanto, esse nível de planejamento parece não ocorrer de forma satisfatória o que fere o
próprio sistema de planejamento estabelecido pelo órgão. Tal situação faz com que não haja o
necessário comprometimento dos departamentos e unidades descentralizadas – expresso num
instrumento interno de planejamento e apoiado na adoção de ações e metas alinhadas às
iniciativas estratégicas organizacionais.
3.1.2.2 Diagnóstico de objetivos de negócio relacionados a TI.
As áreas de Tecnologia da Informação existentes dentro da Administração Pública

Federal elaboram, por força legal, um documento de planejamento denominado “Plano
Diretor de Tecnologia da Informação – PDTI”.
A obrigatoriedade de se elaborar um plano diretor surgiu pela primeira vez na

Instrução Normativa n° 04/2008, da Secretaria de Logística e Tecnologia da Informação do
Ministério do Planejamento, Orçamento e Gestão, que promoveu significativas alterações na
forma de contratação de soluções de TI. Essa instrução normativa derivou-se de diversos
trabalhos de auditoria do Tribunal de Contas da União – TCU, que revelavam profundas
deficiências no planejamento e na governança de TI em toda a Administração Pública 6. Tal
obrigatoriedade foi mantida e reafirmada pela Instrução Normativa SLTI/MP n° 04/2010, com
ligeiras alterações acrescidas pela IN SLTI/MP n° 02/2012, ambas em vigor (BRASIL, 2010).
O primeiro PDTI do IPHAN foi elaborado durante o ano de 2009 e vigorou até
31/12/2012, nele estavam descritas treze ações estratégicas programadas para a área (IPHAN,
2010). Conforme descrito no próprio PDTI, tais as ações foram extraídas do contexto do
planejamento estratégico do órgão, tendo sido constituídas para atender às necessidades de
informação da organização e fundamentando-se na avaliação de quatro outros vetores:
necessidades e expectativas organizacionais; diretrizes de Governo; melhores práticas de
mercado; e atual capacidade da área de TI. O esquema exemplificado na Figura 3.2, a seguir,
mostra a atuação desses vetores sobre a estratégia de TI do órgão:
6
Destacam-se os Acórdãos TCU n° 786/2006 - Plenário e n° 1603/2008 - Plenário, que formam, efetivamente, a base da IN 04/2008 SLTI-
MP, reunindo extenso conjunto de recomendações a diversos órgãos, no sentido de regularizar a contratação de soluções de Tecnologia da
Informação.
21
Figura 3.2: Contexto de elaboração do planejamento de TI da organização (IPHAN, 2010).
Na Tabela 3.1 estão listadas as treze ações estratégicas de TI previstas no Plano

Diretor de TI (PDTI) 2010-2012, incluindo a apresentação de um diagnóstico da situação de
cada uma dessas ações levantado junto à Coordenação Geral de TI:
Tabela 3.1: Ações estratégicas da área de TI - Descrição e diagnóstico de situação (IPHAN, 2010).
AÇÃO ESTRATÉGICA DEFINIDA DIAGNÓSTICO
Ação não realizada: o diagnóstico não foi realizado,

Realização de diagnóstico profundo de todos os tanto para a sede quanto para as unidades
1
segmentos dos serviços de TI. descentralizadas. Mudança física da sede impactou o
planejamento e a realização dessa ação.
Modernização da infraestrutura tecnológica e de serviços,

Ação realizada: houve aquisição de desktops e
com renovação, padronização e modernização constante
notebooks para ampliação e renovação do parque de
do seu parque computacional, de acordo com as
2 estações de trabalho; aquisição de ativos e passivos de
referências governamentais e de mercado no que tange
rede; cabeamento estruturado e implantação de telefonia
aos aspectos de segurança, performance, conectividade,
VoIP.
usabilidade e disponibilidade.
22
Prestação de auxílio constante às Superintendências, Ação parcialmente realizada: ação realizada sob
Escritórios Técnicos e Unidades Especiais, visando à demanda. Quando acionada, a unidade central forneceu
3
padronização tecnológica de seu parque e a constituição um modelo de contratação de serviços, mas não houve
de sua “área de TI”, como representação local da CGTI. contratação centralizada de suporte.
Implantação progressiva de soluções e produtos em Ação parcialmente realizada: as soluções em software

software livre, sobretudo na infraestrutura, considerando livre analisadas não atenderam à necessidade, optando-se
4
as limitações dos usuários e as necessidades de pelo licenciamento de plataformas proprietárias. Porém,
comunicação com a sociedade. a diretriz foi considerada.
Ação realizada: todas as plataformas proprietárias foram

contempladas com processos de licenciamento de uso,
Licenciamento progressivo dos softwares proprietários,
5 fornecimento de atualizações e contratação de suporte
com atualização constante das versões.
técnico, com destaque para os produtos Microsoft®,
IBM®, Adobe®, Autodesk® e Corel®.
Implantação de novo paradigma de desenvolvimento de

sistemas e sítios, incluindo certificação digital, Ação não realizada: embora tenha sido realizada
documentação eletrônica, interatividade e acervo contratação de empresa para fornecimento de
6 digitalizado; implantação de arquitetura de integração e Certificados Digitais para autenticação de aplicações web
interoperabilidade entre sistemas do IPHAN e os Sistemas o contrato não foi executado e os demais itens previstos
Gerenciais Públicos Estruturadores de Governo (SIAFI, não foram contemplados.
SIAPE, SIDOR, SIASG, SIORG, SIGPLAN, etc.).
Implantação de ferramentas de Business Intelligence, para

Ação não realizada: foram realizados estudos técnicos
subsidiar a construção de bases de dados com indicadores,
apontando que, no momento, não há demanda que
7 estatísticas e informações relevantes para a formulação,
justifique a introdução de soluções de Business
execução, acompanhamento e avaliação de políticas,
Intelligence.
programas e ações do IPHAN.
Implantação progressiva de tecnologia GIS, livre ou

proprietária, para desenvolvimento de módulos em
Ação realizada: o sistema SICG marcou o início da
sistemas que necessitarem de georreferenciamento e
8 implantação de recursos de geoprocessamento, utilizando
geoprocessamento para melhor cadastro, visualização e
a solução livre Quantum-GIS.
caracterização dos objetos alvo das políticas públicas do
IPHAN.
Implantação progressiva de ambiente de videoconferência

entre as Sedes, Superintendências, Escritórios Técnicos e Ação realizada: a solução foi adquirida em 2011,
9
Unidades Especiais; implantação de recursos de web implantada em 2012 e está em plena operação.
conferência.
Implantação de melhorias qualitativas da rede interna, da Ação parcialmente realizada: foram iniciados estudos
10
rede WAN e ampliação da rede VPN. técnicos para implantação da nova rede corporativa.
23
Ação realizada: o órgão renovou o contrato de serviços
11 Crescimento e contratação de mão-de-obra especializada.
de suporte técnico especializado em TI.
Ação parcialmente realizada: segundo avaliação do

TCU, o órgão melhorou seu nível de maturidade em
Elevação do nível de maturidade e busca da conformidade
governança de TI e está investimento na qualificação de
12 dos processos internos, tendo em vista os principais
servidores nessa área. Ainda não decidiu pela adoção de
frameworks de Governança de TI do mercado.
algum framework de Governança de TI, nem realizou
mapeamento de processos internos.
Ação parcialmente realizada: o órgão definiu e

Definição de padrões, devidamente documentados e formalizou sua política de renovação de estações de
13
formalizados, para todos os segmentos de serviços de TI. trabalho, mas pouco avançou em direção a outros
segmentos.
Em números gerais a área de TI conseguiu cumprir total ou parcialmente 70% de

seus objetivos (nove em um total de treze) o que pode ser visto como um bom resultado,
principalmente quando considerada a dinâmica do setor público. Por outro lado, apenas cerca
de 40% desses objetivos foram considerados como plenamente executados (cinco em um total
de treze). Os fatores que, segundo a organização, impactaram negativamente o atingimento
dos objetivos propostos foram:
a) Planejamento financeiro deficitário: as falhas no processo de liberação de recursos

para execução do orçamento do órgão implicam a concentração de processos de
aquisição e concentração no último trimestre no ano de exercício e isso provoca
um acúmulo insuportável de projetos a serem planejados e contratados em
curtíssimo período de tempo.
b) Estrutura interna insuficiente e mal ordenada: a área de TI do órgão conta apenas

com nove servidores efetivos, sendo que destes apenas três possuem cargos de
nível de direção e assessoramento superior (um cargo DAS 101.4 referente à
Coordenação Geral e dois cargos DAS 101.2 referentes à chefia das Divisões de
Infraestrutura e Sistemas de Informação). Falta descentralização do poder
decisório, o que poderia dar mais agilidade aos projetos.
c) Ausência de mapeamento de processos: a área de TI não possui mapeamento de

seu conjunto de processos o que impacta a realização de seus projetos, é frequente
notar que diversos projetos similares seguem caminhos distintos.
24
Assim, resumidamente, para desenvolver suas estratégias de Tecnologia da
Informação a organização lança mão de ferramentas e técnicas comuns aos demais órgãos e
entidades componentes da Administração Pública Federal – em especial aqueles que integram
o chamado Sistema de Administração de Recursos de Tecnologia da Informação do Governo
Federal (SISP). Assim, as estratégias de TI da organização são desenvolvidas no âmbito do
Comitê Gestor de TI (COGESTI) e formalizadas em seu Plano Diretor de TI (PDTI).
3.1.3 Propostas de melhorias e discussão.
Com base no diagnóstico da situação da governança corporativa e gestão estratégica

na organização apresenta-se, a seguir, duas propostas de melhorias que – se implantadas –
podem auxiliar o Instituto na melhor condução de suas estratégias e planos, abrangendo todas
as fazes de tal processo.
3.1.3.1 Sistema de Planejamento e Gestão Estratégica.
Apoiando-se no referencial teórico, tem-se que a adoção de uma metodologia padrão

para construção, condução e comunicação dos planos estratégicos surge como importante
habilitador para o atingimento do sucesso de tais planos, ao passo que os conduzirá de um
modo estruturado e organizado (REZENDE, 2008). Embora a organização pareça ter uma
ideia clara de seu processo de planejamento, não há uma metodologia formalmente definida e
instituída para essa finalidade.
Sabe-se que há hoje no mercado uma grande quantidade de soluções informatizadas

cujo escopo abrange todo o ciclo de vida do planejamento estratégico. Assim, através da
adoção e uso de um sistema de gestão estratégica é possível gerenciar a construção de planos,
a geração e o monitoramento de metas e seus desdobramentos, o acompanhamento temporal
da evolução de indicadores, o apontamento e tratamento das anomalias, dentre outros pontos
importantes. Além disso, a comunicação das estratégias poderá se apoiar em relatórios
dinâmicos (dashboards) onde todos os níveis gerenciais e operacionais da organização
poderão ter acesso a informações conforme sua necessidade.
Como já descrito, o órgão conta com excelente infraestrutura tecnológica para

suportar novas soluções de TI e boa equipe técnica dedicada às atividades de gestão, de forma
que a implantação de uma solução de TI como a sugerida passa a depender tão somente da
disponibilização de recursos financeiros para sua aquisição, instalação e treinamento de
usuários.
25
Porém, mesmo que houvesse limitação financeira para a adoção da sugestão de
melhoria há alternativas viáveis baseadas em software livre e software público que podem
atender potencialmente a tal demanda. Podemos citar, por exemplo, o software público
Geplanes7, que foi desenvolvido para subsidiar a gestão das organizações na formulação e
implementação das estratégias, considerando o estabelecimento de indicadores de
desempenho, metas e planos de ação, além de permitir a rápida disseminação de informações
gerenciais, o tratamento de anomalias e não conformidades e a realização de auditorias de
gestão, dentre outras funções.
O Geplanes possui interface web e foi construído através do uso de um processo de

desenvolvimento de software certificado pelo programa MPS.BR, mantido pela SOFTEX.
Todos os componentes utilizados são softwares livres e gratuitos, portanto, teoricamente, as
instituições que vierem a adotá-lo não terão custos financeiros com licenciamento de
software. O domínio na utilização dessa ferramenta assegura um processo robusto de
alinhamento, monitoramento e a revisão contínua das estratégias corporativas, permitindo a
tomada de decisão com agilidade e precisão.
Um sistema de gestão estratégica representaria um importante avanço para a

padronização dos processos de gestão estratégica do Instituto de tal forma que os planos
estratégicos deixariam de ser ‘documentos de gaveta’ e ganhariam a dinamicidade necessária
para que seus objetivos sejam atingidos e os resultados tornem-se mais tangíveis.
Cabe considerar que atualmente, a organização desenvolve um sistema denominado

SIGIPHAN (Sistema de Informações Gerenciais do IPHAN), mas seu escopo limita-se a
“permitir o monitoramento físico e financeiro das ações e programas do IPHAN, provendo
informação de nível gerencial, rápida, com bom nível de fidedignidade e exigindo
participação de todos os gestores” (IPHAN, 2010), funções menores do que as cumpridas por
um sistema de gestão estratégica.
Nota-se que o escopo do SIGIPHAN dedica-se essencialmente a cumprir a legislação

que trata do método de acompanhamento da execução do Plano Plurianual e do Orçamento
Geral da União, enquanto que um sistema de planejamento e gestão estratégica atende a um
escopo mais amplo, dotando o Instituto de uma ferramenta capaz de elevar sobremaneira a
capacidade da governança corporativa a partir da adoção de boas práticas consagradas, como
o Balanced Score Card (BSC).
7
Mais informações sobre o software público de gestão estratégica Geplanes podem ser obtidas no seguinte endereço
eletrônico: http://www.softwarepublico.gov.br/ver-comunidade?community_id=20483099.
26
Os principais riscos para implantação do sistema envolvem a escassez de recursos
hoje destinados às ações de TI (tanto humanos quanto financeiros), devendo tal ação ser
incluída no planejamento das ações da área de TI (PDTI). Outro fator crítico de sucesso para a
adoção da melhoria diz respeito à própria capacidade interna do órgão em absorver uma
solução desse nível, pois embora haja técnicos qualificados em ambas as pontas (TI e Alta
Administração) há riscos relacionados ao acúmulo de tarefas e à ambientação de novas
rotinas.
3.1.3.2 Painel de Gestão à Vista.
A boa gestão estratégica envolve desenvolver planos de comunicação organizacional

para promover a interação da organização com os grupos que afetam e/ou são afetados por
suas políticas e ações. Planejar, desenvolver, implantar e monitorar estratégias de
comunicação contribuirá para a construção de uma relação de credibilidade dos planos da
organização, validando-os perante todas as partes envolvidas, pois, quanto maior for o nível
de disseminação desses planos maior será a chance de obter comprometimento para com os
objetivos e as metas pactuadas.
Nesse cenário as tecnologias de informação exercem o papel de tornar a

comunicação organizacional mais ágil e integrada, promovendo o acesso a uma quantidade
considerável de informações de forma rápida e estruturada.
A sugestão de melhoria consiste tão somente em inserir no portal intranet do órgão

recursos de comunicação como banners, quadros, painéis, monitores de atividades ou outros
dispositivos para difundir os planos estratégicos da instituição junto aos funcionários
envolvendo itens como missão, visão, metas e objetivos da organização e seus indicadores de
resultado. Complementarmente a essa ação pode se fazer uso de painéis físicos nas diversas
unidades do Instituto para reforçar a comunicação interna relacionada aos planos estratégicos.
Os recursos para implantação da melhoria são de fato simples e envolvem o

aproveitamento da metodologia de comunicação do próprio planejamento estratégico do
órgão e a existência de técnicos capacitados para realizar as intervenções nos ambientes já
existentes (intranet e comunicação externa).
A implantação dessa sugestão de melhoria, além de democratizar as informações,

criará uma cultura de comunicação convergente tendo como ponto de partida a discussão
acerca dos problemas de comunicação do âmbito da organização e suas possibilidades de
melhoria.
27
Um forte limitante a implantação da melhoria é a tecnologia utilizada para
desenvolvimento do portal intranet do órgão: observa-se que, embora o portal tenha sido
desenvolvido em linguagem de programação JAVA, ele apresenta forte defasagem
tecnológica e grande limitação à introdução de novos módulos e componentes e pode não ser
tecnicamente viável adaptá-lo para atender à sugestão de melhoria. Assim, uma saída possível
é incluir tal melhoria no projeto de engenharia dos novos portais corporativos do órgão.
3.1.4 Considerações Finais.
Diante de um mundo cada vez mais competitivo e globalizado, a gestão estratégica

se coloca como um dos principais desafios das organizações do século XXI. A estratégia é o
elemento chave para a criação de diferenciais competitivos que contribuem para a criação de
valor para as partes interessadas. Assim, torna-se indispensável o uso de ferramentas de
suporte que levarão ao alcance de resultados consistentes, possibilitando que as organizações
se tornem perenes e sustentáveis.
Para a Administração Pública, a consequência mais direta da ausência ou deficiência

do planejamento estratégico institucional é a impossibilidade de os gestores demonstrarem
que atendem ao princípio constitucional da eficiência, uma vez que não se pode avaliar sua
gestão por meio de parâmetros objetivos de comparação entre o planejado e o executado.
Conclui-se que a organização carece de aperfeiçoar sua cultura de planejamento

institucional de longo prazo. Tais aprimoramentos envolvem a definição de métodos internos
para elaboração e revisão periódica de um plano estratégico institucional, cuja elaboração
conte com a participação de todos os setores da organização contemplando a formulação de
objetivos, indicadores e metas para a organização, sendo aprovado pela alta administração e
tendo desdobramentos nas unidades executoras.
Este plano estratégico deve ser amplamente divulgado, monitorado e ter seus
resultados publicados – tanto para o público interno quanto para a sociedade. Tal medida visa
não somente dar cumprimento aos princípios constitucionais da eficiência, eficácia e
publicidade como também garantir que o próprio planejamento cumpra seu propósito de fato.
3.2 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO.
3.2.1 Referencial teórico.
Governança de TI pode ser entendida como a capacidade organizacional exercida

pela alta direção, gerência de negócios e gerência de TI para avaliar, dirigir e monitorar o uso
da TI para suportar o alcance dos objetivos organizacionais. Trata-se de um sistema pelo qual
28
o uso futuro e atual da TI é dirigido e controlado. Necessariamente a governança de TI está
incorporada à governança corporativa, sendo que ambas devem refletir fino alinhamento
(SILVA, 2010).
Tal conceito (governança) se difere da gestão de TI, esta é o conjunto de atividades e

projetos criados com recursos de computação ou não, objetivando integrar a estratégia de TI
às estratégias organizacionais.
Resumidamente, ao passo que a governança de TI envolve essencialmente a

definição de papéis e estruturas de tomada de decisões a partir de estratégias de negócio,
processos de apoio a decisões, avaliação de opções estratégicas, monitoração de resultados e
mecanismos relacionais para suporte à comunicação e interação entre stakeholders a gestão de
TI envolve as atividades que empregam meios (recursos, processos e pessoas) para
operacionalizar as decisões e direcionamentos definidos pela governança, incorporando o
planejamento, o desenvolvimento, a implementação de recursos e o controle operacional da
TI (TCU, 2012).
A Figura 3.3, a seguir, ilustra as relações e diferenças entre as funções de

governança e gestão na área de TI:
Figura 3.3: Governança de TI versus Gestão de TI (Adaptado de ISACA, 2011).
Frequentemente, o retorno dos investimentos em TI (em inglês return on investment

ou ROI) não é obtido na totalidade e a principal causa observada para esse resultado negativo
29
é a ênfase em aspectos puramente técnicos, financeiros ou de programação das atividades de
TI, em detrimento da atenção ao uso da TI no contexto geral do negócio, conforme é exposto
na norma ABNT NBR ISO/IEC 38500:20098.
A governança de TI inclui estruturas e processos para garantir a qualidade dos

investimentos em TI. Isso significa que ela se ocupa avaliar e direcionar o uso da TI para dar
suporte à organização, bem como monitorá-lo com vistas a verificar se o desempenho está de
acordo com os planos, em especial no que diz respeito aos objetivos de negócio, e que a TI
está em conformidade com obrigações externas (leis, normas e contratos).
De acordo com o ITGI, os dois principais objetivos da governança de TI são a

agregação de valor da TI ao negócio e a minimização dos riscos atrelados a TI (ITGI, 2012).
São focos da governança de TI, além da agregação de valor e da gestão de riscos, o
alinhamento estratégico, a gestão de recursos e a mensuração de desempenho.
Ainda de acordo com o ITGI, “a governança de TI é de responsabilidade dos

executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e
processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as
estratégias da organização” (ITGI, 2012).
No âmbito da governança de TI, a alta administração precisa garantir que as ações de

TI estejam alinhadas com a estratégia do órgão, acompanhar o andamento dos principais
projetos e das operações relacionadas a TI, bem como prover recursos para que a área de TI
efetue as atividades de gestão. Também deve cobrar da área de TI a demonstração de que os
recursos disponibilizados estão sendo utilizados adequadamente (e.g. recursos empregados
nas contratações de soluções de TI).
Portanto, cabe à alta administração exercer o papel de liderança ao emitir diretrizes e

acompanhar a implementação pelos atores envolvidos no planejamento e na implementação
das ações de TI. Na esfera pública, entre esses atores podemos citar a própria área de TI e os
gestores das soluções de TI, que são gestores das áreas de negócio que solicitam, participam
da construção das soluções e as gerenciam sob a ótica do negócio, priorizando e definindo a
natureza das alterações a serem feitas nas soluções (TCU, 2012).
Por conta das grandes mudanças econômicas ocorridas nos últimos anos, as
organizações tiveram que se adequar criando mecanismos para que suas decisões estratégicas
8
A ABNT NBR ISO/IEC 38500:2009 é uma norma padrão internacional de governança de TI elaborada pela
Organização Internacional de Normalização (International Organization for Standardization – ISO) e
internalizada no Brasil pela Associação Brasileira de Normas Técnicas (ABNT).
30
fossem mais rápidas e confiáveis. Neste ínterim, a área de TI passou a ser vista como um
recurso estratégico, devendo assim ser gerida de forma adequada e sempre harmonizada com
os objetivos da organização.
É nesse contexto de necessidades e experiências bem sucedidas que surgiu o

®9
COBIT (Control Objectives for Information and related Technology), mantido pelo
Information Systems Audit and Control Association (ISACA). Atualmente na versão “5”,
lançada em meados de 2012, o COBIT® é um guia de boas práticas apresentado como
framework, dirigido para a gestão de tecnologia de informação ele possui uma série de
recursos que podem servir como um modelo de referência para governança da TI.
O COBIT® pode ser considerado um framework integrado por reunir práticas de

governança e de gestão de TI, criando assim um sistema integrado (BERMEJO e TONELLI,
2012).
Especialistas em gestão e institutos independentes recomendam o uso do COBIT®

como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento
(ROI) percebido, fornecendo métricas para avaliação dos resultados e fatores críticos de
sucesso. O COBIT® independe das plataformas de TI adotadas nas empresas, tal como
independe do tipo de negócio e do valor e participação que a tecnologia da informação tem na
cadeia produtiva da empresa. Sua utilização na esfera pública tem sido inclusive recomendada
por órgãos de controle, tais como o TCU.
Em virtude do avanço de tais práticas a Administração Pública Federal brasileira

vem desenvolvendo seu modelo de governança de TI que, atualmente, está baseado em um
conjunto de leis específicas e normas emanadas de um macro sistema organizador 10
(FERNANDES e ABREU, 2012). Assim, o planejamento público da TI constitui um processo
de gestão norteador para a execução de suas ações, objetivando conferir foco à atuação da
área, apresentando estratégias e traçando planos de ação para implantá-las, possibilitando o
direcionamento de esforços e recursos para a consecução das metas das organizações.
Tal forma de planejamento de TI pode ser entendida como um processo gerencial

administrativo, de identificação e organização de pessoal, aplicações e ferramentas baseadas
em TI (recursos de TI), necessário para apoiar a instituição na execução de seu plano de
negócios e no cumprimento de seus objetivos institucionais.
9
COBIT® é marca registrada da Information Systems Audit and Control Association (ISACA) / IT Governance Institute (ITGI).
10
No caso da organização estudada esse macro sistema organizador é o Sistema de Administração dos Recursos de Tecnologia da
Informação da Administração Pública Federal direta e indireta – SISP.
31
No caso particular dos órgãos e entidades da Administração Pública Federal direta e
indireta o planejamento da TI é consolidado num documento denominado “Plano Diretor de
Tecnologia da Informação” (ou simplesmente PDTI). Segundo a Instrução Normativa
SLTI/MP nº 4 de 12 de novembro de 2010, artigo 2º, inciso XXII, um PDTI é um:
“instrumento de diagnóstico, planejamento e gestão dos recursos e processos de Tecnologia
da Informação que visa atender às necessidades tecnológicas e de informação de um órgão ou
entidade para um determinado período” (BRASIL, 2010).
Deve ocorrer alinhamento entre a alta administração e a área de TI para garantir a

coerência entre os planos decorrentes dos processos de planejamento, o que pode ocorrer
mediante estruturas de governança de TI, como um comitê diretivo de TI. Além dos planos do
órgão, o processo de planejamento de TI também deve utilizar as estratégias de TI do órgão
governante superior (responsável pelo macro sistema organizador) como entrada
(FERNANDES e ABREU, 2012).
Dessa forma, o propósito do planejamento de TI nas organizações públicas é atender

as necessidades de informação e de tecnologia de uma organização. Para tanto, é necessário
definir metas, ações e projetos para suprir tais necessidades (FERNANDES e ABREU, 2012).
3.2.2 Diagnóstico na organização.
Conforme explanado no referencial teórico o modelo de governança de TI adotado

na administração pública é constituído por elementos próprios, incomuns em outras áreas de
negócio. Os órgãos públicos devem conduzir seu planejamento de TI a partir do planejamento
do órgão governante superior e como desdobramento do planejamento geral do órgão.
Com base no planejamento de TI ou como parte dele, é executado o planejamento

conjunto das contratações de soluções de TI, de modo que as contratações definidas estejam
atreladas às estratégias da organizacional e da TI, bem como as dependências entre as
contratações possam ser identificadas, tanto em termos de quantidade como de sequência.
Além disso, a partir do levantamento de todas as contratações, pode-se definir o valor do
orçamento necessário para TI, que deverá compor a proposta orçamentária do órgão.
Cada contratação deve ocorrer em função dos planejamentos citados. Inicialmente é

feito o planejamento da contratação, cuja qualidade influenciará fortemente a gestão do
contrato. Após esse planejamento, ocorre a fase de seleção do fornecedor, conduzida pela área
administrativa, que solicita apoio da área de TI quando necessário. Por fim, ocorre a fase de
32
gestão do contrato, na qual se pode colher efetivamente os resultados pretendidos com a
contratação.
Se no planejamento da contratação de uma solução concluir-se que ela é divisível, na

verdade, são selecionados dois ou mais fornecedores e é feita a gestão de dois ou mais
contratos. Em paralelo aos processos descritos, ocorrem os processos de governança de TI,
mediante os quais a alta administração emite diretrizes e acompanha a implementação delas.
É esperado que muitas delas envolvam contratações de TI.
Como parte do acompanhamento da alta administração podem incidir controles e

serem realizadas auditorias (internas e/ou externas) na área de TI, sendo que as instâncias de
controle externas ao órgão podem atuar sobre todos os processos descritos, com ênfase em
princípios como eficiência, eficácia e legalidade, e sobre os controles internos definidos pelos
gestores (TCU, 2012).
Portanto, o processo de planejamento da área de TI é influenciado por diversos

outros processos, conforme ilustrado na Figura 3.4 a seguir:
Figura 3.4: Contexto do planejamento da TI na Administração Pública (Adaptado de TCU, 2012).
33
Para apoiar as atividades de governança de TI pela alta administração e as de gestão
de TI pela área de TI, são utilizados artefatos e estruturas organizacionais. Um exemplo
dessas estruturas é o “Comitê Gestor de Tecnologia da Informação” (COGESTI), que se trata
de comitê diretivo ligado diretamente à alta administração para apoiá-la na elaboração das
estratégias de TI e no acompanhamento do alcance dos objetivos de TI da organização,
utilizando, dentre outros instrumentos, relatórios periódicos sobre as ações relativas a esta
área (BERMEJO e TONELLI, 2012).
Para desenvolver suas estratégias de Tecnologia da Informação a organização lança

mão de ferramentas e técnicas comuns aos demais órgãos e entidades integrantes da
Administração Pública Federal – em especial aqueles que compõem o SISP. Assim, as
estratégias de TI da organização são desenvolvidas no âmbito do Comitê Gestor de TI
(COGESTI) e formalizadas em seu Plano Diretor de TI (PDTI).
As técnicas aplicadas para desenvolvimento do PDTI estão descritas no “Guia de

Elaboração de PDTI do SISP”, documento produzido pelo órgão central desse sistema
(SLTI/MP) para orientar e auxiliar seus integrantes sobre como produzir seus Planos
Diretores de TI (BRASIL, 2012). Conforme demonstrado na Figura 3.5 abaixo, o processo de
produção do PDTI envolve basicamente três fases: a preparação, o diagnóstico e o
planejamento.
Figura 3.5: Tarefas básicas do processo de elaboração do Plano Diretor de TI (BRASIL, 2012).
O PDTI tem se mostrado uma excelente ferramenta para o planejamento das

necessidades de TI no âmbito do órgão, pois seu modelo de elaboração é baseado em
modernos princípios de planejamento e está alinhado à atual conjuntura tecnológica da
Administração Pública.
34
No entanto, embora sejam suficientes, as técnicas para construção do PDTI carecem
de maior maturidade quando o assunto é a promoção do alinhamento de objetivos entre a TI e
as áreas finalísticas (negócio), atualmente cada área parece apenas defender suas próprias
necessidades sem ter a correta noção da conjuntura geral ou dos impactos das decisões sobre
todas as áreas, há a percepção de que prevalece uma visão sedimentada sobre o papel da TI.
Para construção do PDTI é formalizada uma equipe de elaboração e o documento

final é oficializado pela autoridade máxima do órgão em publicação no Diário Oficial da
União.
Há excelente nível de formalização também para o COGESTI, sua criação e

instituição de seu regimento interno foram ratificadas pela autoridade máxima do órgão e
publicadas internamente. A convocação de reuniões, divulgação de pauta e divulgação de
Atas de Reuniões também é formal, com ampla divulgação interna.
Quanto ao funcionamento dessas estruturas, podemos notar que o “Guia de

Elaboração do PDTI do SISP” contém bom nível de documentação do funcionamento e
especificações prévias sobre a atuação de pessoas e grupos envolvidos na elaboração da
estratégia de TI. Este mesmo cenário se repete quando analisamos os processos no âmbito do
COGESTI, pois seu regimento interno contém bom nível de detalhamento com respeito ao
seu funcionamento e à atuação dos envolvidos.
No entanto, há deficiência quando analisamos a existência de indicadores para

avaliar o desempenho do procedimento e a existência de responsáveis por sua melhoria: não
há indicadores para avaliação tanto do desempenho do procedimento de elaboração do PDTI
quanto da atuação do COGESTI e o único envolvido de fato interessado na melhoria do
procedimento parece ser a própria área de TI.
O nível de formalização verificado tem se mostrado adequado à atual conjuntura,

outrora há necessidade de uma melhor definição dos papéis e atribuições dos envolvidos e
maior participação das áreas de negócio como motivadoras do desenvolvimento de
estratégias. No cenário atual, as áreas de negócio atuam no processo de desenvolvimento de
estratégias apenas quando são provocadas e muito raramente de mote próprio. Os envolvidos
no desenvolvimento de estratégias de TI na organização são:
a) Alta administração, através do Comitê Gestor de TI;
b) A área de TI, através da Coordenação Geral de Tecnologia da Informação;
35
c) As áreas finalísticas; através das diretorias de departamentos, chefes das
superintendências estaduais e chefes de unidades sub-regionais.
O Comitê Gestor de TI é o responsável por aglutinar todas as discussões acerca do

desenvolvimento de estratégias de TI, sendo que toda e qualquer demanda nesse sentido deve
ser encaminhada a ele. Já a CGTI é responsável por implantar as estratégias definidas,
acompanhar seu andamento e reportar o desempenho ao COGESTI.
As áreas finalísticas participam na elaboração de estratégias de TI apresentando suas

necessidades durante o desenvolvimento do PDTI ou nas reuniões periódicas do COGESTI.
Nota-se que embora o Comitê Gestor de TI (COGESTI) reflita de forma satisfatória

o envolvimento da alta administração e dos representantes das unidades organizacionais isso
parece não ser suficiente para garantir o pleno alinhamento e o atendimento às demandas de
negócio, isso porque as demandas planejadas são constantemente ‘atropeladas’ por demandas
emergenciais e há considerável inconstância na priorização das demandas planejadas.
O Plano Diretor de TI (PDTI) tem vigência definida durante sua construção, sendo
que o primeiro PDTI elaborado pela organização foi construído em 2009 para vigorar no
período 2010 a 2011, tendo sido sua vigência prorrogada também para o ano de 2012. Prevê-
se que no primeiro trimestre do ano de 2013 será elaborado um novo PDTI.
Como não há uma norma superior que defina a periodicidade de atualização do

PDTI, a estratégia adotada no órgão condiz com seu cenário e o amadurecimento da própria
cultura interna de planejamento das estratégias de TI tem contribuído para a discussão desse
tema. Atualmente prevalece a ideia de que o PDTI seja um instrumento ‘vivo’ e que reflita de
fato as necessidades do órgão, as atualizações tem sido suficientes para garantir que todas as
necessidades estejam cobertas por ações e que essas sejam implantadas dentro do prazo
programado.
O primeiro PDTI elaborado pelo órgão não continha indicadores de monitoração para
avaliar o nível de atingimento das estratégias, foram descritos apenas planos de ação com
limite temporal para realização e a avaliação da execução desses planos é uma das fases que
antecede a construção de um novo PDTI.
Os procedimentos de monitoração das estratégias de TI são fundados basicamente na

avaliação dos planos de ação planejados no PDTI e no acompanhamento da implementação
das decisões emanadas do COGESTI. Ocorre que o reporte dessas avaliações é realizado
36
apenas durante as próprias reuniões do COGESTI gerando um intervalo entre o período de
identificação de inconsistências ou desvios e a tomada de decisão acerca das ações corretivas.
Também não se observa a existência de monitoração do índice de descarte de

estratégias planejadas para a TI. Embora sabidamente haja descartes, esses não têm suas
causas precisamente diagnosticadas e documentadas sabe-se que a maioria deles ocorre por
questões relacionadas à orçamentação – como falta de recursos financeiros, demora na
liberação do orçamento ou encerramento de prazos para execução orçamentária. Uma
avaliação da performance de cumprimento das estratégias de TI foi considerada no item
3.1.2.2 acima.
Para o próximo ciclo de planejamento a organização prevê a adoção de conceitos

baseados na metodologia Balanced Score Card (BSC), para avaliar o desempenho das
estratégias de TI relacionando-as a indicadores financeiros, conhecimento, processos internos
e clientes.
Quanto aos arranjos decisórios de TI, cuja análise pode ser vista no ANEXO II,
notamos que estão mais presentes os arquétipos centralizados onde as decisões são mais
voltadas à padronização, ao controle de custos e apresentam menor flexibilidade e
responsividade em atender demandas localizadas. Segundo BERMEJO (2012; p. 41) “os
arquétipos de governança de TI definem quem é o responsável pelas decisões envolvendo os
domínios da TI, especificando quais níveis e partes da organização serão envolvidas neste
processo decisório”.
A matriz poderia levar a crer tratar-se de um arquétipo de federalismo, tendo em

vista que o Comitê Gestor de TI (COGESTI) é responsável pelas decisões em princípios de TI
e apoia o domínio de priorização e investimentos. No entanto, cabe ressaltar que as decisões a
cerca de investimentos são de responsabilidade da alta administração (executivos) e que não
há obrigação destes em seguir as definições estabelecidas pelo Comitê.
Não é da cultura organizacional vista na Administração Pública que os gestores de

primeiro nível (alta administração) acatem decisões vindas de esferas inferiores da
organização, pois estes sempre reservam para si o poder da decisão final.
Quanto às decisões nos domínios de arquitetura e infraestrutura de TI, a organização

apresenta um arquétipo de monarquia de TI vez que a responsabilidade decisória cabe à CGTI
(Gerência de TI). Esse ambiente, onde prevalece a condição técnica privilegiada da gerência
37
de TI em relação às demais instâncias, tem de fato levado a uma maior padronização
tecnológica da organização.
Para o domínio de aplicações de negócio nota-se um arquétipo de monarquia de

negócio, pois, muito embora a gerência de TI participe fortemente nas decisões sobre
aquisição de aplicações, os recursos financeiros para essas soluções provem das respectivas
áreas de negócio cabendo a estas a decisão final.
Neste caso, o cenário mais aconselhável para a organização seria o arquétipo de

duopólio onde a gerência de TI e as áreas de negócio decidissem conjuntamente sobre as
aplicações de negócio buscando conciliar – conforme BERMEJO (2012; p.48) – “(1)
demandas locais das áreas e (2) padrões arquitetônicos definidos para a TI”.
3.2.2.1 Identificação de processos críticos.
O IPHAN empreende um esforço significativo na implementação de melhorias na

sua gestão, há diversas iniciativas em andamento que traduzem muito bem esse esforço, como
a existência de um planejamento estratégico organizacional que se desdobra diversos planos
setoriais. No entanto, o órgão carece severamente de realizar um mapeamento de seus
processos de negócio isso porque não há, no momento, qualquer processo minimamente
mapeado.
Dada a ausência desse requisito (mapeamento de processos) torna-se complexa a

tarefa de identificar processos críticos para a organização. Não que esses inexistam, mas,
antes, que não há qualquer parâmetro analítico para identificar quais processos de fato
impactam criticamente o ‘negócio’ da organização.
Considerando os processos estabelecidos pelo framework COBIT®, em sua versão 5,

buscou-se identificar junto ao executivo de TI da organização dois processos prioritários para,
então, avaliar o nível de maturidade destes. Os processos priorizados e a respectiva avaliação
de maturidade estão sintetizados na Tabela 3.2 abaixo:
Tabela 3.2: Processos críticos priorizados e síntese da avaliação de maturidade.
Processo (COBIT® 5) Prioridade Nível de maturidade desejado Nível de maturidade atual

BAI3 – Identificação e
desenvolvimento de 1° Processo Otimizado (Nível 5) Processo Executado (Nível 1)
soluções.
APO10 – Gerenciar
2° Processo Otimizado (Nível 5) Processo Executado (Nível 1)
fornecedores.
O processo crítico de identificação e desenvolvimento de soluções (“BAI3” em

referência ao COBIT® 5) relaciona-se com o objetivo de entregar serviços de TI em
38
conformidade com os requisitos de negócios, buscando reduzir interrupções nas atividades de
negócio devido a incidentes em serviços de TI e oferecendo elementos para manter os clientes
internos satisfeitos com a qualidade da prestação desses serviços. O nível de maturidade
desejado pela organização para este processo é o de “Processo Otimizado” (Nível “5”). Neste
nível, além de ser monitorado a partir de métricas quantitativas e existirem controles para
correção de defeitos, o processo é continuamente aprimorado para suportar objetivos de
negócio apresentando também traços de inovação.
De acordo com a avaliação realizada o processo encontra-se no nível “1” (“Processo

Executado”). As principais deficiências dizem respeito à medição de desempenho (não há
qualquer métrica estabelecida para verificar o desempenho do processo), ao controle (incidem
apenas controles de legalidade e conformidade), à otimização (não há inovação no processo) e
à melhoria contínua (não há introdução contínua de melhorias ao processo). Como ponto
forte, o processo conta com amplo apoio de dispositivos de regulamentação, o que torna sua
execução melhor compreendida. Embora não haja uma formalização interna do processo, há
vasto regulamento externo ao qual a instituição está subjugada que deve ser seguido. Aliás
essa característica se deve muito mais à natureza jurídica da organização (órgão público) do
que à própria maturidade do processo.
Para que o processo alcance o nível de maturidade desejado será necessário

implantar atributos de gestão do desempenho (objetivos, indicadores, responsabilidades) e de
produtos de trabalho (entradas, saídas, requisitos, controles), de definição e programação e de
medição e controle do processo.
Já o processo crítico de gerenciamento de fornecedores (“APO10” em referência ao

®
COBIT 5) tem por finalidade minimizar o risco associado ao baixo desempenho de
fornecedores e assegurar custos racionais para os serviços de TI ofertados. Relaciona-se com
o objetivo de gerenciar riscos de negócios relacionados a TI. Para este processo a organização
também deseja o nível de “Processo Otimizado” (Nível 5), sendo continuamente medido e
aprimorado. Sua avaliação – assim como ocorre para o processo anterior – mostra que, no
momento, seu nível de maturidade é de “Processo Executado” (Nível 1).
Os pontos fracos também se repetem: não há métricas de avaliação do desempenho;

incidem apenas controle de legalidade e conformidade; não há otimização de recursos nem
tampouco introdução de inovações. O ponto forte mais uma vez recai sobre a existência bom
nível de dispositivos legais e normas que regulamentam o processo que, embora externos à
organização, direcionam todo o modo como o processo é executado. O processo alcançará o
39
nível de maturidade desejado com a introdução de atributos de gestão do desempenho,
definição e formalização interna do processo (internalização de normas), atribuição de papéis
e responsabilidades, geração e medição de indicadores de desempenho e introdução de
controles ao processo.
3.2.3 Propostas de melhorias e discussão.
Com respeito aos processos priorizados, uma das principais necessidades da

organização é a definição, formalização e adoção do processo corporativo de provimento e
gerenciamento de soluções de TI, internalizando a aplicação das leis e normas às quais esta se
submete. Essa sugestão de melhoria, se implementada, é capaz de tratar as atividades dos
processos “BAI3” e “APO10” – ambos integrantes do framework COBIT® 5 – de forma
ampla e satisfatória alinhando os processos já existentes com boas práticas previstas em
frameworks de governança de TI.
Dentro desse processo podem ser abrangidos aspectos importantes, tais como: a
especificação e controle de requisitos das soluções de TI; a definição de critérios e métodos de
monitoramento e avaliação de qualidade; a definição e avaliação de níveis mínimos de
serviço; a definição de critérios de seleção e avaliação de fornecedores; e o acompanhamento
da execução contratual das soluções contratadas.
Além do alinhamento às necessidades dos processos críticos para implantação da

governança de TI anteriormente considerados, refletidos nos processos do COBIT® 5 – em
especial os processos “BAI3” e “APO10”– envolve ainda a aplicação das práticas de gerência
de projetos (GPR), gerência de requisitos (GRE) e processo de aquisição (AQU), abrangidas
pelo modelo de melhoria denominado “MPS.BR”.
O propósito da gerência de projetos é estabelecer e manter planos que definem as

atividades, recursos e responsabilidades de um projeto, bem como prover informações sobre o
andamento do projeto que permitam a realização de correções quando houver desvios
significativos em seu desempenho. Tal propósito evolui à medida que a organização cresce
em maturidade, mudando seu enfoque conforme a evolução da organização.
Entre os resultados possíveis estão a correta definição do escopo dos projetos de

soluções de software e dos produtos de TI, inclusive com utilização de métodos de
dimensionamento mais adequados; a definição do ciclo de vida do projeto; o controle sobre
esforço e custos do projeto; o correto planejamento das atividades do projeto, incluindo
orçamento e cronograma e a definição de marcos e pontos de controle.
40
Já com respeito à gerência de requisitos, seu propósito é gerenciar os requisitos do
produto e dos componentes do produto do projeto e identificar inconsistências entre os
requisitos, os planos do projeto e os produtos de trabalho do projeto. Seus resultados possíveis
são o correto entendimento dos requisitos junto a suas fontes; a avaliação dos requisitos com
base em critérios objetivos; a rastreabilidade bidirecional entre requisitos e produtos do
trabalho; viabilização de revisões e correções de inconsistências nos planos e produtos e
gerenciamento de mudanças do projeto.
O propósito do processo de aquisição de produtos e serviços de TI é gerenciar a

aquisição de produtos e serviços que satisfaçam às necessidades expressas pelo adquirente,
assegurando que estas, juntamente com as metas, os critérios de aceitação, os tipos e a
estratégia de aquisição, estejam corretamente definidos e sejam aplicados critérios adequados
de seleção de fornecedores, resultando em contratações mais eficientes.
Juntos esses processos são capazes de assegurar que os produtos de TI fornecidos

satisfaçam a necessidade expressa pelos clientes e se torne menos complexo gerenciar o
atendimento às condições dos projetos (como custos, cronograma e qualidade). Por outro
lado, haverá critérios seguros e documentados de avaliação e validação dos resultados
(produtos) dos projetos.
Em síntese, a implantação dessa sugestão de melhoria envolve empreender as

seguintes ações na organização:
a) Análise e consolidação de leis, normas, modelos e guias de contratação e

gerenciamento de soluções de TI aplicáveis;
b) Elaboração, aprovação e implantação do processo interno de provimento e

gerenciamento de soluções de TI no âmbito da organização, internalizando as
normas aplicáveis a partir de conceitos extraídos de modelos de boas práticas de
governança, gestão e melhoria de produtos e serviços de TI;
c) Construção e incorporação de indicadores de desempenho e de métricas de

avaliação da qualidade de produtos e serviços de TI ao plano estratégico de TI;
d) Avaliação e melhoria contínua do processo implantado, a partir dos resultados de

seus indicadores de desempenho e avaliação da qualidade.
A Coordenação Geral de Tecnologia da Informação (CGTI), como unidade gestora

da área de TI, seria a principal encarregada pelo desenvolvimento das ações previstas, com
41
patrocínio do Comitê Gestor de Tecnologia da Informação (COGESTI). Como há no quadro
de pessoal da unidade os recursos humanos necessários para desenvolver as ações não haveria
custos extras com mobilização de pessoal ou contratação de consultoria externa (esta última
despesa poderia ocorrer apenas futuramente para melhoria do processo).
Um dos principais argumentos para angariar o patrocínio superior necessário à

implantação desta proposta de melhoria é o fato de que as ações previstas têm como principal
mote a redução de custos operacionais e a otimização dos recursos do órgão (tanto humanos
quanto financeiros).
Estas ações, se bem escalonadas, podem ser realizadas em curto período de tempo.
Havendo, assim, possibilidade de incluir já no próximo PDTI da organização indicadores de
avaliação do impacto dessa melhoria em função de dois de seus objetivos de TI: entregar
serviços de TI em conformidade com os requisitos de negócio; e gerenciar riscos de negócio
relacionados a TI.
A sugestão de melhoria objetiva garantir que os serviços de TI prestados por todos os

tipos de fornecedores atendam aos requisitos da empresa, incluindo a seleção de fornecedores,
gestão de relacionamentos, gestão de contratos e revisão e acompanhamento do desempenho
do fornecedor, além da conformidade e eficácia. O quadro apresentado no ANEXO IV traz
uma sugestão de indicadores que podem ser adotados objetivando medir o sucesso dessa
sugestão de melhoria.
As práticas desse processo, orientadas pelo framework COBIT® 5 envolvem

identificar e avaliar contratos e relacionamentos com fornecedores; selecionar fornecedores de
acordo com uma prática justa e formal; formalizar e gerir contratos; gerenciar riscos das
contratações e dos fornecedores e monitorar o desempenho e a conformidade dos contratos.
Como segunda sugestão de melhoria indica-se a adoção de um framework de boas

práticas em governança de TI pela organização. Um framework pode ser entendido como
um conjunto de conceitos usado para resolver um problema de um domínio específico.
Frameworks de melhores práticas em governança de TI formam um quadro orientador para
melhorar o desempenho, prover transparência, agregar valor e aumentar o controle sobre as
atividades que envolvem TI dentro de uma organização, colaborando para que este esteja
alinhado aos objetivos de negócio e que os serviços entregues satisfaçam a requisitos tais
como qualidade, custos e segurança.
42
Organizações procuram cada vez mais agregar valor ao seu negócio, ao mesmo
tempo em que gerenciam riscos de crescente complexidade. Nesse sentido, a utilização de
frameworks de melhores práticas pode auxiliar essas organizações a não mais “reinventar a
roda” uma vez que as práticas apresentadas já foram testadas pelo mercado, provendo
resultados comprovadamente satisfatórios.
Existem atualmente no mercado brasileiro ao menos dois frameworks voltados às

atividades de gestão e governança de TI: ITIL® e COBIT®. Enquanto este último concentra-se
na definição, implementação, fiscalização, medição e melhoria dos controles para processos
específicos (que abrangem toda a implementação do ciclo de vida da TI, sendo um excelente
modelo de referência para governança de TI), o foco principal de ITIL® é fornecer as
definições de melhores práticas e critérios para as operações e serviços de TI.
Assim, se o objetivo é melhorar a qualidade e capacidade de medição da governança

aplicada em todo o ciclo de vida da TI (ou implementação de um sistema de controle para
conformidade regulamentar) COBIT®, provavelmente, seria uma escolha mais eficaz. Por
outro lado, se o objetivo é melhorar continuamente a eficiência das operações de TI e
qualidade de atendimento ao cliente, ITIL® seria, provavelmente, a melhor aposta. No
entanto, não se deve olhar para essas comparações como uma análise COBIT® versus ITIL®.
É importante entender as diferenças de cada um dos frameworks e adaptá-los conforme
necessário para atender as especificidades de cada ambiente organizacional.
As limitações à adoção de um framework de governança de TI mais uma vez dizem

respeito à existência de pessoal capacitado, o que de fato pode ser resolvido. Noutra vertente,
haverá a necessidade de contratação de consultoria externa para a implantação e,
provavelmente, necessidade de aquisição de ferramentas complementares e de apoio.
3.2.4 Considerações finais.
Assim como ocorre com as deficiências no planejamento estratégico de negócio, uma

das consequências da ausência ou deficiência no planejamento de longo prazo para a TI
consiste na impossibilidade de evidenciar cumprimento ao princípio constitucional da
eficiência. De fato, quando a TI falha em planejar ela invariavelmente terá dificuldades em
comprovar que suas despesas executadas estão amparadas nos melhores resultados possíveis
diante das possibilidades de investimento.
Sobre o tema, cabe registrar que o plano estratégico de TI não deve ser visto com um
documento do setor de TI da organização, mas sim como um documento da organização, vez
43
que formalizará a alocação de recursos (financeiros, humanos, materiais, etc.) para que a TI
atenda às demandas do negócio.
A organização tem avançado significativamente nos últimos anos em relação à

melhoria de sua situação de governança de TI, sendo que um dos indicadores que demonstram
essa melhoria é a evolução do “Índice de Governança de TI – IgovTI”. Monitorado pelo TCU,
esse índice aponta a situação da governança de TI a partir da coleta de informações em
questionário disponibilizado a instituições representativas de diversos segmentos da
Administração Pública Federal. A definição dos tópicos avaliados e os critérios utilizados
fundamentam-se em legislação aplicável ao setor, normas técnicas da ABNT e modelos de
boas práticas reconhecidos internacionalmente (TCU, 2013).
A organização avançou do índice de 0,18 em 2007 para 0,36 em 2012. O “IgovTI” é

medido numa escala de 0,0 (zero) a 1 (um) onde, segundo os critérios do TCU (TCU, 2013),
quanto mais próximo de um mais avançadas são as práticas de governança de TI na
organização. Segundo estes mesmos critérios, o IPHAN se enquadra entre as organizações
cujas práticas de governança de TI ainda estão em estágio considerado inicial (“IgovTI” entre
0,0 a 0,40). A Figura 3.6, a seguir, mostra a evolução do índice na organização para o período
de 2007 a 2012:
1,00
INDICE DE GOVERNANÇA DE TI - TCU
0,80
0,60
0,36
0,40
0,27
0,18 0,18 0,18 0,20
0,20
0,00
2007 2008 2009 2010 2011 2012
PERÍODO
Figura 3.6: Evolução do Índice de Governança de TI (iGovTI) mensurado pelo TCU na organização, no período 2007
a 2012 (TCU, 2013).
Como vimos, os modelos de “boas práticas” e as normas técnicas atribuem à “alta

administração” a responsabilidade de governar a TI, ou seja, de garantir que a TI funcione de
forma integrada e que agregue valor ao negócio. No entanto, há alguns elementos importantes
44
que devem ser implantados para que esse governo seja efetivo, entre os quais se destaca a
dimensão “Liderança”, apresentada a seguir.
Um comitê estratégico de TI tem como funções básicas assegurar que a governança

de TI seja adequadamente tratada, aconselhar a direção estratégica de TI e revisar os grandes
investimentos. Já um comitê de direção de TI tem como atribuições típicas priorizar os
investimentos de TI em alinhamento com a estratégia e as prioridades do negócio da
instituição, acompanhar o status dos projetos e resolver conflitos por recursos e monitorar os
níveis de serviço e as melhorias implantadas na organização.
O diagnóstico aponta que a organização possui um comitê estratégico de TI em

funcionamento, porém sua atuação ainda é tímida em aspectos como participação do
planejamento da TI em longo prazo e priorização de investimentos. Além disso, tal comitê
poderia ser mais atuante em buscar alinhar a TI ao negócio da organização.
Um dos pontos fortes da organização diz respeito ao seu próprio ambiente de

atuação, onde há forte demanda por aderência a leis, normas e regulamentos sobre aquisição
de bens e serviços de TI e gestão de contratos públicos. Isso favorece a definição de processos
internos e a aplicação de boas práticas de gestão e governança de TI. Aliás, a definição formal
de processos na área de TI é, hoje, uma das grandes necessidades da área.
Como ponto negativo, está o baixo alinhamento entre a área de TI e as áreas de

negócio. Assim entendido pela pouca interação entre essas áreas quanto ao planejamento de
demandas e alinhamento de necessidades.
A organização compreende que a importância de promover a adoção de melhores

práticas de governança de TI como forma de alavancar melhores resultados e,
consequentemente, de sua necessidade de mapear, definir e implantar processos formais de
planejamento, aquisição e gestão de produtos e serviços de TI.
No cenário público atual a TI exerce papel cada vez mais estratégico dentro das
organizações, tendo inclusive se transformado em estrutura crítica, sendo assim investir na
melhoria dos processos de TI é uma das maneiras mais sólidas para que a organização possa
garantir a sustentabilidade de suas funções, tanto a administrativa como a finalística, em longo
prazo.
Com respeito às sugestões de melhoria cabe considerar que, como órgão componente
da Administração Pública Federal, a organização segue um processo bastante formal –
embora antigo e engessado – de seleção de fornecedores, definido pela lei Federal n°
45
8.666/1993 (Lei Geral de Licitações e Contratos Públicos) e para o qual há uma considerável
diversidade de regulamentações complementares.
No tange especificamente à seleção de fornecedores de TI, aplica-se à organização

todo os disposto na Instrução Normativa SLTI/MP n° 04/2010. Porém, a organização ainda
não internalizou tais normas e regulamentos em um processo interno definido e formalizado e
isso, de fato, poderá representar um grande avanço em sua capacidade de governança sobre tal
processo. Na organização a seleção e o gerenciamento dos fornecedores é realizado segundo
critérios legalmente definidos (devido processo legal, análise da capacidade financeira,
verificação da situação fiscal, etc.), mas tais critérios não são devidamente monitorados o que
aumenta a exposição ao risco de descontinuidade na prestação de serviços contratados.
A mitigação dos riscos relativos a esses processos muito depende da definição clara
dos papéis e responsabilidades de cada um dos stakeholders (ou, partes envolvidas), ação
ainda incipiente na organização. Em razão disso, são deveras factíveis as sugestões realizadas.
46
4 MATURIDADE E EXCELÊNCIA EM PRODUTOS DE TI.
4.1 REFERENCIAL TEÓRICO.
Segundo NETO (2008; p. 16), ao contrário do que se possa imaginar, o processo de

desenvolvimento de softwares pode ser definido de forma similar a qualquer outro produto.
Um processo de software maduro e consolidado é um dos fatores críticos de sucesso para que
as organizações realizem, de fato, os benefícios planejados e isso se deve em partes ao fato de
que o desenvolvimento de softwares representa o maior custo para a maioria dos produtos de
TI (COSTA e RESENDE, 2008).
A existência de metodologias de desenvolvimento de softwares não é algo novo no

setor, tal tema é inclusive tratado por uma norma padrão internacionalmente aceita: a ISO/IEC
12207. Essa norma “estabelece uma estrutura comum para os processos de ciclo de vida de
software, com terminologia bem definida” e contendo “processos, atividades e tarefas que
devem ser aplicados na aquisição, no fornecimento, no desenvolvimento, na operação e na
manutenção dos produtos de software” (COSTA e RESENDE, 2008).
Um processo de software, em suma, é um conjunto de atividades, métodos e

procedimentos a serem seguidos no desenvolvimento e manutenção do software, que visa
monitorar e mitigar os riscos associados às atividades, garantindo a entrega do produto
projetado em nível de qualidade aceitável (TCU, 2012). Uma norma de referência
internacional aceita no Brasil para avaliar a maturidade de um processo de software é a
ISO/IEC 15504.
Mormente não ser objeto deste estudo, a tendência atual mostra que as metodologias
de desenvolvimento de software baseadas em processos considerados tradicionais vêm
cedendo cada vez mais lugar às chamadas ‘metodologias ágeis’ – como Extreme
Programming e Scrum – que sacrificam o aspecto burocrático em nome da produtividade.
Essas ‘metodologias ágeis’ surgem, assim, como uma reação aos modelos tradicionais e
extremamente conceituais, cuja crítica mais frequente é que são burocráticos, ou seja, exigem
documentação excessiva e impactam negativamente a qualidade do produto.
O cenário vivido pelos órgãos e entidades integrantes da estrutura da Administração

Pública brasileira é de crescente terceirização dos serviços de desenvolvimento de softwares,
resultando na busca por produtos mais eficientes e menores custos. Ocorre que isso demanda
um grande desafio às organizações: gerenciar de forma eficiente o processo de
desenvolvimento, principalmente o aspecto de garantir a qualidade do que é entregue.
Recente levantamento realizado pelo Tribunal de Contas da União mostra que apenas
20% das instituições públicas pesquisadas possuíam um processo de software definido e que
em 40% das instituições desenvolvem produtos de software sem a orientação de um processo,
entre as quais, “15% não adotam sequer conceitos de qualidade” (TCU, 2012). Esse quadro
revela o risco a que as instituições públicas estão submetidas quando o assunto é maturidade e
excelência em produtos de TI, haja vista que “a ausência de processo de software tende a
inviabilizar a avaliação dos serviços contratados, o que possivelmente prejudicará a qualidade
do produto gerado, podendo até comprometê-lo” (TCU, 2012).
Existem hoje no mercado diversos modelos de qualidade para o processo de

desenvolvimento, tais como a norma ISO/IEC 12.207 e o CMMI. Porém, estes apresentam
algumas restrições consideráveis à sua adoção por organizações de pequeno e médio porte. É
com foco nesse grande segmento que surge como alternativa o Modelo de Melhoria do
Processo de Software Brasileiro (MPS.BR).
O programa MPS.BR é uma iniciativa brasileira, criada em 2003, para melhoria

contínua de processo de software. A Associação para Promoção da Excelência do Software
Brasileiro (SOFTEX) é responsável pela coordenação do programa e conta com apoio do
Ministério da Ciência, Tecnologia e Inovação (MCTI), da Financiadora de Estudos e Projetos
(FINEP), do Serviço Brasileiro de Apoio a Micro e Pequena empresa (SEBRAE) e do Banco
Interamericano do Desenvolvimento (BID) (HIRAMA, 2012).
O MPS.BR pode ser adotado por todas as organizações cuja qualidade dos produtos
de software seja um fator crítico de sucesso. O modelo se apresenta como solução adequada
ao perfil de empresas de diferentes dimensões e características, sejam públicas ou privadas,
conferindo especial atenção às micro, pequenas e médias empresas.
Para seu mantenedor, o MPS.BR é compatível com os padrões de qualidade aceitos

internacionalmente e tem como pressuposto o aproveitamento de todas as competências
existentes nos padrões e modelos de melhoria de processo já disponíveis. Ele tem por base os
requisitos de processos definidos em modelos de melhoria de processo e atende à necessidade
de implantar os princípios de engenharia de software de forma adequada ao contexto das
empresas, estando em consonância com as principais abordagens internacionais para
definição, avaliação e melhoria de tais processos (SOFTEX, 2012).
48
4.2 DIAGNÓSTICO NA ORGANIZAÇÃO.
Uma das metas estabelecidas do planejamento estratégico de TI que vigorou na

organização até o ano de 2012 era o ‘desenvolvimento de novas soluções que automatizassem
os processos de trabalho e os instrumentos de execução de suas políticas públicas, bem como
a construção de sistemas de informação e bases de dados que registrasse, e monitorassem
informações para a formulação e avaliação dessas políticas’ (IPHAN, 2010).
Em 2011 o órgão encerrou um contrato de alocação de mão-de-obra para

desenvolvimento e suporte de sistemas de informação e realizou novas contratações para
atender às demandas desse segmento.
Um dos novos contratos previa desenvolvimento, evolução tecnológica e

manutenção de sistemas, porém, abrangia apenas a linguagem de programação Java/JEE11, o
que limitou as evoluções em projetos que adotavam outras tecnologias. Esse contrato
propiciou o início da reestruturação do sistema de Cadastro Nacional de Negociantes de
Antiguidades e Obras de Arte (“CNART”) e, ao longo de 2012, outros sistemas foram
contemplados; como o Sistema de Controle de Processo e Documento (“CPROD”), o Sistema
de Gerenciamento do Patrimônio Imaterial (“SGPI”), o Inventário Nacional de Referências
Culturais (“INRC”) e o Sistema de Bens Culturais Registrados (“BCR”).
Iniciou-se, também, ainda com base nesse contrato e em priorizações feitas pelo
Comitê Gestor de TI (COGESTI), o desenvolvimento do Sistema de Gestão de Pessoas –
“SISGEP”, em substituição ao legado Sistema de Recursos Humanos (“SISRH”) e do Sistema
de Controle de Acesso ao Usuário – “SISCAU” (em substituição a um sistema anterior), cuja
função é realizar a administração de usuários e privilégios de acesso a sistemas.
Outra estratégia de atendimento a demandas tem sido a contratação para

desenvolvimento de produtos específicos, como as realizadas em 2011 para o Sistema
Integrado de Conhecimento e Gestão (“SICG”) e em 2012 para o Sistema de Autorização de
Intervenções e Fiscalização do Patrimônio Cultural Edificado (“Fiscalis”) – primeiro sistema
desenvolvido pela organização com base em plataformas móveis.
Resumidamente, o IPHAN possui hoje quinze sistemas ou aplicações em produção

(nas linguagens JAVA, PHP, ASP e DELPHI); quatro sistemas ou aplicações em fase de
desenvolvimento; e outros quatro sistemas em fase de projeto e/ou contratação. O quadro
11
Java Platform, Enterprise Edition (ou JEE, em português Java Edição Empresarial) é uma plataforma de programação para
servidores na linguagem de programação Java que, por sua vez, é um software livre sob licença GPL desenvolvido pela
empresa norte-americana Sun Microsystems (subsidiária da Oracle Corporation).
49
apresentado no ANEXO III detalha as informações de cada um desses sistemas quanto ao
objetivo, área gestora, plataforma de desenvolvimento e demais informações técnicas
relevantes.
Atualmente, não há na organização nenhuma aplicação com recursos de Business

Intelligence (BI) nem de Data Warehouse (ou Data Mining). Apesar de algumas unidades de
negócio já sinalizarem interesse em utilizar tais recursos (IPHAN, 2010), o foco atual tem
sido a integração e a interoperabilidade entre os sistemas já existentes ou em
desenvolvimento.
Além desses sistemas de informação desenvolvidos sob demanda das áreas de

negócio, a organização utiliza intensamente outros produtos de software para viabilizar suas
atividades, tais como:
a) Software de correio eletrônico (Microsoft® Outlook);
b) Software de mensagens instantâneas (Microsoft® Lync);
c) Pacote de softwares (aplicativos) de escritório (Microsoft® Office);
d) Software de Gerenciamento de Serviços de TI (Microsoft® System Center Service

Manager);
e) Software de gerenciamento de backup e recuperação de dados (IBM® Tivoli

Storage Manager).
Adicionalmente, os técnicos com atribuições voltadas às atividades finalísticas da

organização fazem uso de diversos softwares específicos em apoio à execução destas
atividades, como por exemplo, software de orçamento para construção civil (PINI® Volare);
software de desenho assistido por computador (Autodesk® AutoCAD) e softwares de
tratamento de imagens, desenho vetorial e manipulação de documentos (Corel®Draw, Adobe®
Photoshop, Adobe® Acrobat, etc.).
Esses demais produtos de TI são em sua maioria pertencentes a plataformas

proprietárias já integralmente prontas ou com recursos customizáveis e implicam necessidade
contínua de gastos com custeio de licenciamento para uso, suporte e atualização; além do
investimento em aquisição de novas licenças devido à expansão da demanda. Como exemplo
disso, no final do ano de 2012 o IPHAN realizou a maior licitação 12 de sua história
12
Trata-se do Pregão Eletrônico para Sistema de Registro de Preços n° 013/2012 - IPHAN.
50
envolvendo licenciamento de softwares proprietários específicos envolvendo um investimento
estimado em cerca de R$3,6 milhões de reais.
Quanto aos custos e investimentos relacionados ao desenvolvimento e manutenção

de sistemas de informação, observa-se que a estrutura de cargos do quadro de pessoal
permanente da organização não contempla nenhum cargo com perfil de desenvolvedor de
software (programador), assim sendo essas atividades são realizadas exclusivamente através
de execução indireta (contratação externa), cabendo aos funcionários públicos do órgão às
atribuições de planejar, controlar e fiscalizar tais atividades.
Conforme legislação vigente, nomeadamente o Decreto n° 2.271/1997, a

administração pública adota a estratégia de executar preferencialmente de forma indireta as
atividades da área de ‘informática’. Porém, não podem ser terceirizadas as atividades que
estejam contempladas por cargos efetivos do quadro de pessoal dos órgãos e entidades
públicas, nem aquelas consideradas de execução exclusiva do Estado conforme determina o
Decreto/Lei n° 200/1967, que define como competências fundamentais da Administração
Pública as atividades de planejamento, coordenação, descentralização, delegação e controle.
Em conformidade com o diagnóstico anteriormente apresentado, a Coordenação

Geral de Tecnologia da Informação (CGTI) conta com número restrito de servidores para o
desempenho de todo o seu escopo de atividades, situação assim tratada no plano estratégico
de TI da organização (IPHAN, 2010):
[...] Essa insuficiência é uma dos maiores problemas enfrentados atualmente pela
CGTI, apesar do empenho e da dedicação de seus funcionários. Salários defasados,
alta rotatividade e redução contínua da capacidade técnica têm provocado
dificuldades crescentes na continuidade dos projetos em andamento,
impossibilitando implantação de novos. [PDTI IPHAN 2010-2012, p. 132]
Essa condição limita o desenvolvimento dos produtos de TI da organização, vez que

não há força de trabalho suficiente para alavancar iniciativas mais robustas. Isso ocorre
porque a capacidade de trabalho atual já se encontra integralmente consumida pelas tarefas
cotidianas e pelos projetos já em andamento e, como essa situação afeta toda a área de TI, ela
acaba por fronteirizar a capacidade da organização em prover produtos e serviços de TI para
as áreas de negócio.
Além disso, a inexistência de um processo interno definido e formalizado para

provimento e gerenciamento de soluções de Tecnologia da Informação torna o
desenvolvimento, a aquisição e a melhoria da qualidade de produtos e serviços de TI um dos
processos mais críticos da área de TI na organização. Dessa forma, um dos desafios com os
51
quais a área de TI terá inevitavelmente que lidar é a definição de seus processos internos para
em seguida desenvolver uma estratégia de melhoria de produtos de softwares, apoiada em
políticas estruturais que lhe garantam sustentação.
No que tange ao cumprimento de requisitos legais a organização enfrenta

dificuldades comuns a outros órgãos públicos e que advém da própria complexidade das
normas e da morosidade resultante do enorme volume de trâmites burocráticos a que estes se
submetem. Muito embora tais condições não representem óbice ao cumprimento das leis e
normas obrigatórias, elas imputam considerável lentidão aos projetos.
4.3 PROPOSTA DE MELHORIAS E DISCUSSÃO.
A adoção de um modelo de referência para melhoria de produtos e serviços de TI

parece ser um passo demasiadamente largo diante da condição atual em que a organização se
encontra. Porém práticas tais como as sugeridas no modelo MPS.BR em normas e modelos
internacionais, como a ISO/IEC 12207:2008, a ISO/IEC 15504:2003 e o modelo CMMI
(Capability Maturity Model Integration), podem contribuir na construção dos processos
organizacionais relacionados a produtos e serviços de TI desde sua fase estrutural e podem ser
adotados pela organização.
A necessidade mais urgente a ser atacada é, de fato, o aumento da capacidade técnica

interna a área de TI, para responder ao aumento crescente das demandas relacionadas a
sistemas de informação. Além disso, a área de TI carece de determinadas habilidades técnicas
relacionadas ao controle da qualidade de softwares, essencialmente aquelas relacionadas à
medição e a processos de testes.
Cabe frisar que a partir da vigência do Decreto/Lei nº 200, de 25 de fevereiro de

1967, a contratação de serviços terceirizados pela Administração Pública Federal passou a ser
regulamentada por norma legal. Em obediência a isso, atualmente a contratação de serviços
encontra-se regulada pelas disposições da Lei Federal n° 8.666/1993 e da Instrução
Normativa SLTI/MP n° 02/2008 (alterada pela Instrução Normativa SLTI /MP n° 03/2009),
dentre outros instrumentos jurídicos afetos ao tema.
Em relação a esse tema, o artigo 6° da IN SLTI/MP n° 03/2009 traça a seguinte

diretriz para a contratação de serviços terceirizados pela Administração Pública (BRASIL,
2009):
Art. 6º Os serviços continuados que podem ser contratados de terceiros pela

Administração são aqueles que apoiam a realização das atividades essenciais ao
52
cumprimento da missão institucional do órgão ou entidade, conforme dispõe o
Decreto nº 2.271/97.
§ 2º O objeto da contratação será definido de forma expressa no edital de licitação e

no contrato, exclusivamente como prestação de serviços, sendo vedada a
utilização da contratação de serviços para a contratação de mão de obra, conforme
dispõe o art. 37, inciso II, da Constituição da República Federativa do Brasil. [IN
SLTI/MP n° 03/2009] [grifo nosso].
Conclui-se disso que a terceirização regular alcança somente serviços e não mão-de-
obra, sob pena de ofensa ao princípio constitucional que prevê a aprovação em concurso
público como regra para se estabelecer uma relação jurídica entre o indivíduo e a
Administração Pública.
Avançando nesse entendimento, tem-se que é legalmente possível contratar a

prestação de serviços de apoio técnico especializado às atividades de gestão contratual. Isso
porque, embora a gestão de contratos seja atividade indelegável e de execução exclusiva por
servidores públicos, o dispositivo legal constante no art. 67 da Lei n° 8.666/1993 (BRASIL,
1993) permite que se serviços técnicos de apoio à fiscalização:
Art. 67. A execução do contrato deverá ser acompanhada e fiscalizada por um

representante da Administração especialmente designado, permitida a contratação
de terceiros para assisti-lo e subsidiá-lo de informações pertinentes a essa
atribuição. [Lei Federal n° 8.666/1993] [grifo nosso].
Considerando que uma das funções do gerenciamento de contratos públicos é

acompanhar e garantir a adequada prestação dos serviços contratados, durante todo o período
de execução do contrato (BRASIL, 2010), no que se refere aos contratos de desenvolvimento
e manutenção de softwares, os serviços técnicos de testes, controle de qualidade e medição de
sistemas que podem ser enquadrados como sendo de apoio técnico especializado às atividades
de gestão contratual e estes – em conformidade com a legislação em vigor – podem ser objeto
de execução por fornecedores externos.
Dessa forma, a sugestão de melhoria consiste em adotar a seguinte distribuição de

competências relacionadas aos produtos de TI na organização:
a) Atividades de planejamento, supervisão e controle: permanecerão sendo

realizadas exclusivamente por servidores públicos – preferencialmente aqueles
ocupantes de cargos efetivos – contando com apoio e suporte da alta
administração e das estruturas de gestão e governança do órgão;
b) Serviços técnicos de desenvolvimento e manutenção de sistemas: continuarão

sendo executados por empresas especializadas, mediante contrato, promovendo
53
transferência de conhecimentos ao contratante e sendo remuneradas segundo os
resultados apresentados;
c) Serviços técnicos de testes, controle de qualidade e medição de sistemas:

passarão a serem executados por empresas especializadas, mediante contrato,
promovendo transferência de conhecimentos ao contratante e sendo remuneradas
segundo os resultados apresentados.
Em virtude da já tão alardeada situação da força de trabalho em TI na organização e

do fato de que esta não possui servidores do quadro permanente cujas atribuições incluam as
características técnicas relativas ao desenvolvimento, manutenção, testes e medição de
sistemas de, conclui-se que caso optasse pela execução direta de tais atividades a área de TI
não seria capaz de assegurar que tais serviços fossem prestados a contento.
Se, por um lado, o órgão não tem condições de assumir a execução integral do
escopo de serviços especificados, por outro, a administração não estaria agindo em prol de
seus interesses ao entregá-los totalmente a particulares, aumentando o risco de dependência
em relação a fornecedores externos. Portanto, considerando que através da execução mista
haverá compartilhamento da execução entre o órgão e fornecedores externos contratados
dentro de fronteiras de atuação claramente definidas, essa opção mostra-se a mais viavelmente
adequada para o atual cenário diagnosticado.
Nessas condições, consideradas as características do portfólio de sistemas

organizacionais e a possibilidade de tratar as solicitações por projetos à medida que surgem as
demandas, a execução mista somada à contratação dos serviços técnicos especializados de
medição e controle de qualidade de softwares possibilitaria que a organização passasse a
dirigir comandos mais precisos e garantir maior agilidade e flexibilidade na gestão de seus
recursos e no atendimento às crescentes demandas relacionadas a sistemas de informação.
Assim, enquanto os servidores do quadro permanente se responsabilizarão pelas

atividades de planejamento e controle, os fornecedores externos executarão os serviços
técnicos especializados de acordo com as especificações, métricas, padrões técnicos de
desempenho e qualidade estabelecidos pelo órgão, sendo pagos diante da entrega comprovada
de resultados.
4.4 CONSIDERAÇÕES FINAIS.
A preocupação com a evolução da qualidade dos produtos de software tem crescido

gradativamente nas organizações públicas, tanto que o estudo observou a existência um
54
padrão normativo para as contratações de TI (IN SLTI/MP n° 04/2010) e um modelo
corporativo para desenvolvimento de produtos de software (“Roteiro de Métricas de Software
do SISP”).
Porém, a organização analisada ainda não internalizou tais padrões formalizando seu
processo interno de provimento e gerenciamento de soluções de TI. Outrora isso não implique
em ilegalidade, visto principalmente que todas as contratações realizadas para aquisição de
produtos e serviços de TI contenham especificação clara de requisitos, níveis de serviço e
padrões de qualidade, essa situação – caso perdure – implicará na exaustão da capacidade
técnica da área de TI do órgão isso porque cada contratação adota um conjunto singular de
requisitos, critérios de avaliação e artefatos de controle.
Quanto à sugestão de melhoria, sua adoção resultará na imediata ampliação da

capacidade técnica da área de TI, passando a contar com recursos extras para a realização de
atividades técnicas antes absorvidas pela própria equipe interna. Além disso, como esses
novos recursos estarão exclusivamente dedicados às atividades requisitadas haverá
significativos ganhos de qualidade dos produtos produzidos vez que serão mais incisivamente
avaliados e monitorados e isso os tornará mais alinhados aos resultados pretendidos pela
organização.
Como ponto facilitador à adoção da melhoria sugerida está o fato de que a

organização mostra-se aberta a modelos mais dinâmicos e menos burocráticos, tais como as
metodologias ágeis de desenvolvimento de softwares, além de contar com boa disponibilidade
financeira para novos investimentos em produtos e serviços de TI.
Outrossim, com a proximidade do fim da vigência dos atuais contratos com

prestadores de serviços de desenvolvimento e manutenção de softwares haverá oportunidade
ímpar de implantar a nova divisão de atribuições sugerida neste estudo, sem que haja
necessidade de renegociação de contratos ou realocação de profissionais.
55
5 GESTÃO DE SEGURANÇA DA INFORMAÇÃO.
Atualmente, organizações de todos os setores vivenciam um ambiente corporativo

caracterizado pela alta capacidade de acesso, armazenamento, e processamento de
informações. Como consequência natural disso, estas organizações estão sendo expostas a um
maior grau de vulnerabilidades relacionadas à informação.
Este cenário parece ampliar os riscos de ocorrência de prejuízos financeiros às

organizações. Porém, os transtornos provocados por incidente de segurança da informação
relativos a TI não são apenas onerosos do ponto de vista financeiro (perdas financeiras), eles
podem paralisar a capacidade da organização de fabricar seus produtos, oferecer seus serviços
e se conectar com os clientes, para não mencionar os danos à sua reputação (CARR, 2009).
A informação – conjuntamente com seus meios de armazenamento, transmissão e

processamento – constitui um ativo e, assim sendo, possui valor e para que a organização
usufrua tal valor desse ativo de forma livre de perigos e incertezas necessitará atribuir-lhe
segurança. Conceitualmente, segurança da informação (SI) consiste na “aplicação de
controles que visam à proteção de ativos que contém informação” (ALVES e ZAMBALDE,
2007). A SI é um processo fundamental para as organizações garantirem a integridade de suas
atividades de negócio.
“A segurança da informação busca proteção contra situações em que prejuízos

podem ser causados por conta de danos diretos às informações” (ALVES e ZAMBALDE,
2007), garantindo a estas os aspectos de confidencialidade, integridade e disponibilidade.
Porém, em face das infinitas variáveis envolvidas na questão, problemas de

segurança podem ainda assim ocorrer (naturais, acidentais ou intencionais) sujeitando os
ativos de uma organização à probabilidade de uma ameaça se concretizar, gerando o que se
chama de incidentes. É nesse cenário de vulnerabilidades e constantes mudança no ambiente
de negócio que surge o processo de gestão de riscos, cujo objetivo é identificar e tratar riscos
de forma sistemática e contínua (TCU, 2012).
Por sua vez, a gestão de riscos é apenas uma das estratégias integrantes da chamada
gestão da segurança da informação. Esse processo envolve o planejamento, gerenciamento a
proteção e a distribuição dos recursos de informação de acordo com seu core business.
A gestão de segurança da informação tem como foco principal as características
humanas, organizacionais e estratégicas relativas à segurança da informação. Visa, ainda, à
adoção de medidas alinhadas com as estratégias de negócio, a partir de um monitoramento
contínuo dos processos, métodos e ações.
Assim, em linhas gerais, a gestão de SI é formada pelas ações e métodos que visam à
integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento
de incidentes, tratamento da informação, conformidade, credenciamento, segurança
cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional
aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à
tecnologia da informação e comunicações (TCU, 2012).
Um dos instrumentos estratégicos da gestão de segurança da informação é a Política

de Segurança da Informação (PSI). Esta política estabelece os objetivos e práticas de
segurança que a organização deve implantar para proteger seus ativos de informação, tratando
questões como atribuição de responsabilidades, processos de SI e definição de níveis
aceitáveis de risco (ALVES e ZAMBALDE, 2007).
Em suma, a PSI faz uma demarcação clara de princípios, objetivos, práticas e

responsabilidades em segurança da informação – sem os quais não há como se realizar uma
efetiva gestão de segurança da informação.
Segundo o Departamento de Segurança da Informação e Comunicações do Gabinete

de Segurança Institucional da Presidência da República – ente responsável por normatizar as
práticas e metodologias na área de segurança da informação no âmbito da Administração
Pública Federal direta e indireta – a Política de Segurança da Informação é um “documento
aprovado pela autoridade responsável pelo órgão ou entidade da APF, com o objetivo de
fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da
segurança da informação” (BRASIL, 2009).
Ainda, em conformidade com a Instrução Normativa GSI/PR n° 01/2008, que

regulamenta a aplicação do Decreto n° 3.505/2000, é competência de todos os órgãos e
entidades da Administração Pública Federal direta e indireta “aprovar Política de Segurança
da Informação e Comunicações e demais normas de segurança da informação e
comunicações” (BRASIL, 2008).
As boas práticas mostram que o sucesso de uma PSI está diretamente relacionado ao
envolvimento e à atuação da alta administração nas organizações. Quanto maior for o
57
comprometimento da administração superior com os processos de elaboração e implantação
de tal política corporativa, maior será a probabilidade de esta ser efetiva e eficaz. Importante
destacar que esse comprometimento deve ser expresso formalmente, por escrito.
Outra boa prática quanto à gestão de SI para as organizações públicas é que em sua
estrutura exista uma área responsável pela segurança da informação, “a qual deve iniciar o
processo de elaboração da política de segurança de informações, bem como coordenar sua
implantação, aprová-la e revisá-la, além de designar funções de segurança” (TCU, 2012).
A gestão de segurança da informação é uma área crítica para a organização tendo em

vista, principalmente, o intenso uso de recursos de TI na execução de atividades
administrativas e finalísticas. Nota-se que a maturidade em segurança da informação vem
aumentando gradativamente e hoje já há bom nível de conscientização em torno das
necessidades e deficiências dessa área; em contrapartida à época anterior onde até a segurança
física dos ativos de informação parecia exposta a severas ameaças (IPHAN, 2010).
Um fator limitante do avanço da área tem sido a ausência de um mapeamento dos

processos de negócio, o que dificulta identificar pontos críticos para implantação de controles
de SI. No entanto, essa situação não impede que se possa avaliar a situação geral da
organização quanto à gestão de segurança da informação cujos resultados podem ser
visualizados na avaliação apresentado no ANEXO I.
Avançando nesse diagnóstico, faz-se uma primeira constatação séria: a organização

não possui uma política de segurança da informação formalizada e instituída. De fato, a
ausência de diretrizes de SI, sintetizadas em uma política corporativa, potencializa os riscos
de segurança aos quais a organização está exposta.
Essa situação reflete, em tese, a falta de envolvimento da alta administração com

relação as suas responsabilidades relacionadas à gestão da segurança da informação. Inclusive
a própria Controladoria Geral da União – órgão de controle interno da Administração Pública
Federal – já alertou a autarquia em recente atividade de auditoria sobre os riscos e
desconformidades geradas pela ausência de uma PSI.
Além da inexistência de uma PSI outras situações que merecem atenção foram
diagnosticadas, assim identificadas:
58
a) Não há atribuição formal de papéis e responsabilidades em segurança da
informação, a área de TI surge como única responsável pela promoção de práticas
e controles de SI e, em consequência disso, acaba sendo responsabilizada pelas
falhas e incidentes;
b) Inexiste uma equipe responsável pelas práticas e controles de SI, tais como
tratamento e resposta a incidentes, o que coloca em risco a continuidade dos
negócios da organização;
c) Não são aplicados processos de gestão de riscos e gestão de continuidade e isso se

deve, em grande parte, à inexistência de diretrizes organizacionais para tais
processos. Essas diretrizes deveriam emanar da PSI, caso existisse.
Se por um lado há falhas estratégicas sérias relacionadas a SI, por outro se verifica
que também há pontos fortes, por exemplo, o bom nível de aderência às normas que
regulamentam a contratação de soluções de TI e seus procedimentos de definição de
requisitos de segurança da informação, análise de riscos relacionadas aos produtos e serviços
de TI adquiridos no mercado e também procedimentos de continuidade dos negócios.
Cabe citar também que a necessidade de elaborar uma política de segurança da

informação é admitida pela organização tendo, inclusive, sido abordada em seu Plano Diretor
de TI (IPHAN, 2010). Soma-se a isso o fato de que a organização já conta com boa gama de
soluções de SI, tais como sala segura e softwares aplicativos diversos, e empreende
considerável esforço para manter, atualizar e ampliar tais ferramentas.
Soluções tais como back-up estruturado, certificação digital, desenvolvimento seguro

de softwares, gerenciamento de acessos, vídeo monitoramento, dentre outras, já fazem parte
do cotidiano da organização e a tendência é direcionar investimentos para ampliação dessas
soluções e implantação de novas.
Outro ponto importante a considerar é que a própria legislação de segurança da

informação em ambientes públicos tem evoluído gradativamente nos últimos tempos e
passado a exigir dos órgãos e entidades maior atenção a essa área.
De fato há muito que se fazer, mas também há consciência de que a gestão de

segurança da informação é uma área crítica para a organização e que medidas deverão ser
tomadas para melhor geri-la.
59
Segundo a norma internacional ISO/IEC 27002:2005, uma política de segurança da

informação tem por objetivo prover à organização orientações e apoio para implantar
controles de SI (TCU, 2012). E, sabidamente, tal documento deve ser produzido e
formalizado pelos órgãos e entidades que compõem a Administração Pública Federal
(BRASIL, 2008).
Considerando as deficiências na organização nessa área e objetivando tratá-las de

forma adequada com seu ambiente de atuação, as seguintes ações são sugeridas:
a) Produzir e aprovar uma Política de Segurança da Informação;
b) Instituir um Comitê Gestor de Segurança da Informação;
c) Designar formalmente um Gestor de Segurança da Informação;
d) Instituir uma Equipe de Segurança da Informação, responsável pela

implementação de práticas de SI e tratamento e resposta a incidentes;
e) Destinar investimentos específicos para ações de segurança da informação.
Por tratar-se de uma autarquia pública, algumas das ações propostas refletem o
atendimento a requisitos de conformidade legal e, além disso, alinham-se às melhores práticas
de gestão de segurança da informação reconhecidas e aplicadas internacionalmente. Tais
ações propiciarão, ainda, melhoria significativa da capacidade dos processos de gestão e
governança de TI.
Ao desenvolver sua política de segurança da informação, compor um comitê gestor

de e atribuir papéis e responsabilidades em SI a organização dará significativos passos para
tratar suas deficiências em gestão de segurança da informação e manter aderência às normas
vigentes em seu campo de atuação. A Tabela 5.1, a seguir, mostra como cada iniciativa
proposta atacada as deficiências identificadas, responde às necessidades atuais de
conformidade e alinha-se a boas práticas:
Tabela 5.1: Relação entre ações propostas, deficiências identificadas, princípios de conformidade e boas práticas para
a área de gestão de segurança da informação.
Princípio de
Ação sugerida Deficiência a ser tratada Boa Prática
Conformidade
Produzir e aprovar uma Decreto nº 3.505/2000

NBR ISO/IEC
Política de Segurança da Inexistência de uma PSI. IN GSI/PR nº 01/2008
27002:2005
Informação. NC GSI/PR nº 3/IN01
60
Atribuição de papéis e
Instituir um Comitê Gestor de NBR ISO/IEC
responsabilidades IN GSI/PR nº 01/2008
Segurança da Informação. 27002:2005
relacionadas a SI.
Designar um Gestor de NBR ISO/IEC
relacionadas a SI.
Instituir uma Equipe de NBR ISO/IEC
relacionadas a SI.
Destinar investimentos
Falta de recursos para NBR ISO/IEC
específicos para ações de IN GSI/PR nº 01/2008
ações de SI. 27002:2005
segurança da informação.
Como destacado no referencial teórico, um dos fatores críticos de sucesso para a

implantação de políticas, práticas e controles de SI é o patrocínio da alta administração. Essa
condição se materializa no caso em questão: como haverá a demanda por decisões superiores
não há como implantar com sucesso as sugestões propostas se não houver bom nível de
envolvimento daqueles que, dentro da organização, detêm tal poder de decisão.
Adicionalmente, a formalização de uma Política de Segurança da Informação será

um passo importante para que a organização produza outras normas internas de SI com base
nas diretrizes orientadoras desta política. Aliás, esse viés de estabelecer diretrizes superiores é
o mais apropriado para a PSI da organização considerando seu atual estágio de maturidade.
Para a área de TI a efetivação de tais ações trará alívio das pressões e

responsabilidades que hoje a área assume sozinha, pois além do estabelecimento de diretrizes
haverá também o compartilhamento de papéis e responsabilidades.
Essa fase do trabalho apontou que a organização tem um longo caminho a traçar com
respeito aos processos de gestão de segurança da informação. Porém, o quadro geral é
positivo, pois há clima organizacional favorável ao desenvolvimento de tais processos.
Além disso, a organização possui boa infraestrutura de SI e a alta administração

parece estar sensível às necessidades de melhoria das práticas de segurança da informação
como fator crítico para a evolução da própria maturidade de sua governança de TI.
61
A disponibilidade de recursos humanos para atuar na área de SI – principalmente de
pessoas com perfil profissional adequado – surge como limitante a ser seriamente considerado
pela organização. Em vista disso – e considerando a boa disponibilidade orçamentária –
dever-se-ia considerar a possibilidade de ampliar os investimentos em qualificação técnica das
equipes quanto à segurança da informação.
Outro ponto crítico que merece ser listado é a falta de informações referenciais e suporte
por parte dos órgãos governantes superiores para auxiliar os demais órgãos e entidades da
Administração Pública Federal na instituição de políticas, controles e instâncias de gestão de
segurança da informação. A preocupação maior desses órgãos parece ser a atividade
normalizadora quando, principalmente em face da carência de recursos humanos, seus entes
subordinados necessitam muito mais de efetivo suporte na internalização e operacionalização
das muitas normas instituídas do que de meras normas.
Com o uso intensificado de softwares e hardwares específicos para prover níveis de

segurança adequados às informações, novas formas de ataques surgem a todo o momento,
sendo que, atualmente, as vulnerabilidades de segurança mais exploradas relacionam-se aos
sistemas de informação desenvolvidos em desacordo com boas práticas de codificação segura
ou não submetidos a testes que validem os controles aplicados.
Considerando isso, a política de segurança da informação deveria conter princípios,

diretrizes e regras para aplicação de todas as práticas relacionadas a SI, tais como a
codificação segura.
Disso se extrai que uma PSI pode ser composta por várias políticas inter-relacionadas,
como a política de senhas, de backup, de contratação e instalação de equipamentos e
softwares, dentre tantas outras. Ademais, quando for conveniente e necessário, a PSI pode ser
mais abrangente e detalhada, envolvendo a criação de outros documentos que especifiquem
práticas e procedimentos e que descrevam com mais detalhes as regras de uso da tecnologia
da informação no ambiente.
A PSI é o primeiro de muitos documentos com informações cada vez mais detalhadas
sobre procedimentos, práticas e padrões a serem aplicados em determinadas circunstâncias,
sistemas ou recursos. Sendo que seus documentos complementares costumam dispor sobre
regras mais específicas, que detalham as responsabilidades dos usuários, gerentes e auditores
e que normalmente serão atualizados com maior frequência.
62
6 GESTÃO DE SERVIÇOS DE TI.
Na visão de OLIVEIRA, para que a área de TI consiga consolidar seu papel

estratégico e tornar efetiva sua contribuição dentro das organizações é preciso incorporar
diferenciais competitivos aos processos de negócio. Nesse contexto, a autora ressalta que “[...]
o modelo de governança de TI adotado deve ser estruturado tanto com foco na própria
organização da TI como no relacionamento e na prestação de serviços aos usuários da área”
(OLIVEIRA, 2007).
Segundo esse conceito as áreas de TI devem adotar uma nova abordagem voltada
para serviços, porém para atingir essa condição é necessário haver mudança de
comportamentos – tanto da área de TI quanto das áreas de negócio (MAGALHÃES e
PINHEIRO, 2007).
Um serviço consiste em um meio para entregar benefício (ou valor) a um cliente, e

tem por objetivo corresponder à razão pela qual foram adquiridos (BERMEJO e TONELLI,
2008). Assim, quanto mais esse serviço corresponder ao seu objetivo de criação maior será
seu valor perante o cliente.
Atualmente, o termo serviço é aplicado virtualmente em todo contexto da área de TI,

sem que haja um claro entendimento do significado que tem hoje. Plataformas tecnológicas e
produtos físicos não são serviços, mas, sim, pontos de acesso ou habilitadores dos serviços
(MAGALHÃES e PINHEIRO, 2007).
Como grande provedora de serviços dentro das organizações, a área de TI é cada vez
mais responsável por responder as expectativas das áreas de negócios, tais como aumento da
produtividade e da eficiência operacional; redução de riscos e custos nas operações;
qualificação, otimização e integração dos processos de negócios; e garantia e disponibilização
de informações consistentes, atualizadas e que permitam suportar as decisões. E, obviamente,
a TI busca fazer isso ofertando produtos e serviços.
Por isso, atualmente, é muito comum que a própria área de TI manifeste o desejo de
rever suas práticas com o objetivo de tornar a gestão tecnológica mais eficiente e,
principalmente, mais próxima das necessidades das organizações. Para conseguir isso as áreas
de TI tem avaliado formas de estruturar seus modelos de governança de maneira a
adequarem-se plenamente às tendências e às demandas estratégicas das áreas de negócio,
revisando papéis, responsabilidades, processos e procedimentos, assim como o portfólio de
produtos e serviços, para que tenham completa aderência aos requisitos de negócio
(OLIVEIRA, 2007).
As organizações tem passado a melhor compreender que a eficiência operacional da

área de TI é um fator crítico de sucesso para seus processos de negócio e que, devido a
crescente dependência por esses serviços de TI, falhas podem acarretar perdas significantes.
Somam-se a isso as características próprias que diferenciam os serviços de TI dos

demais tipos de serviços; tais como a intangibilidade, o alto envolvimento de pessoas em seu
ciclo de vida e a produção simultânea ao consumo (MAGALHÃES e PINHEIRO, 2007).
Surge assim a necessidade de gerir de forma integrada as pessoas, processos e

tecnologias, componentes de um serviço de TI, cujo objetivo seja viabilizar a entrega e o
suporte focados nas necessidades dos clientes e de modo alinhado à estratégia de negócio da
organização, visando o alcance de objetivos de custo e desempenho pelo estabelecimento de
acordos de nível de serviço entre a área de TI e as demais áreas de negócio da organização.
É nesse cenário que o modelo de gestão de serviços de TI denominado ITIL®13

começa a ganhar destaque. A Information Technology Infrastructure Library – ITIL® é um
modelo de referência para gerenciamento de processos de TI, formado por um reconhecido
conjunto de boas práticas envolvendo infraestrutura, operação e manutenção de serviços. Esse
modelo de referência, atualmente em sua terceira versão (denominada “v3”), foi desenvolvido
no final dos anos 1980 na Inglaterra pela Central Computer and Telecommunications Agency
(CCTA), hoje United Kingdom´s Office Of Government Commerce (OGC).
A ITIL® busca promover a gestão com foco no cliente e na qualidade dos serviços da
área de TI, apresentando um conjunto abrangente de processos e procedimentos gerenciais
organizados em disciplinas, com os quais uma organização pode fazer sua gestão tática e
operacional com vistas a alcançar o alinhamento estratégico da TI com as áreas de negócio
(SILVA, 2010).
Entre os muitos resultados da implantação desse modelo estão o fortalecimento dos

controles e da gestão dos ambientes de TI; a orientação a processos com significativa redução
nos tempos de distribuição e execução de serviços; a diminuição gradativa da
indisponibilidade de produtos e serviços de TI, causados por falhas no planejamento; a
elevação dos níveis de satisfação dos usuários; e a redução dos custos operacionais de TI
(SILVA, 2010).
13
ITIL® é marca registrada do United Kingdom´s Office of Government Commerce (OGC).
64
A ITIL habilita o aprovisionamento da organização com serviços de TI de alta
qualidade, valorizando o relacionamento com os clientes, o que, por sua vez, permite
assegurar cada vez mais o atendimento de suas expectativas, sem esquecer-se das
necessidades e das expectativas dos usuários. Isto significa que a área de TI deve prestar seus
serviços para a organização de acordo com as necessidades dos seus clientes, ou seja, demais
áreas de negócio, fortalecendo o relacionamento da área de TI com os mesmos, bem como
dela para com seus parceiros, fornecedores de Tecnologia da Informação e serviços
correlatos, pois a área de TI depende deles para a consecução de seus objetivos de nível de
serviço na entrega e na operação dos serviços de TI para a organização (MAGALHÃES e
PINHEIRO, 2007).
Concluindo, a adoção da metodologia ITIL® pelas empresas globais pode ser

entendida como uma tentativa de redução de custos e padronização de operações, de acordo
com as normas regulatórias, como propõem as melhores práticas. De uma forma geral, esta
biblioteca vem ganhando muita atenção e empresas com um bom nível de maturidade já veem
nela um grande investimento.
Embora na esfera privada seja comum a adoção da expressão “Acordos de Nível de

Serviço” (ANS ou SLA, do inglês Service Level Agreement) este termo refere-se a um
contrato com cláusulas ajustáveis ao longo da contratação, o que não se coaduna com a
legislação de contratos públicos (TCU, 2012).
Por outro lado, parece ser um erro comum referir-se ao contrato firmado entre a
organização e seu fornecedor externo de TI como um “Acordo de Nível de Serviço”, na
verdade aquele documento, de aspecto mais formal, é o “Contrato de Apoio” (do inglês
Underpinning Contract), que também pode e deve envolver a definição de níveis de serviço,
mas não se configura um ANS propriamente dito. Por essas razões, as organizações públicas
tem evitado o uso do conceito integral de “Acordo de Nível de Serviço” e, em seu lugar,
fazem referência a expressões tais como “Níveis Mínimos de Serviço Exigido” (NMSE)
(TCU, 2008).
Em relação aos processos de gestão de serviços de TI descritos em ITIL®

informações coletadas sugerem uma tendência de valorização destes pelas organizações
públicas, tanto que a adoção de práticas relacionadas ao modelo tem avançado
significativamente nos últimos anos conforme demonstram levantamentos realizados pelo
Tribunal de Contas da União nos anos de 2010 e 2012, cujos resultados comparativos são
apresentados na Figura 6.1 a seguir:
65
45%
40%
35%
30%
25%
20%
15%
10%
5%
0%
2010 2012
Figura 6.1: Gráfico comparativo da evolução na adoção de processos de gestão de serviços de TI baseados em ITIL®
na Administração Pública brasileira – Resultados de levantamentos realizados nos anos de 2010 e 2012 (TCU, 2012).
Esse aumento da aceitação de ITIL® entre os gestores públicos de TI se dá em função

das melhorias que as práticas podem proporcionar em um departamento de TI. Entre os
benefícios, destacam-se: garantia e ganho de qualidade dos serviços, melhoria no
cumprimento de prazos de entrega e geração de melhores condições de segurança e solução
de problemas.
Observa-se que a organização vem, ao longo dos anos, empreendendo um esforço

significativo na implementação de melhorias em seus processos de gestão, nota-se a
existência de diversas iniciativas que traduzem muito bem esse esforço, como a elaboração de
um planejamento estratégico organizacional e de um plano setorial de TI. No entanto, a
organização ainda não promoveu o mapeamento de seus processos de negócio, prova disso é
durante o estudo foram identificados raros processos institucionais minimamente mapeados.
Assim, devido à ausência desse mapeamento torna-se complexa a tarefa de

identificar processos críticos para a organização. Não que esses inexistam, mas, antes, que não
há qualquer parâmetro ou critério analítico para identificar e monitorar os processos que de
fato impactam criticamente o ‘negócio’ da organização.
Após os levantamos realizados conclui-se que na organização o processo de

gerenciamento de níveis de serviço é notadamente informal, sendo a própria área de TI
66
responsável por definir, monitorar e avaliar tanto os níveis mínimos de serviço (ANS) quanto
os acordos de nível operacional (ANO).
Não há artefatos que fundamentem a formalização do processo, tais como um acordo

formal de níveis mínimos de serviços entre as áreas de negócio e a área de TI. Nota-se,
porém, que a área de TI inclui em todos os contratos com fornecedores externos os níveis
mínimos de serviço que este deve cumprir e as sanções caso não os cumpra.
Recentemente a Controladoria Geral da União (CGU), após trabalho de auditoria,

notificou o órgão quanto à inexistência de processos formais de gestão de níveis de serviço.
Tal situação levou a organização a implantar uma ferramenta proprietária desenvolvida pela
Microsoft® denominado System Center Service Manager (Microsoft® SCSM), porém, além
das grandes dificuldades técnicas encontradas na implantação e customização da solução e de
seu elevado custo financeiro, a iniciativa ainda não capitalizou benefícios maiores em virtude
do atual modelo de contrato não ser baseado totalmente em níveis de serviço. Atualmente,
apenas a gestão dos níveis de serviço da empresa provedora de suporte a usuários e à
infraestrutura está amparada por esta ferramenta.
Sendo assim, embora a organização adote um conceito de central de serviços de TI, o

processo de gestão de níveis de serviço não apresenta fino alinhamento aos preceitos da
biblioteca ITIL® v3 fato que impede a organização de capitalizar maiores benefícios de tais
práticas.
Parte do problema advém da falta de envolvimento das áreas demandantes em

relação à gestão dos próprios serviços demandados, prevalece a concepção de que basta-lhes
esses serviço estarem meramente operantes sendo atribuição exclusiva da área de TI aferir a
qualidade e garantir a continuidade. Assim, a TI surge como a principal – e talvez única – área
envolvida no processo, vez que está sob sua responsabilidade firmar e fiscalizar os níveis
mínimos de serviço exigidos dos provedores de serviços de TI para a organização.
Tal situação potencializa o risco na gestão dos fornecedores externos da área de TI,
sobrecarrega a área e reprime o desenvolvimento dos serviços providos, vez que não há
preocupação das áreas demandantes em analisar a qualidade do que lhes está sendo entregue
em face de sua real necessidade.
Em análises anteriores concluiu-se que a organização possui dois processos críticos,

cuja aplicação de melhorias baseadas no framework COBIT® 5 seriam capazes de alavancar
67
fortes resultados: o processo de identificação e desenvolvimento de soluções de TI (BAI3) e o
processo de gerenciamento de fornecedores (APO10).
Para potencializar tais melhorias, porém agora com foco no gerenciamento de

serviços de TI, algumas das práticas de gerenciamento de nível de serviço na organização
podem ser alteradas com foco na otimização do processo crítico de gerenciamento de
fornecedores de TI (referenciado pelo processo APO10 do framework COBIT® 5) e às
práticas previstas na biblioteca ITIL® v3.
Considerando-se que na organização o principal objetivo de negócio relacionado à

área de TI é garantir a continuidade e disponibilidade de serviços do negócio, o processo de
gerenciamento de fornecedores participa no atingimento desses objetivos ao passo que se
relacionam com a própria finalidade deste processo, cujo objetivo é minimizar o risco
associado ao baixo desempenho de fornecedores e assegurar condições competitivas para os
produtos e serviços de TI contratados pela organização.
Assim para complementar o processo de gerenciamento de fornecedores a

organização necessita lançar mão de práticas de gestão de níveis de serviço, processo esse
presente na fase de desenho de serviços na biblioteca ITIL® v3.
O gerenciamento de nível de serviço, cujo principal papel envolvido é o de gerente

de nível de serviço, é responsável por garantir um entendimento claro entre as necessidades
do cliente e o que o provedor de serviços deverá entregar. Seu objetivo central é assegurar
que um nível de serviço de TI acordado seja fornecido para todos os serviços atuais e que
serviços futuros sejam entregues dentro de metas alcançáveis. Para isso o processo deve
atender as seguintes condições:
a) Definir, documentar, acordar, monitorar, medir, reportar e revisar o nível dos

serviços de TI ofertados;
b) Fornecer e melhorar o relacionamento e comunicação entre negócio e clientes;
c) Assegurar que metas específicas e mensuráveis sejam desenvolvidas para todos os

serviços de TI;
d) Monitorar e melhorar a satisfação do cliente com a qualidade do serviço entregue;
e) Assegurar que cliente e TI tenham uma expectativa clara e não ambígua sobre o
nível de serviço a ser entregue;
68
f) Assegurar que as medidas proativas para melhorar os níveis de serviço são
aplicadas sempre que seja economicamente justificável fazê-las.
Nesse ponto sugere-se que a organização implante práticas de gestão de nível de

serviços em duas frentes de atuação da área de TI: a de suporte a usuários e à infraestrutura e
a de sistemas de informação.
Como, sabidamente, a organização possui uma forte limitação de recursos humanos

em TI e sua estratégia de provimento de produtos e serviços de TI é a contratação junto à
fornecedores externos, o cenário ideal para implantar a melhoria desejada no processo de
gerenciamento de nível de serviço – e na própria qualidade e viabilidade econômica destes –
seria realizar contratações exclusivamente com base em níveis de serviços, sem a adoção de
práticas tais como a alocação de postos de trabalho ou quaisquer outras que não vincule a
remuneração do contrato segundo resultados.
Na área de suporte a usuários e à infraestrutura essa melhoria parece mais próxima

de ser adotada tendo em vista que o atual contrato de provimento encerrar-se-á ainda no ano
de 2013 e que já há uma ferramenta de gestão de serviços em uso por essa área – construindo
um histórico temporal desse serviço – será possível adotar já para o próximo contrato um
modelo de prestação baseado exclusivamente em nível de serviço.
Para a área de sistemas de informação o caminho a ser percorrido é maior,

principalmente tendo em vista que não existem acordos formais de nível de serviço entre a
área de TI e as áreas gestoras de sistemas de informação.
Sendo assim, a organização investigada precisa primeiro caminhar no sentido de

formalizar um processo de gestão de níveis de serviço visando aproximar as áreas de negócio
da área de TI e construir um entendimento corporativo entre essas partes com foco em
conhecer a real necessidade de cada sistema e em otimizar os investimentos em infraestrutura
tecnológica, vez que dominando a demanda haverá melhor entendimento sobre a capacidade
que a TI deverá suportar e que investimentos necessitará realizar para atender a evolução
dessa demanda – situação hoje precariamente conhecida.
Por outro lado, a própria área de sistemas de informação surge como demandante de
serviços críticos de TI ao passo que também contrata fornecedores externos para desenvolver
e manter os sistemas de informação da organização. Nesse prisma cabe a ela fixar, monitorar
e avaliar níveis de serviço para tais prestadores, porém, como sua capacidade interna de
trabalho também é limitada, as rotinas do setor acabam monopolizando o esforço da equipe
69
sendo necessário buscar outras formas de realizar as atividades de controle de qualidade dos
serviços prestados.
Nesse cenário a contratação dos serviços técnicos de medição e controle de qualidade

das atividades de desenvolvimento e manutenção de sistemas será capaz de prover à
organização a capacidade operacional necessária para formalizar, implantar e manter o
processo de gestão de serviços também na área de sistemas de informação. Essa sugestão foi
apresentada no estudo de maturidade e excelência em produtos de TI e, portanto, mostra-se
alinhada às necessidades da organização.
Os benefícios com a implementação dessas melhorias para a organização irão desde

a entrega de serviços com qualidade melhorada, passando por desempenho mais efetivo
desses, até ganhos significativos na capacidade da governança de TI.
Em termos organizacionais, uma área de TI orientada a serviços será muito diferente

daquela que adota o modelo baseado na disponibilização de recursos, também conhecido
como “tradicional”. Essa diferença pode ser resumida da seguinte forma: “a TI tradicional
define a si mesma como uma provedora de tecnologia, trabalhando de dentro para fora”;
enquanto que a TI orientada a serviços se autodefine como uma “provedora de serviços,
trabalhando de fora para dentro” (MAGALHÃES e PINHEIRO, 2007). Tais perspectivas de
atuação também representam diferentes atributos das culturas centralizadas na tecnologia e no
cliente, respectivamente.
Com base nisso e no diagnóstico realizado se pode concluir que a área de TI da

organização enquadra-se dentro do conceito de “TI tradicional”, porquanto se apresenta mais
como uma provedora de tecnologia do que de serviços.
No que tange à aplicação dos conceitos e práticas de gestão de serviços de TI,

conclui-se que a gestão de acordos de nível de serviço é um instrumento relevante na busca e
no controle da qualidade do serviço prestado pela área de TI aos seus clientes. A falta desse
tipo de gestão aumenta as chances de insatisfação entre os usuários e os riscos de perda de
foco nos investimentos.
O mesmo tipo de preocupação deve existir na relação com fornecedores. Processos

de gestão de nível de serviço são essenciais para que se garanta a qualidade dos serviços
recebidos e que sua remuneração se dê por resultados, como preconiza o art. 6º do Decreto nº
70
2.271/1997, em alinhamento com os princípios da eficiência e da economicidade (Acórdão nº
1.215/2009-TCU-Plenário).
Em uma análise geral pode-se dizer que a organização tem amplas condições de
realizar significativas melhorias relacionadas à gestão de serviços de TI. Dentre os pontos
positivos encontram-se a boa capacidade técnica dos recursos humanos da área de TI e a
crescente evolução dos investimentos orçamentários neste segmento.
Por outro lado, a falta de mapeamento, definição e formalização dos processos

diretamente relacionados à gestão de serviços de TI – tais como o processo de aquisição de
soluções de TI, o de gerenciamento de fornecedores e o próprio processo interno de gestão de
níveis de serviço – representam importantes entraves que necessitam ser superados para que
as melhorias sejam bem sucedidas em longo prazo.
Devido a essa falha, conforme verificado no diagnóstico, atualmente não há

formalização dos Acordos de Nível de Serviço. O que significa dizer que a TI não possui
acordos formais internos com as áreas de negócio envolvendo a qualidade e a continuidade de
seus serviços e isso pode estar levando a organização a investir demasiadamente em
infraestrutura tecnológica para suportar uma demanda por serviços não dimensionada. Essa
situação, em suma, é reflexo direto da forma isolada com que é praticada a gestão de serviços
de TI (gestão por contrato/fornecedor), inexistindo o monitoramento sistemático de níveis de
serviço e uma visão conjuntural do setor.
A principal justificativa para agregar melhorias à gestão de serviços de TI diz

respeito ao atendimento ao princípio fundamental da eficiência. A Administração Pública não
pode abrir mão, ao seu talante, de recursos e métodos que visem a ampliar a eficiência de suas
ações, assim ao propiciar condições de melhor monitorar os resultados dos investimentos
públicos esta estará prestando fundamental contribuição ao atendimento de suas finalidades
precípuas.
71
7 CONCLUSÕES.
Mesmo com o avanço dos conceitos e práticas de governança e gestão as

organizações ainda percebem a área de TI como uma grande “caixa preta” (MANSUR, 2007)
e isso se deve, essencialmente, em razão das dificuldades na demonstração de resultados.
Este trabalho pôde averiguar tal situação ao atestar que na organização estudada
também existe essa visão negativa sobre a área de TI. Comprovada diante da das seguintes
falhas estratégicas diagnosticadas:
a) Provimento de serviços de TI de forma inadequada: o estudo apontou a

inexistência de práticas de gestão de níveis de serviço, como a definição de
serviços críticos e negociação de níveis de serviço com as áreas de negócio, o que
vem fazendo com que a área busque entregar todos os serviços dentro de um nível
geral de qualidade e, assim, investindo em recursos sem conhecer a real
necessidade;
b) Ausência de processos, fluxos e procedimentos definidos: diagnosticou-se que

alguns processos críticos – como os processos de aquisição de soluções de TI,
priorização de demandas, gestão de níveis de serviço, gestão de segurança da
informação, etc. – não estão satisfatoriamente definidos e formalizados, o que leva
a incertezas quanto a fluxos e procedimentos de trabalho e faz crescer a percepção
de que não há comunicação adequada entre a TI e seus usuários;
c) Gasto excessivo com infraestrutura de TI: notou-se que existe a percepção de que
não há uma correta demonstração de resultados dos investimentos em
infraestrutura. Como não há divulgação de relatórios de disponibilidade, nível de
atendimento e uso de recursos de TI apenas os gastos saltam aos olhos, porém,
mesmo diante da compreensão da complexidade tecnológica e do tamanho da
infraestrutura da organização, nem os próprios gestores de TI sabem precisar com
clareza quais os resultados (entrega de valor) dos investimentos em infraestrutura
de TI e isso parece coadunar com a cultura existente de comprar infraestrutura sem
conhecer a real necessidade. Essa situação leva á percepção de que as justificativas
para os investimentos em infraestrutura são insuficientes ou pouco fundamentadas.
d) Pouco sincronismo entre a área de TI e as áreas de negócio: trata-se da carência de

alinhamento estratégico entre TI e negócio e com base no estudo conclui-se que há
a percepção de que a área de TI da organização age, em alguns aspectos, mais
reativamente do que planejadamente. A aproximação com os gestores de negócio
pode auxiliar a desconstruir essa imagem negativa;
e) Atrasos em projetos de TI: essa percepção é talvez a mais comum e abrangente

entre as áreas de TI nos mais diversos tipos de organização (MANSUR, 2007),
porém, no caso analisado nota-se que tais atrasos têm origem em situações críticas,
como a frequente alteração de requisitos e a falta de sincronismo entre os
participantes dos projetos, que podem ser tratadas através da melhor definição de
fluxos e processos de trabalho.
Assim, ao identificar a atual situação quanto à governança de TI na organização, o

estudo também aponta alguns desafios que necessitam ser enfrentados pela área de TI
buscando melhorar sua percepção de entrega de valor e amadurecer suas práticas de gestão e
governança:
a) Incremento na efetividade dos serviços de TI: a gestão de serviços de TI (incluindo

gestão de portfólio, gestão de catálogo de serviços e gestão de nível de serviços)
necessita ser formalizada, clarificada e comunicada, juntamente com os Acordos
de Nível de Serviço (Níveis Mínimos de Serviço Exigidos) e seus respectivos
custos. Tal incremento pode dar-se pela aplicação das práticas de gestão de
serviços de TI sugeridas nesse estudo, envolvendo a extinção de falhas
operacionais, definição de fluxos de informação, mapeamento de processos, dentre
outras medidas.
b) Extensão do ciclo de vida da tecnologia: a organização necessita colocar em

prática metodologias de avaliação de ativos de TI, fundamentando a análise nos
custos e benefícios e não em justificativas subjetivas, ou seja, toda vez que a
manutenção de um ativo for mais onerosa que seu valor residual este será o
momento para sua troca. Recentemente a organização publicou sua política de
renovação de estações de trabalho (desktops e notebooks) e isso, de fato,
representou um grande avanço que será traduzido em significativos ganhos com o
planejamento do ciclo de vida desses equipamentos, porém, faz-se necessário
expandir tal filosofia aos demais ativos de TI.
c) Racionalização da capacidade instalada e dos gastos com infraestrutura: a área de

TI necessita melhor planejar o uso e a evolução de sua infraestrutura tecnológica.
De fato o ambiente tecnológico da organização parece estar se tornando
73
demasiadamente complexo em virtude da grande parafernália de soluções que o
compõe, tal complexidade eleva custos e dificulta a gestão da TI. Ao passo que os
investimentos atuais estejam sendo feitos apenas em face da própria expansão da
capacidade dos recursos de TI em si, estes deveriam ser justificados em razão de
benefícios e melhores resultados para a organização – há muito que evoluir em
relação ao planejamento da infraestrutura de TI.
d) Remoção de gargalos: nota-se que o ambiente de TI muitas vezes impacta

negativamente o ambiente de ‘negócio’ da organização. Assim, um dos desafios da
área de TI é estar mais bem sincronizada com as demais áreas da organização – em
especial as áreas de negócio – visando a promover melhor alinhamento entre sua
capacidade de atendimento às demandas e as expectativas das áreas demandantes.
Por outro lado, manter a aderência à evolução do ‘negócio’ ajudará a TI a
dinamizar o fluxo de ajustes exigidos em infraestrutura, serviços e projetos em
função de mudanças no ‘negócio’.
Se por um lado os desafios são grandes, por outro o estudo também demonstrou
como a aplicação de conceito e práticas relacionadas aos diversos segmentos analisados
podem ajudar a organização a ter sucesso em superar tais desafios. Isso porque essas práticas
contribuirão efetivamente para melhorar a operação atual da TI ao passo que construirão uma
melhor visão de posicionamento futuro e de objetivos de longo prazo para a área.
Outra conclusão importante é que ao implantar melhorias em uma determinada área

estas irão inevitavelmente impactar positivamente outras áreas, isso ocorre porque os
processos de gestão e governança de TI não são estanques e, em sua maioria, estão
estreitamente inter-relacionados.
De forma geral, as principais deficiências da organização que impactam

negativamente a implementação da governança de TI dizem respeito à sensibilização da alta
administração com respeito ao papel estratégico dessa área e ao fato de que as melhorias
estejam relacionadas ao esforço heroico de determinadas pessoas – concebido em razão de
suas habilidades e comprometimento pessoal com a melhoria da gestão pública – e não em
uma cultura organizacional fundamentada em processos bem definidos. Assim, muito embora
a TI tenha ao longo dos anos melhorado seu conceito na organização, ainda não há plena
compreensão de sua função estratégica, principalmente quando considerado que nesse cenário
de atuação (setor público) a entrega de valor pela TI é de difícil percepção.
74
O desafio de governar uma área de TI, embora seja há muito tempo do interesse da
comunidade de TI, apenas tornou-se recentemente uma preocupação da alta direção das
organizações. O alinhamento estratégico da área de TI com as áreas de negócio parece ser o
assunto do momento no mercado privado, bem como suas diversas abordagens.
Tal situação parece não contrastar de forma significativa da visão geral que se tem a
respeito da governança de TI dentro do setor público, surgindo como um “tema mal definido,
com limites obscuros e pouco compreendido pelos profissionais da área” (RODRIGUES,
2010).
Ocorre que, sabidamente, a adoção de práticas de governança de TI em muito

contribui com o avanço da governança corporativa das organizações. Isso porque a
governança de TI tem por princípios prover direção estratégica à área, realizar divisão de
responsabilidade, monitora a gestão, dotar o negócio de conformidade e prestar contas dos
investimentos feitos – conceitos estes que afetam diretamente a própria governança
corporativa.
Além disso, implantar práticas de governança de TI ajuda as organizações a

aumentar a capacidade de resposta de suas áreas de TI às pressões internas e externas a que
são submetidas. Assim, essas práticas surgem também para fazer frente a tais pressões através
de ações isomórficas capazes de proteger a organização. A Figura 7.1, a seguir, demonstra
alguns dos fatores que motivam a implantação da governança de TI e que traduzem as
pressões internas e externas sofridas pela área:
Figura 7.1: Fatores motivadores para adoção de práticas de governança de TI.
75
A governança de TI para o setor público não apresenta diferenças fundamentais em
relação à aplicada ao setor privado, nota-se apenas que o setor público fornece “bens
públicos” ao invés de produtos para venda – característica comum das organizações privadas
(RODRIGUES, 2010). Em todas as situações eleva-se a importância do papel decisório da
governança de TI, buscando encorajar comportamentos desejáveis na área de TI e definindo
os papéis e responsabilidades relacionadas à tomada de decisões com foco na entrega de mais
e melhores resultados.
Dessa forma nota-se que os princípios referenciais de governança de TI tratados

neste trabalho – em especial àqueles afetos a melhoria de produtos de TI, gestão de segurança
da informação e gestão de serviços de TI – são exequíveis nas organizações públicas e que as
práticas apresentadas podem colaborar com o avanço da maturidade corporativa, superando
pressões e transpondo as resistências a mudanças – fatores tão comumente existentes no setor
público.
Porém, é sabido que TI não se faz apenas com processos, serviços e infraestrutura. É
preciso lançar mão de talentos humanos capacitados e nisso o setor público carrega imensa
desvantagem. Na tenra história do desenvolvimento de sua área de TI, o setor público ainda
não pensou de forma consistente em uma carreira estruturada para abarcar as necessidades
desse setor – afinal continua-se promovendo o ingresso de servidores para a TI nos mesmos
moldes como se dá o ingresso para qualquer cargo de atribuições administrativas generalistas.
Muito embora a Administração Pública Federal esteja ciente da carência de pessoas

especializadas em seus processos de gestão e governança de TI – fato ressaltado inclusive
pelo TCU em diversos acórdãos – nada de prático ainda se fez em relação, por exemplo, à
criação de uma carreira pública estruturada para o setor, o que se vê são apenas medidas de
contorno paliativas e não definitivas. Em meados de 2008, por exemplo, criou-se uma
gratificação remuneratória, concedida mediante aprovação em seleção interna, visando a
promover o deslocamento de servidores de outras áreas para as áreas de TI dos órgãos
públicos federais, fato que além de não atender a carência própria da TI ainda agrava a
deficiência de recursos humanos em outros setores.
Em 2009 foi criado, dentro do Plano Geral de Cargos do Poder Executivo (PGPE), o
cargo efetivo de Analista em Tecnologia da Informação, mas a medida acabou por introduzir
o cargo dentro de um plano de carreira pouco atrativo e os servidores empossados passaram a
migrar para outros cargos de carreiras estruturadas e remuneração mais vantajosa (ANATI,
2012). Isso ajuda a entender que a atual estratégia de provimento de recursos humanos para a
76
área de TI não é adequada às necessidades do setor e isso, de fato, carece de maior atenção
por parte dos órgãos governantes superiores.
É certo que produtos e serviços de TI não constituem vantagem alguma em si

mesmos, vez que podem ser facilmente adquiridos e replicados através do mercado. O que
torna a TI tão importante para as organizações públicas é sua capacidade ímpar de gerar valor,
oferecendo todo suporte necessário ao cumprimento de suas finalidades, e isso não se dá de
outra forma a não ser pela presença de pessoas capazes de gerenciar esses produtos e serviços,
aumentando o nível de governança, de forma alinhada às necessidades da administração e
voltada ao interesse da sociedade.
As autoridades públicas e de Governo necessitam empreender maior esforço para

incentivar a adoção de práticas de governança de TI nesse setor no país. É preciso promover
uma estruturação estratégica dos recursos, processos e pessoas nas áreas de TI, destarte, a
administração pública brasileira continuará – tal qual historicamente tem feito em relação a TI
– agindo apenas reativamente diante dos muitos “incêndios” que lhe sobrevêm!
77
8 BIBLIOGRAFIA
ALVES, R. M.; ZAMBALDE, A. L. Gestão de Segurança da Informação. Lavras: UFLA/FAEPE,

2007.
ANATI. Qual o futuro dos Analistas em TI? Associação Nacional dos Analistas em TI, 2012.
Disponivel em: <http://anati.org.br/index.php/it-career/97-futuro-dos-atis>. Acesso em: 16 Janeiro
2013.
BERMEJO, P. H. D. S.; TONELLI, A. O. Gestão de serviços de TI. 1ª. ed. Lavras: UFLA/FAEPE,
2008.
BERMEJO, P. H. D. S.; TONELLI, A. O. Framework para governança de TI COBIT. Lavras:

UFLA/FAEPE, 2012.
BERMEJO, P. H. D. S.; TONELLI, A. O. Fundamentos e modelos de governança de TI. 3ª. ed.

Lavras: UFLA/FAEPE, 2012.
BRASIL. Constituição da República Federativa do Brasil. Casa Civil da Presidência da República,

Brasília, 1988. Disponivel em: <http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>.
Acesso em: 26 Novembro 2012.
BRASIL. Lei Federal n° 8.666, de 21 de junho de 1993. Casa Civil da Presidência da República,
1993. Disponivel em: <http://www.planalto.gov.br/ccivil_03/leis/L8666cons.htm>. Acesso em: 09
Janeiro 2013.
BRASIL. Instrução Normativa GSI/PR n° 01, de 13 de junho de 2008. Gabinete de Segurança

Institucional da Presidência da República, 2008. Disponivel em:
<http://dsic.planalto.gov.br/documentos/in_01_gsidsic.pdf>. Acesso em: 24 janeiro 2013.
BRASIL. Instrução Normativa SLTI/MP n° 03, de 15 de outubro de 2009. Ministério do

Planejamento, Orçamento e Gestão, 2009. Disponivel em:
<https://conlegis.planejamento.gov.br/conlegis/legislacao/atoNormativoDetalhesPub.htm?id=7110>.
Acesso em: 09 Janeiro 2013.
BRASIL. Norma Complementar n° 03/IN01/DSIC/PR, de 30 de junho de 2009. Gabinete de

Segurança Institucional da Presidência da República, 2009. Disponivel em:
<http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf>. Acesso em: 24 janeiro 2013.
BRASIL. Instrução Normativa SLTI/MP n° 04, de 12 de novembro de 2010. Ministério do

Planejamento, Orçamento e Gestão, 2010. Disponivel em:
<http://www.governoeletronico.gov.br/sisp-conteudo/Legislacao>. Acesso em: 21 janeiro 2013.
BRASIL. Decreto n° 7.579, de 11 de outubro de 2011. Casa Civil da Presidência da República,

2011. Disponivel em: <http://www.planalto.gov.br/ccivil_03/_Ato2011-
2014/2011/Decreto/D7579.htm>. Acesso em: 29 janeiro 2013.
BRASIL. Guia de elaboração de PDTI do SISP. Ministério do Planejamento, Orçamento e Gestão.,

2012. Disponivel em: <http://www.sisp.gov.br/guiapdti/wiki/Apresentacao>. Acesso em: 21 janeiro
2013.
CARNEIRO, M. F. S. Gestão Pública: o papel do planejamento estratégico, gerenciamento de
portifólio, programas e projetos e dos escritórios de projeto na modernização da administração
pública. Rio de Janeiro: Brasport, 2010. ISBN 978-85-752-461-0.
CARR, N. G. Será que TI é tudo? Repensando o papel da tecnologia da informação. Tradução de

Henrique Amat Rego Monteiro. São Paulo: Editora Gente, 2009. ISBN 978-85-7312-661-7.
CERVO, A. L. Metodologia Científica. 6ª. ed. São Paulo: Pearson Prentice Hall, 2007.
CGU. Gastos Diretos do Governo. Portal da Transparência, 2012. Disponivel em:

<http://www.transparencia.gov.br/>. Acesso em: 21 Janeiro 2013.
CGU. Servidores civis e militares do Poder Executivo Federal. Portal da Transparencia, 2013.
Disponivel em: <http://www.transparencia.gov.br/servidores/OrgaoExercicio-
ListaOrgaos.asp?CodOS=40107>. Acesso em: 21 Janeiro 2013.
CHIAVENATO, I. Administração Geral e Pública. Rio de Janeiro: Elsevier, 2006. ISBN 978-85-
352-2154-1.
CNJ. Resolução n° 90, de 29 de setembro de 2009. Conselho Nacional de Justiça, 2009. Disponivel
em: <http://www.cnj.jus.br/atos-administrativos/atos-da-presidencia/323-resolucoes/12205-resolucao-
no-90-de-29-de-setembro-de-2009>. Acesso em: 21 Janeiro 2013.
COSTA, H. A. X.; RESENDE, A. M. P. D. Maturidade e excelência em softwares e produtos de

TI. 1ª. ed. Lavras: UFLA/FAEPE, 2008.
FERNANDES, A. A. Implantando a Governança de TI: da estratégia à gestão de processos e

serviços. 2ª. ed. Rio de Janeiro: Brasport, 2008.
FERNANDES, A. A.; ABREU, V. F. D. Implantando a governança de TI: da estratégia à gestão

dos processos e serviços. 3ª. ed. Rio de Janeiro: Brasport, 2012.
FILHO, M. P. A nova administração pública: profissionalização, eficiência e governança. São

Paulo: DVS Editora, 2011. ISBN 978-85-88329-60-7.
HIRAMA, K. Engenharia de software: qualidade e produtividade com tecnologia. Rio de Janeiro:

Elsevier, 2012.
IBCG. Portal do Instituto Brasileiro de Governança Corporativa, 2012. Disponivel em:

<http://www.ibgc.org.br/Home.aspx>. Acesso em: 17 dezembro 2012.
IBGC. Código das melhores práticas de governança corporativa. 4ª. ed. São Paulo: Instituto
Brasileiro de Governança Corporativa, 2009. ISBN 978-85-99645-14-7.
IPHAN. PDTI IPHAN 2010-2012. Portal IPHAN, 2010. Disponivel em:

<http://portal.iphan.gov.br/portal/montarPaginaSecao.do?id=15254&sigla=Documento&retorno=pagi
naDocumento>. Acesso em: 27 Novembro 2012.
IPHAN. Referencial Estratégico. Portal IPHAN, 2012. Disponivel em: <http://www.iphan.gov.br>.

Acesso em: 27 Novembro 2012.
79
IPHAN. Relatório de Gestão - 2011. Instituto do Patrimônio Histórico e Artístico Nacional, 2012.
Disponivel em: <http://portal.iphan.gov.br/portal/baixaFcdAnexo.do?id=2119>. Acesso em: 29 janeiro
2013.
ITGI. Board Briefing on IT Governance. IT Governance Institute, 2012. Disponivel em:

<http://www.isaca.org/restricted/Documents/26904_Board_Briefing_final.pdf>. Acesso em: 19
dezembro 2012.
MAGALHÃES, I. L.; PINHEIRO, W. B. Gerenciamento de Serviços de TI na prática: uma

abordagem com base na ITIL. São Paulo: Novatec, 2007.
MANSUR, R. Governança de TI: metodologia, framework e melhores práticas. Rio de Janeiro:

Brasport, 2007. ISBN ISBN 978-85-7452-322-4.
MARQUES, G. D. C.; CARVALHO, T. C. M. B. Planejamento Estratégico para TI na USP. São

Paulo: Editora da Universidade de São Paulo, 2007. 308 p. ISBN 978-85-88325-95-1.
MATOS, M. P. D.; BERMEJO, P. H. D. S.; JUNIOR, J. F. S. Gerência de Riscos em Projetos de

Software: baseada nos modelos de Processos de Referência PMBOK, CMMI, MPS.BR, TenStep e
ISO 12207. Rio de Janeiro: Editora Ciência Moderna Ltda, 2010. ISBN 978-85-7393-893-7.
OLIVEIRA, F. B. D. Tecnologia da Informação e da Comunicação: a busca de uma visão ampla e

estruturada. São Paulo: Prentice Hall - FGV, 2007. ISBN 978-85-7605-079-7.
PALUDO, A. V. Administração Pública. Rio de Janeiro: Elsevier, 2012. ISBN 978-85-352-5628-4.
REZENDE, D. A. Planejamento estratégico para organizações públicas e privadas: guia prático

para elaboração do projeto de plano de negócios. Rio de Janeiro: Brasport, 2008. ISBN 978-85-7452-
361-3.
RIBEIRO, R. V. Estratégia empresarial e de recursos humanos. Curitiba: IESDE Brasil S.A., 2008.
ISBN 978-85-387-2090-4.
RODRIGUES, J. G. L. Diretrizes para implantação da governança de TI no setor público à luz da

teoria institucional. Dissertação. Brasília: Universidade Católica de Brasília, 2010.
SILVA, M. G. R. TI Mudar e Inovar: resolvendo conflitos com ITIL v3. Brasília: SENAC DF, 2010.
ISBN ISBN 978-85-98694-70-2.
SOFTEX. Guia Geral. Associação para Promoção da Excelência do Software Brasileiro, 2012.
Disponivel em: <http://www.softex.br>. Acesso em: 19 Outubro 2012.
TCU. Nota Técnica n° 02/2008 - SEFTI/TCU. Tribunal de Contas da União, 2008. Disponivel em:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/notas_tecnicas/
notas_tecnicas_aprovadas/Nota%20T%C3%A9cnica%202%20-
%20Preg%C3%A3o%20para%20TI.v08.oficial.pdf>. Acesso em: 08 fevereiro 2013.
TCU. Acórdão TCU n° 2585/2012 - Plenário. Tribunal de Contas da União, 2012. Disponivel em:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/pesquisas_gov
ernanca/D500BE942EEF7793E040010A89001367>. Acesso em: 07 fevereiro 2013.
TCU. Boas práticas em Segurança da Informação. 4ª. ed. Brasília: TCU/Sefti, 2012.
80
TCU. Guia de boas práticas em contratação de soluções de tecnologia da informação: riscos e
controles para o planejamento da contratação - Versão 1.0. Brasília: TCU, 2012.
TCU. Perfil de Governança de TI. Tribunal de Contas da União, 2013. Disponivel em:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/pesquisas_gov
ernanca>. Acesso em: 22 janeiro 2013.
81
ANEXO I. AVALIAÇÃO DE MATURIDADE EM SEGURANÇA DA INFORMAÇÃO.
A Tabela a seguir traz o resultado da avaliação de maturidade em segurança da informação realizada junto a autoridade máxima da área de TI, visando
a subsidiar o diagnóstico organizacional nesse quesito.
AVALIAÇÃO
COMENTÁRIOS E
NÍVEL CARACTERÍSTICAS Procede
Não Procede Procede CONSIDERAÇÕES
Parcialmente
Há avaliação de riscos em processos

A avaliação de riscos para o processo e as decisões que o relacionam não existe.
de contratação de soluções de TI.
A organização não considera os impactos no negócio associados a vulnerabilidades na condução

do processo.
0 - NÃO EXISTENTE
Gestão de riscos não atua sobre processos de aquisição de soluções de TI nem sobre a entrega de Os processos de aquisição seguem a
serviços de TI, que envolvem o processo. IN 04, incluindo avaliação de riscos.
A organização reconhece de forma
A organização não reconhece a necessidade de segurança sobre o processo. informal a necessidade de segurança
sobre o processo.
Responsabilidades associadas à proteção de ativos de informação não são atribuídas para o
processo.
Não há entendimento dos riscos, vulnerabilidades e ameaças associados à operações de TI ou aos

impactos no negócio devido à falhas em serviços de TI.
A organização reconhece e considera

A continuidade dos serviços de TI não é considerado um assunto relevante para a alta direção.
a importância do tema.
1 - INICIAL / AD
A organização considera os riscos de TI de maneira ad hoc, sem considerar processos ou políticas

definidos.
HOC
Análises informais e intuitivas de riscos são feitas no início de cada projeto.
A organização reconhece a necessidade da segurança da informação, mas a conscientização varia

significativamente entre os colaboradores.
82
AVALIAÇÃO
COMENTÁRIOS E
Parcialmente
A segurança da informação é tratada de maneira reativa.
Falhas de segurança são tratadas pontualmente se detectadas, uma vez que responsabilidades de
detecção não são claras.
Existem processos de TI definidos
Respostas a falhas de segurança não são previsíveis, visto que não há um processo definido para para ocorrência de falhas, mas não
tal. abrangem todas as falhas de
segurança.
Responsabilidades pela continuidade de serviços são informais, com autoridade limitada para
tratar questões relevantes sobre riscos, planos de continuidade ou resposta a incidentes.
A alta direção começa a ter consciência sobre a importância da continuidade de serviços e os

riscos associados a essa continuidade.
Existe entendimento, mas não se
Existe um entendimento de que os riscos de TI são importantes e precisam ser considerados. reflete em estabelecimento de
comitês ou políticas de SI.
2 - REPETITIVO E INTUITIVO
Algumas abordagens para avaliação de risco existem, mas elas ainda são prematuras e encontra- Existem abordagens para um número
se em estágio inicial de desenvolvimento. pequeno de falhas de segurança.
Responsabilidades para a segurança da informação são atribuídas a um coordenador com Não existe o papel formal definido na
autoridade sobre as questões relevantes que envolvam segurança. organização
A conscientização sobre a segurança é fragmentada e limitada.
Existe a geração de logs, mas não são

Informações sobre segurança são geradas, mas não são analisadas.
analisados.
Os incidentes são respondidos pela
Existe uma tendência em responder reativamente a incidentes de segurança. equipe de operação de redes, não há
processos de monitoração.
Políticas de segurança estão sendo desenvolvidas, mas ainda existem ferramentas e competências A PSI do órgão será desenvolvida
deficitárias para implementar os requisitos de segurança estabelecidos na política. através de sugestões de melhoria.
83
AVALIAÇÃO
COMENTÁRIOS E
Parcialmente
Os relatórios sobre segurança são incompletos, enganosos ou não pertinentes para tratar Não há geração de relatórios sobre
necessidades de negócio. segurança.
Não existem estes papéis

Responsabilidades para a continuidade de serviços são atribuídas.
formalmente na organização.
Relatórios sobre disponibilidade de serviços são incompletos e não levam em conta os impactos Não há geração de relatórios sobre
no negócio. disponibilidade de serviços.
Uma ampla política de gestão de riscos define quando e como conduzir análise de riscos.
A análise de riscos segue um processo definido que é documentado e disponibilizado para todos
os colaboradores envolvidos.
A conscientização sobre segurança existe e é promovida pela administração da empresa.
Procedimentos de segurança da informação são definidos e alinham-se a uma estrutura

estabelecida pela política de segurança da informação.
3 – DEFINIDO
Responsabilidades sobre a segurança da informação são atribuídas, mas não são consistentemente
aplicadas.
Um plano de segurança da informação existe e guia a análise de riscos e a seleção de soluções e

controlas para segurança.
Os relatórios de segurança da informação são focados na TI, ao invés de focar nas questões Não há relatórios de segurança da
envolvidas diretamente no negócio. informação.
Há a execução de testes de intrusão
Testes ad hoc de intrusão são executados. na rede computacional, executado
pela equipe de operação de rede.
A administração comunica de forma consistente a necessidade de continuidade de serviços.
Existe a duplicação de serviços

Componentes destinados a alta disponibilidade e redundância são aplicados de maneira
críticos, tais como banco de dados e
fragmentada.
e-mails.
84
AVALIAÇÃO
COMENTÁRIOS E
Parcialmente
Existe um inventário de sistemas,

Existe um inventário de sistemas e componentes críticos à segurança, que é mantido de forma
mas não há classificação rigorosa de
rigorosa.
criticidade em relação à segurança.
A análise de risco é padronizada e exceções a esse padrão serão comunicadas pelo líder de TI. Análise de riscos não é padronizada.
É provável que a gestão de riscos seja uma área definida na empresa, com um gerente de nível Não há área específica para gestão de
sênior. riscos.
A gerência de riscos e a gerência de TI determinam os níveis de risco que a organização pode Não há área específica para gestão de
tolerar. riscos.
As responsabilidades pela segurança da informação são claramente atribuídas, gerenciadas e Não há atribuição formal de
4- GERENCIADO E MENSURÁVEL
reforçadas. responsabilidades relacionadas a SI.
Análises de risco e de impacto nos negócios são frequentemente realizadas.
Comunicados para conscientização de colaboradores são obrigatórios.
Há um sistema padrão para

Identificação, autorização e autenticação de usuários são padronizadas.
gerenciamento de usuários e acessos.
Testes de intrusão são padronizados e formalizados.
A organização realizada Análise de

Análises de custo-benefício para implementação de soluções de segurança são cada vez mais
viabilidade para todas as
comuns na empresa.
contratações.
Relatórios de segurança da informação estão relacionados aos objetivos de negócio. Não há produção de relatórios de SI.
Responsabilidades e padrões para continuidade de serviços são claramente definidos e

reforçados.
Práticas de redundância, incluindo componentes de alta disponibilidade, são desenvolvidas de

maneira consistente.
85
AVALIAÇÃO
COMENTÁRIOS E
Parcialmente
Análise de risco é desenvolvida de maneira global e regular, considerando o levantamento de

medições para melhoria contínua.
A segurança da informação é de responsabilidade conjunta da TI e do negócio, sendo integrada Não há atribuição formal de
aos objetivos corporativos. responsabilidades em SI.
Requisitos de segurança são claramente definidos, otimizados e incorporados ao plano de Há apenas definição de requisitos de
segurança da informação. segurança.
Funções de segurança da informação encontram-se integradas com processos de aquisição e/ou

desenvolvimento de aplicações.
5 – OTIMIZADO
Usuários finais também são responsáveis pela segurança da informação.
Relatórios de segurança fornecem alertas precoces sobre mudanças ou surgimento de riscos,

utilizando monitoramento automatizado para sistemas críticos.
Incidentes são prontamente tratados por procedimentos formais de resposta e são suportados por Incidentes são tratados, há uma
ferramentas automatizadas. ferramenta, mas não há o processo.
Avaliações periódicas tratam a efetividades da implementação do plano de segurança da

informação.
Informações sobre novas ameaças e vulnerabilidades são sistematicamente coletadas e

analisadas, sendo controles de mitigação prontamente identificados.
Testes de intrusão, análises de causa raiz de incidentes e identificação proativa de riscos são as
bases para a melhoria contínua da segurança.
Serviços e planos de continuidade de negócio estão integrados.
86
ANEXO II. ARRANJOS DECISÓRIOS DA ÁREA DE TI.
Neste quadro encontra-se a matriz de arranjo das decisões de TI na organização, segundo os arquétipos de governança de TI para a alocação de direitos
de decisão (BERMEJO e TONELLI, 2012):
Princípios de TI Arquitetura de TI Infraestrutura de TI Aplicações de negócio Priorização e Investimentos

ARQUÉTIPO
APOIO DECISÃO APOIO DECISÃO APOIO DECISÃO APOIO DECISÃO APOIO DECISÃO
Monarquia de negócio
Decisões concentradas Líderes de Alta
na alta administração da Negócio Administração
organização.
Monarquia de TI
Decisões concentradas
Gerência de TI Gerência de TI
na gerência de TI da
organização
Feudalismo
Decisões distribuídas ao
longo das unidades
organizacionais
Federalismo
Decisões tomadas em
conjunto pela alta COGESTI* COGESTI*
administração e grupos
de negócio
Duopólio
Decisões tomadas em Gerência de TI
conjunto pela alta e Líderes de
administração e grupos Negócio
de TI.
Alta Alta Alta
Administração Administração Administração
Anarquia COGESTI*, COGESTI*, COGESTI*,
Líderes de Líderes de Líderes de
Negócio. Negócio. Negócio.
(*) Comitê Gestor de Tecnologia da Informação – COGESTI.
87
ANEXO III. PRINCIPAIS SISTEMAS DE INFORMAÇÃO EM USO NA ORGANIZAÇÃO.
Neste quadro pode-se observar uma descrição sintética dos principais sistemas de informação em uso pela organização (IPHAN, 2010):
Linguagem de Tamanho estimado (em

Nome do Sistema de Informação Descrição Resumida
Programação Pontos por Função)
Sistema de Administração Corporativa – Sistema legado responsável por permitir o controle de acesso de servidores aos diferentes
JAVA 139
ADMCORP sistemas do IPHAN
Sistema de Gestão de Almoxarifado – Sistema de gerenciamento de estoque por unidade do IPHAN, contemplando o cadastro de
JAVA
ALMOXARIFADO materiais, suas respectivas aquisições e baixas, além da emissão de diversos relatórios.
Arquivo Noronha Santos – ANS ASP 261 Hotsite apenas de consulta ao acervo do Arquivo Noronha Santos
Cadastro de bens tombados atualmente procurados. Além do registro de desaparecimento, o

Sistema de Bens Culturais Procurados (e Consultas
JAVA 355 sistema permite cadastrar informações sobre a recuperação das peças, além da emissão de
via Internet) – BCP
relatórios.
Sistema de Bens Culturais Procurados – Consulta Interface web, disponível no portal do IPHAN, para consulta, por meio de diferentes filtros,
JAVA 261
Externa – BCP/CE dos dados cadastrados através do sistema BCR.
Sistema que agrega informações sobre os bens registrados pelo IPHAN até o momento.
Sistema de Bens Culturais Registrados – BCR JAVA 530 Disponibiliza não apenas informações textuais, como também, vídeos e áudios relacionados
ao bem imaterial registrado.
Sistema de Bens Culturais Registrados – Consulta Interface web, disponível no portal do IPHAN, para consulta, por meio de diferentes filtros,
JAVA 261
Externa – BCR/CE dos dados cadastrados através do sistema BCP.
88
Software de catalogação e a difusão de acervos de bibliotecas públicas e privadas, de
Biblioteca Livre JAVA; TOMCAT6
variados portes.
Sistema responsável armazenar os dados de identificação pessoal dos negociantes, bem como
Cadastro Nacional de Negociantes de Antiguidades
JAVA 187 dos objetos por eles comercializados. Registra, da mesma forma, informações sobre os
e Obras de Arte – CNART
leiloeiros que atuam no mercado de arte, além dos respectivos eventos de leilão.
Sistema que controla os processos e documentos recebidos e expedidos IPHAN, no que diz
Sistema de Controle de Processo e Documento –
ASP, JAVA 390 respeito à sua gestão documental (registro, classificação, tramitação, arquivamento,
CPROD
expedição, avaliação, transferência, pesquisa e gerenciamento).
Sistema Legado de cadastro e acompanhamento de programas de estágio. Permite cadastro e

Sistema de Controle de Estagiários IPHAN PHP 261
consulta do estagiários e das respectivas instituições de ensino.
Sistema de Fiscalização e Autorização de

345
Intervenções
Ferramenta portal que permite gerenciamento dinâmico das informações, organizadas por
Portal Internet JAVA 387 seções de conteúdo. O sistema permite cadastramento de diferentes tipos de informações,
como notícias, legislação, unidade organizacional, dentre outras categorias.
Ferramenta que permite gerenciamento dinâmico das informações internas do IPHAN,

Portal Intranet Corporativa JAVA 320 classificadas por seções de conteúdo. O sistema permite cadastramento de diferentes tipos de
informações, como notícias, legislação, unidade organizacional, dentre outras categorias.
Sistema de Acompanhamento e Cadastramento de Sistema responsável pelo cadastro de solicitações de autorização de pesquisa pelas
JAVA; TOMCAT7
Conhecimento Tradicional Associado – SACCTA Universidades e acompanhamento dos respectivos projetos pelo IPHAN.
Gerencia o patrimônio de cada unidade do IPHAN por meio de acesso setorizado. Permite
Sistema de Gerenciamento de Patrimônio – SGP JAVA cadastrar bens e suas respectivas categorias, diferentes formas de movimentação desses bens
entre diversos responsáveis, além da emissão de diversos formatos de relatórios.
89
Sistema responsável pelo cadastro de sítios arqueológicos que são objeto de trabalho do
Sistema de Gerenciamento do Patrimônio
DELPHI 73 IPHAN. A ferramenta permite, também, publicar as informações finalizadas para um
Arqueológico – SGPA
ambiente wordpress disponível no portal do IPHAN.
Sistema Integrado de Conhecimento e Gestão –

JAVA; JBOSS Sistema georreferenciado que cataloga e mapeia os bens culturais materiais e imateriais.
SICG
Sistema de Informações Gerenciais do IPHAN PHP 1500 Sistema que permite cadastrar e tramitar planos de ação no âmbito do IPHAN.
Sistema atual de controle de acesso de usuários. Permite o controle centralizado de acesso de

usuários, através de integração com o Active Directory corporativo do IPHAN. Disponibiliza
Sistema de Controle de Acesso de Usuários JAVA; JBOSS
vários serviços web para tornar possível o acesso remoto das diversas aplicações aos dados
centralizados do SISCAU.
Sistema responsável pela manutenção atualizada dos dados dos servidores, estagiários e
Sistema de Gestão de Pessoas IPHAN – SISGEP JAVA; JBOSS terceirizados do IPHAN. Deverá ser composto de vários módulos, como Cadastro, Avaliação,
Capacitação, Pagamento, dentre outros.
Sistema de Controle de Planos de Ação – Sistema de planos de ação do IPHAN. Atualmente disponível somente para consulta, já que
JAVA 295
Planejamento – SISPLAN foi substituído pelo Sig-IPHAN
Fonte: Plano Diretor de Tecnologia da Informação do IPHAN 2010-2012.
90
ANEXO IV. SUGESTÃO DE INDICADORES E METAS.
No quadro abaixo estão listados os indicadores sugeridos pelo autor para medir o desempenho do Processo de Aquisição de Soluções e Gerenciamento
de Contratações de Tecnologia da Informação:
METAS
IDENTIFICAÇÃO META 01 META 02 META 03

INDICADORES
DO PROCESSO
Resultado Período para Resultado Período para Resultado Período para
esperado alcance esperado alcance esperado alcance
1 – Percentual de conclusão do
PROCESSO DE AQUISIÇÃO
INFORMAÇÃO DO IPHAN
E GERENCIAMENTO DE
desenvolvimento do processo interno de

100% 06 meses
aquisição e gerenciamento de soluções de
TECNOLOGIA DA
SOLUÇÕES DE
TI.
2 – Percentual total de contratos mapeados

50% 12 meses 75% 18 meses 100% 24 meses
gerenciados segundo o processo interno.
3 – Percentual de implantação de
ferramenta de gerenciamento de contratos 50% 12 meses 100% 24 meses
no âmbito da organização.
91

Aplicando Conceitos e Práticas de Governança de TI Na Administração Pública: Estudo de Caso.

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aplicando Conceitos e Práticas de Governança de TI Na Administração Pública: Estudo de Caso.

Uploaded by

Copyright:

Available Formats

Universidade Federal de Lavras

DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO

Pós Graduação Lato Sensu

Delson Pereira da Silva

Aplicando conceitos e práticas de

APLICANDO CONCEITOS E PRÁTICAS DE GOVERNANÇA DE TI NA

Monografia apresentada ao Departamento de

Professor: André Luiz Zambalde.

MINAS GERAIS – BRASIL

APLICANDO CONCEITOS E PRÁTICAS DE GOVERNANÇA DE TI NA

Monografia apresentada ao Departamento de

APROVADA em ______ de _____________ de ______.

Professor(a) Orientador(a) UFLA:_________________________________________.

MINAS GERAIS – BRASIL

LISTA DE TABELAS ............................................................................................................. V

LISTA DE ABREVIATURAS, SIGLAS E SÍMBOLOS ................................................... VI

RESUMO / ABSTRACT ...................................................................................................... VII

1.1 Contextualização e motivação. ...................................................................................... 1

1.2 Objetivos e estrutura do trabalho. ................................................................................. 3

1.3 Metodologia. ................................................................................................................. 4

1.3.1 Tipo de pesquisa. ........................................................................................................... 4

1.3.2 Procedimentos metodológicos....................................................................................... 4

1.3.3 Estrutura do trabalho. .................................................................................................... 5

2 APRESENTAÇÃO E DESCRIÇÃO DA ORGANIZAÇÃO. ................................. 6

2.1 Apresentação da organização. ....................................................................................... 6

2.2 Descrição da TI na organização. ................................................................................. 10

3 GOVERNANÇA E ESTRATÉGIA ORGANIZACIONAL E DE TI. ................ 15

3.1 Governança e estratégia organizacionais. ................................................................... 15

3.1.2 Diagnóstico na organização. ....................................................................................... 17

3.1.3 Propostas de melhorias e discussão. ............................................................................ 25

3.1.4 Considerações Finais. .................................................................................................. 28

3.2 Governança de tecnologia da informação. .................................................................. 28

3.2.1 Referencial teórico. ..................................................................................................... 28

3.2.2 Diagnóstico na organização. ....................................................................................... 32

3.2.3 Propostas de melhorias e discussão. ............................................................................ 40

3.2.4 Considerações finais. ................................................................................................... 43

4 MATURIDADE E EXCELÊNCIA EM PRODUTOS DE TI. .............................. 47

4.1 Referencial teórico. ..................................................................................................... 47

4.2 Diagnóstico na organização. ....................................................................................... 49

4.3 Proposta de melhorias e discussão. ............................................................................. 52

4.4 Considerações Finais. .................................................................................................. 54

5 GESTÃO DE SEGURANÇA DA INFORMAÇÃO. .............................................. 56

5.1 Referencial teórico. ..................................................................................................... 56

5.2 Diagnóstico na organização. ....................................................................................... 58

5.3 Proposta de melhorias e discussão. ............................................................................. 60

6 GESTÃO DE SERVIÇOS DE TI. ........................................................................... 63

6.1 Referencial teórico. ..................................................................................................... 63

6.2 Diagnóstico na organização. ....................................................................................... 66

6.3 Proposta de melhorias e discussão. ............................................................................. 67

6.4 Considerações finais. ................................................................................................... 70

ANEXO I. AVALIAÇÃO DE MATURIDADE EM SEGURANÇA DA

ANEXO II. ARRANJOS DECISÓRIOS DA ÁREA DE TI. ........................................... 87

ANEXO III. PRINCIPAIS SISTEMAS DE INFORMAÇÃO EM USO NA

ANEXO IV. SUGESTÃO DE INDICADORES E METAS. .......................................... 91

Figura 2.1: Organograma do Instituto do Patrimônio Histórico e Artístico Nacional. .............. 9

Figura 2.2: Organograma da Coordenação Geral de Tecnologia da Informação. .................... 10

Figura 3.1: Resumo esquemático do sistema de planejamento aplicado pela organização

Figura 3.2: Contexto de elaboração do planejamento de TI da organização (IPHAN, 2010). . 22

Figura 3.3: Governança de TI versus Gestão de TI (Adaptado de ISACA, 2011). .................. 29

Figura 3.4: Contexto do planejamento da TI na Administração Pública (Adaptado de TCU,

Figura 3.5: Tarefas básicas do processo de elaboração do Plano Diretor de TI (BRASIL,

Figura 3.6: Evolução do Índice de Governança de TI (iGovTI) mensurado pelo TCU na

Figura 6.1: Gráfico comparativo da evolução na adoção de processos de gestão de serviços de

APROVADA em de _ de .