GUIA DE BOAS PRÁTICAS PARA GOVERNAÇA EM TECNOLOGIA DA INFORMAÇÃO, DURANTE A PANDEMIA

O Estado do Tocantins está dividido em 139 municípios e a maioria deles tem menos de 5.000 habitantes, incluindo 14 nações indígenas e 9 comunidades quilombolas.

No geral, são pequenas cidades, separadas por grandes distâncias, que enfrentam importantes desafios em termos de estrutura física e de estradas.

Muitas vezes é preciso veículo traçado para vencer os limites da topografia no Tocantins, desde Palmas até o Jalapão. E, neste contexto, tão rico e específico, a tecnologia é ferramenta necessária e importantíssima para garantir efetividade à gestão pública.

Quando bem aplicadas, as soluções de tecnologia de informação encurtam distâncias e oportunizam comunicação tempestiva e efetiva entre os entes públicos e desses com o cidadão.

Do mesmo modo, é preciso destacar que a pandemia da COVID 19 impôs grandes desafios ao gestor público. Na prática, foi preciso reinventar o modo de trabalhar, presencial e analógico, incorporando ainda mais produtos e serviços de tecnologia da informação à rotina da administração pública.

O Tribunal de Contas do Tocantins (TCE/TO) acompanha de perto a atuação dos gestores no Estado e nos municípios. E, por isso, reforça a importância da implantação de mecanismos de Governança em Tecnologia da Informação para apoiar a efetividade da gestão, especialmente, em tempos de calamidade pública, quando os serviços essenciais como saúde e assistência social são ainda mais necessários para a população.

Mas como aplicar Governança Pública na aquisição e na gestão dos recursos de Tecnologia da Informação?

Governança é um conjunto de ferramentas que permite ao gestor definir ações de liderança, estratégia e controle, que oportuniza a este condições para executar, avaliar e monitorar a atuação da gestão e, assim, garantir melhores resultados. Em resumo, a Governança é uma atitude profissional do gestor ante à administração pública.
 
Para tanto, é preciso tomar decisões fundamentadas em levantamento de dados com fontes precisas; prever e analisar os riscos de cada atividade; definir objetivos, metas e estratégias e adotar indicadores claros para mensurar a efetividade de seus resultados.  

No que se refere à tecnologia da informação (T.I.), aplicar governança implica em:  realizar avaliação das soluções de T.I. já disponíveis dentro da unidade gestora; avaliar cuidadosamente as opções de aquisição de bens ou serviços de tecnologias (faz ou compra?); adotar procedimentos de segurança da informação e garantir que os dados produzidos pelo estado ou municípios sejam compatíveis com as demandas dos sistemas do TCE (controle externo) e com as exigências das normas de transparência e de acesso à informação (controle social).

Fique atendo aos 5 pilares da governança de T.I.:

1 - Alinhamento Estratégico: tanto os processos de negócio, ou seja, as atividades internas e externas da administração pública como os processos de tecnologia da informação precisam trabalhar conjuntamente;

2 - Entrega de Valor: o setor de tecnologia da informação precisa ser o mais eficiente e eficaz possível;

3- Gerenciamento de Riscos: é necessário que o gestor visualize de forma abrangente eventuais riscos para as atividades da administração pública e defina previamente os meios de minimizá-los.

4- Gerenciamento de Recursos: otimizar a gestão dos recursos humanos e tecnológicos da gestão pública.

5- Mensuração de Desempenho: utilizando-se de indicadores que vão muito além dos critérios financeiros, a Governança de TI assegura uma medição e avaliação precisa dos resultados da gestão.

Confira, a seguir, boas práticas de Governança em Tecnologia da Informação identificadas a partir das ações de fiscalização do Controle Externo do TCE-TO.
 

Check list de boas práticas de governança de T.I.

1.     Adequar a estrutura física da área de TI da Prefeitura para garantir a eficiência e continuidade dos serviços prestados, evitar o desperdício ou a má aplicação dos recursos públicos e asseverar a integridade, confiabilidade e disponibilidade das informações processadas e armazenadas pelos softwares do Órgão;

2.      Estabelecer uma estrutura eficiente de governança de TI para melhorar a gestão;

3.      Criar um comitê de TI para que a alta administração tenha o controle dos investimentos da área;

4.     Implementar melhorias na estruturação física da área de TI para garantir a eficiência e continuidade dos serviços prestados, evitar o desperdício e a má aplicação dos recursos públicos;

5.     Realizar uma avaliação formal e periódica da adequação quantitativa e qualitativa do quadro de pessoal, definir papéis e responsabilidades específicos no setor de TI;

6.     Destinar quantidade suficiente de pessoal para dar o suporte adequado aos objetivos e metas planejadas, destacando que os papéis sensíveis, ou aqueles relacionados à gestão de TI, quais sejam: planejamento, coordenação, supervisão e controle, devem ser atribuídos a servidores efetivos;

7.     Definir métodos de estimativa e mensuração que favoreçam a remuneração de empresa contratada mediante a entrega de resultados e não com base em horas trabalhadas, em conformidade com o art. 6º, inciso IX, alínea “e”, art. 58, inc. III, da Lei nº 8.666/93;

8.     Tomar conhecimento, a título de orientação, do Guia de Contratações de Soluções de TI publicado pelo TCU e da Instrução Normativa nº 01 de 2019;

9.     Adotar estratégias de independência para diminuir os riscos causados pela excessiva dependência de tecnologia e de conhecimento das unidades gestoras frente às empresas contratadas para prestar serviços de tecnologia;

10. Sanar deficiências de documentação nos processos de desenvolvimento e manutenção de sistemas de informação instituídos na unidade gestora.

11. Requerer de empresa contratada atitudes no sentido de prover os documentos necessários para que seja viável gerenciar os artefatos, comportamentos e estados do sistema com qualidade e promover a disseminação do conhecimento do sistema no departamento de TI e no âmbito da unidade gestora;

12. Garantir que política de segurança da informação da Unidade Gestora seja elaborada, documentada, aprovada, publicada formalmente e divulgada de forma contínua entre os servidores;

13. Definir e documentar os papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros;

14. Elaborar termo ou condições de contratação de fornecedores, servidores públicos e terceiros que lhes imputam suas responsabilidades quanto à segurança da informação na unidade gestora;

15. Definir um processo que garanta que, ao final do contrato, a empresa prestadora de serviços realize devolução à Unidade Gestora, de todas as informações às quais teve acesso durante a execução do contrato.

16. Adotar um processo que garanta a retirada de direitos de acesso à informação a partir do encerramento das atividades, contratos ou acordos, ou o ajustamento desses acessos após o encerramento de contrato ou de mudança de atividades na Unidade Gestora;

17. Documentar, elaborar, aprovar e publicar, formalmente, a política de controle de acesso na Unidade Gestora;

18. Desenvolver a gestão de continuidade de negócio para que seja elaborado um plano que contemple as operações e serviços de TI que deverão estar disponíveis em caso de falhas nos processos críticos de negócio e as atividades de recuperação e manutenção e seus respectivos responsáveis;

19. Elaborar e formalizar a política de geração de cópias de segurança para os sistemas da Unidade Gestora;

20. Acompanhar as atividades desenvolvidas nos sistemas mais críticos, manuseados pelos servidores, com o objetivo de identificar possíveis erros ou ameaças à integridade, disponibilidade e confiabilidade das informações;

21. Estabelecer procedimentos de auditoria interna para avaliar as exposições a riscos relacionados à governança, às operações e aos sistemas de informação da Unidade Gestora, no que diz respeito à confiabilidade e à integridade das informações financeiras e operacionais;

22. Promover a realização de procedimentos e atividades de auditoria de TI por auditores internos com conhecimento nos principais riscos e controles de tecnologia da informação e nas técnicas de auditoria baseadas em tecnologia.

Image
Image
Image
Image
Image