Governança de TI no Setor Público Conceito e Importância da Governança de TI A governança de Tecnologia da Informação (TI) no setor público é o conjunto de práticas, estruturas organizacionais, processos, políticas e mecanismos de controle que garantem que a TI esteja alinhada aos objetivos estratégicos da administração pública, entregue valor aos cidadãos, gerencie riscos adequadamente e utilize os recursos de forma eficiente, transparente e legal. Diferentemente da gestão de TI (que foca na operação diária – provisionamento de recursos, suporte, manutenção), a governança de TI atua no nível estratégico, definindo quem toma decisões, como as decisões são tomadas e como o desempenho é medido. No contexto público, a governança de TI é ainda mais relevante devido à necessidade de conformidade com leis (LGPD, LAI, Lei de Governo Digital), ao controle externo exercido por Tribunais de Contas (TCU, TCEs) e ao princípio constitucional da eficiência (art. 37, CF). Uma governança de TI deficiente pode levar a desperdício de recursos públicos, fracasso de projetos, vulnerabilidades de segurança e falta de transparência. Para concursos e vestibulares, é essencial compreender os modelos de governança (COBIT, ITIL, ISO 38500), os papéis e responsabilidades (comitês, CISO, DPO), os instrumentos de planejamento (PDTI) e os mecanismos de controle (auditoria, indicadores). Modelos, Estruturas e Normas de Governança de TI 2.1. COBIT (Control Objectives for Information and Related Technologies) O COBIT é o framework de governança e gestão de TI mais adotado mundialmente, desenvolvido pela ISACA (Information Systems Audit and Control Association). Sua versão atual é o COBIT 2019. Ele fornece um conjunto abrangente de práticas, objetivos de controle e métricas para alinhar a TI aos objetivos de negócio. Componentes principais do COBIT: Princípios: Cinco princípios que norteiam a governança (ex.: “Atender às necessidades das partes interessadas”, “Cobrir a empresa de ponta a ponta”). Fatores de desenho (design factors): Estratégia, metas, tamanho, modelo de entrega, etc., que influenciam a adaptação do framework. Objetivos de governança e gestão: Divididos em quatro domínios: - EDM (Evaluate, Direct and Monitor): Avaliar, direcionar e monitorar (governança). - APO (Align, Plan and Organize): Alinhar, planejar e organizar (gestão). - BAI (Build, Acquire and Implement): Construir, adquirir e implementar (gestão). - DSS (Deliver, Service and Support): Entregar, servir e suportar (gestão). - MEA (Monitor, Evaluate and Assess): Monitorar, avaliar e aferir (gestão). Cascata de metas: Metas das partes interessadas → metas da empresa → metas de TI → metas de habilitadores (processos, pessoas, tecnologia). Aplicação no setor público: O COBIT é frequentemente usado como referência para auditoria de TI pelo TCU e para a elaboração do PDTI e da Política de Segurança da Informação em órgãos públicos. 2.2. ITIL (Information Technology Infrastructure Library) O ITIL é um conjunto de boas práticas para a gestão de serviços de TI (IT Service Management – ITSM). Focado na operação e entrega de serviços com qualidade, o ITIL complementa a governança (estratégia) com a gestão (tática e operacional). A versão atual é o ITIL 4, que incorpora princípios ágeis e DevOps. Principais processos ITIL aplicáveis ao setor público: Gerenciamento de incidentes: Restaurar serviço normal o mais rápido possível. Gerenciamento de problemas: Identificar e eliminar causas raiz de incidentes. Gerenciamento de mudanças: Controlar alterações em infraestrutura e sistemas para minimizar riscos. Gerenciamento de capacidade: Garantir que os recursos de TI atendam à demanda presente e futura. Gerenciamento de nível de serviço (SLA): Definir acordos de nível de serviço (internos ou com fornecedores) e monitorar cumprimento. 2.3. ISO/IEC 38500 – Governança de TI para Organizações A ISO/IEC 38500 é uma norma internacional que fornece princípios e um modelo para a governança corporativa da TI. Seis princípios: Responsabilidade: Atribuir e aceitar responsabilidades. Estratégia: Alinhar a estratégia de TI com a estratégia da organização. Aquisição: Adquirir recursos de TI de forma justificada e com desempenho adequado. Desempenho: Garantir que a TI entregue o desempenho esperado. Conformidade: Cumprir leis, regulamentos e políticas. Comportamento humano: Respeitar aspectos éticos e culturais. A norma não é certificável isoladamente, mas serve como referência para a estruturação de comitês e processos. 2.4. Instrução Normativa nº 4/2019 da SEGES/ME (Governança de TI no SISP) No âmbito do governo federal brasileiro, a Instrução Normativa (IN) nº 4/2019, da Secretaria de Governo Digital do Ministério da Economia (atual MGI), estabelece diretrizes obrigatórias para a governança de TI nos órgãos integrantes do SISP (Sistema de Administração dos Recursos de Tecnologia da Informação). Principais exigências: Elaboração do Plano Diretor de Tecnologia da Informação (PDTI) com vigência de 3 anos (art. 5º), contendo: planejamento estratégico de TI, portfólio de projetos, metas, indicadores, riscos, orçamento. Política de Segurança da Informação (PSI) (art. 18) – revisada anualmente. Gestão de riscos de TI (art. 24) – identificação, análise, avaliação e tratamento de riscos. Plano de Continuidade de Negócios (PCN) (art. 25) para serviços críticos. Comitê de Governança Digital (CGD) (art. 4º) – colegiado com participação de áreas de negócio e TI, responsável por aprovar o PDTI, monitorar projetos e decidir sobre alocação de recursos. Transparência: Publicar na internet o PDTI, a PSI, os contratos de TI e os indicadores de desempenho (art. 32). O descumprimento da IN pode acarretar apontamentos em auditorias do TCU e restrições orçamentárias. Estruturas Organizacionais para Governança de TI 3.1. Comitê de Governança Digital (CGD) O CGD é o órgão colegiado máximo de governança de TI no órgão público. Deve ser composto por dirigentes de áreas-fim (ex.: secretário de saúde, de educação) e pelo gestor de TI. Suas atribuições típicas (IN 4/2019, art. 4º): Aprovar o PDTI e suas revisões. Aprovar a Política de Segurança da Informação. Decidir sobre priorização de projetos de TI. Aprovar o orçamento de TI. Monitorar indicadores de desempenho e resultados. Avaliar riscos estratégicos de TI. A existência de um CGD atuante é um dos principais indicadores de maturidade em governança de TI. 3.2. Área de TI (Gerência, Diretoria, Superintendência) Responsável pela execução das atividades de gestão de TI: operação de infraestrutura, desenvolvimento de sistemas, suporte, segurança, contratos. Deve reportar-se ao CGD e fornecer subsídios técnicos para as decisões. 3.3. CISO (Chief Information Security Officer) e DPO (Data Protection Officer) CISO: Gestor de segurança da informação, responsável por implementar a PSI, coordenar resposta a incidentes, realizar testes de vulnerabilidade. No setor público, o CISO pode ser um servidor ou um cargo comissionado. DPO (Encarregado de Dados): Exigido pela LGPD (art. 41), é o canal de comunicação entre o órgão, os titulares de dados e a ANPD. No governo, o DPO pode ser um servidor designado ou uma comissão. 3.4. Auditoria Interna e Controles Externos Auditoria interna do órgão: Avalia a conformidade com políticas, leis e a eficácia dos controles de TI. Emite relatórios e recomendações. Tribunais de Contas (TCU, TCEs): Realizam auditorias de TI em órgãos públicos, fiscalizando a legalidade, economicidade e eficiência dos gastos com TI, a segurança da informação e o cumprimento das normas (IN 4/2019, Lei de Governo Digital, etc.). Planejamento Estratégico de TI (PDTI) O Plano Diretor de Tecnologia da Informação (PDTI) é o principal instrumento de planejamento de médio prazo (3 anos). Ele traduz os objetivos estratégicos do órgão (definidos no Plano Plurianual – PPA, no Plano Estratégico do órgão) em metas e ações de TI. 4.1. Estrutura Típica do PDTI (IN 4/2019) Introdução e alinhamento estratégico: Como a TI contribui para as metas do órgão. Situação atual: Inventário de sistemas, infraestrutura, recursos humanos, contratos. Portfólio de projetos de TI: Lista de projetos com priorização, cronograma, custo estimado, benefícios esperados. Plano de sustentação (operacional): Manutenção de sistemas existentes, suporte, aquisição de equipamentos. Metas e indicadores de desempenho (KPIs): Ex.: disponibilidade de sistemas críticos (>99,5%), tempo médio de atendimento de chamados (SLA), percentual de projetos entregues no prazo. Gestão de riscos de TI: Principais riscos (ex.: obsolescência de hardware, fuga de profissionais) e ações de mitigação. Orçamento de TI: Detalhamento por projeto e por rubrica (software, hardware, serviços, capacitação). Cronograma de implementação e responsáveis. 4.2. Monitoramento e Avaliação O CGD deve se reunir periodicamente (ex.: trimestralmente) para acompanhar a execução do PDTI, analisar desvios e aprovar replanejamentos. Indicadores são reportados à alta administração e, em alguns casos, publicados em portais de transparência. Gestão de Riscos de TI no Setor Público A gestão de riscos de TI é obrigatória pela IN 4/2019 e também exigida pela LGPD (avaliação de riscos para tratamento de dados pessoais). O processo segue as etapas da ISO 31000: Identificação de riscos: Quais eventos podem afetar negativamente a TI? Ex.: falha de energia, ataque de ransomware, erro humano em atualização de sistema, violação de dados. Análise de riscos: Probabilidade (baixa, média, alta) e impacto (financeiro, reputacional, legal, operacional). Avaliação de riscos: Comparar com o apetite a risco do órgão (quanto risco está disposto a aceitar). Tratamento de riscos: Mitigar (reduzir probabilidade/impacto), transferir (contratar seguro, terceirizar), aceitar (quando custo da mitigação é maior que o dano potencial) ou evitar (descontinuar a atividade). Exemplo no governo: Risco de indisponibilidade do sistema de arrecadação de impostos (alta probabilidade? média; impacto: altíssimo – perda de receita). Tratamento: redundância de servidores (cluster), backup em data center secundário, plano de continuidade de negócios. Gestão de Contratos de TI e Licitações A administração pública realiza licitações para contratar bens e serviços de TI (Lei 14.133/2021 – Nova Lei de Licitações). A governança de TI deve assegurar que os contratos: Sejam alinhados ao PDTI e às necessidades reais. Tenham objeto bem definido, com especificações técnicas claras (evitando “feiticeiro” – solução genérica que não atende). Incluam indicadores de nível de serviço (SLA) e penalidades por descumprimento. Prevejam transferência de conhecimento e garantia. Sejam fiscalizados por gestor e fiscal de contrato (servidores capacitados). Os principais tipos de contratação de TI no setor público: aquisição de hardware, licenças de software, desenvolvimento de sistemas sob medida, serviços de nuvem (IaaS, PaaS, SaaS), suporte e manutenção. Transparência e Controle Social na Governança de TI A publicidade é um princípio constitucional (art. 37, caput). Na governança de TI, isso significa: Publicação do PDTI e relatórios de acompanhamento no portal do órgão. Divulgação dos contratos de TI (valores, aditivos, empresas contratadas) no Portal Nacional de Contratações Públicas (PNCP) e nos portais de transparência. Acesso a dados abertos sobre gastos com TI (ex.: painel de compras do governo federal). Participação social: Consultas públicas para definição de prioridades de TI (ex.: escolha de projetos de orçamento participativo). Exemplo Prático: Governança de TI em um Órgão Estadual Cenário: Secretaria de Estado da Saúde (SES) quer implementar um novo sistema de prontuário eletrônico do paciente (PEP). Aplicação da governança de TI: Comitê de Governança Digital (CGD) da SES aprova o projeto, alinhado ao PDTI e ao plano estratégico de saúde. Análise de riscos: Riscos identificados – atraso na entrega, resistência de usuários, interoperabilidade com sistemas legados. Mitigações: cronograma realista, treinamento, especificação de APIs. Licitação: Contratação por pregão eletrônico (se for software de prontuário com configuração) ou concurso (se desenvolvimento sob medida). Definição de SLA (ex.: 99,5% de disponibilidade, suporte em 4 horas). Acompanhamento: Área de TI monitora o projeto; CGD recebe relatórios mensais; indicadores (ex.: percentual de unidades de saúde com PEP implantado). Transparência: Contrato publicado no PNCP; dados agregados sobre uso do PEP (respeitando LGPD) disponíveis em dados abertos. Auditoria: Auditoria interna e TCU fiscalizam a legalidade e os resultados. Quadro Comparativo: COBIT vs. ITIL vs. ISO 38500 | Característica | COBIT | ITIL | ISO 38500 | |----------------|-------|------|-----------| | Foco principal | Governança e gestão (estratégia + operação) | Gestão de serviços de TI (operação) | Governança corporativa de TI (princípios) | | Origem | ISACA | UK Cabinet Office (CCTA) | ISO | | Estrutura | Processos (EDM, APO, BAI, DSS, MEA) | Práticas (34 práticas no ITIL 4) | 6 princípios + modelo de governança | | Certificação | Certificação COBIT (ISACA) | Certificação ITIL (AXELOS) | Não certificável (norma de orientação) | | Uso no setor público brasileiro | Recomendado pelo TCU, referência para auditorias | Boa prática para central de serviços (SLA) | Referência para estruturar comitês | Quadro Comparativo: Governança vs. Gestão de TI | Aspecto | Governança de TI | Gestão de TI | |---------|------------------|---------------| | Nível | Estratégico (alta direção) | Tático/operacional (gerentes, equipes) | | Decisões | O que fazer? Por quê? Quem decide? | Como fazer? Com que recursos? | | Principais atividades | Definir políticas, aprovar orçamento, monitorar indicadores, gerenciar riscos | Executar projetos, operar infraestrutura, atender chamados, aplicar patches | | Envolvidos | Comitê de Governança Digital (CGD), diretores, secretários | Gerente de TI, analistas, técnicos | | Exemplo | Decidir investir em um novo sistema de RH | Instalar e configurar o sistema, treinar usuários | Considerações Finais A governança de TI no setor público é indispensável para assegurar que os recursos de TI sejam aplicados com eficiência, transparência e conformidade legal. Para concursos e vestibulares, o candidato deve conhecer os frameworks (COBIT, ITIL, ISO 38500), a estrutura de governança (Comitê de Governança Digital, PDTI, gestão de riscos), as obrigações da IN 4/2019 e as boas práticas de contratação e transparência. Questões podem apresentar cenários de falhas de governança (ex.: projeto de sistema abandonado, gastos sem planejamento) e pedir a identificação do controle ausente (falta de PDTI, comitê inoperante, ausência de gestão de riscos). O estudo deve relacionar a governança de TI com os princípios constitucionais da administração pública. Exercícios: Complete a frase: Enquanto a gestão de TI foca no "como fazer" e na operação, a _____ concentra-se no nível estratégico para assegurar que a tecnologia suporte a missão organizacional e entregue valor às partes interessadas. Complete a frase: No framework COBIT 2019, o domínio que representa a camada de governança e foca nas atividades de avaliar, direcionar e monitorar é o _____ . Complete a frase: Conforme a Instrução Normativa nº 4/2019 da SEGES/ME, os órgãos do SISP devem obrigatoriamente elaborar o Plano Diretor de Tecnologia da Informação (PDTI) com uma vigência de _____ . Complete a frase: O colegiado de participação obrigatória nos órgãos do SISP, composto por representantes de áreas finalísticas e de TI para deliberar sobre a estratégia digital, é o _____ . Complete a frase: No modelo ITIL 4, a prática que visa restaurar a operação normal do serviço o mais rapidamente possível para minimizar o impacto negativo nas atividades do serviço público é o Gerenciamento de _____ . Complete a frase: Na norma ISO/IEC 38500, o princípio que determina que a direção deve garantir que a TI cumpra todas as obrigações legais, regulatórias e contratuais é o da _____ . Complete a frase: No gerenciamento de riscos de TI, a ação de implementar redundância de servidores para diminuir a probabilidade ou o dano de uma falha crítica é tecnicamente classificada como _____ . Complete a frase: Segundo o Artigo 41 da LGPD, os órgãos públicos devem indicar obrigatoriamente um _____ para atuar como canal de comunicação entre o controlador, os titulares e a ANPD. Complete a frase: A norma brasileira que exige a publicação na internet do PDTI e dos indicadores de desempenho para permitir o controle social sobre a TI governamental é a _____ . Complete a frase: O instrumento contratual que estabelece métricas objetivas de disponibilidade e suporte técnico para assegurar a qualidade dos serviços de TI contratados pelo governo é o _____ . No contexto da Governança de TI no setor público brasileiro, qual das opções abaixo apresenta corretamente um modelo, framework ou norma de referência citada na aula? Segundo a aula, qual alternativa apresenta CORRETAMENTE a diferença entre Governança e Gestão de TI no setor público? Sobre os componentes fundamentais da Governança de TI no setor público, analise as opções a seguir e assinale a correta: A Governança de TI no setor público busca atingir determinados objetivos. Qual das alternativas representa CORRETAMENTE um dos principais propósitos dessa governança, conforme a aula? Assinale a alternativa em que há um exemplo REAL e correto de aplicação de Governança de TI no setor público, conforme apresentado na aula.