O PMBOK (2013) descreve que uma metodologia deve definir fontes de dados que possam ser usados para realizar o gerenciamento dos riscos no projeto [67]. Como forma de auxiliar a equipe de contratação na elaboração da gestão de riscos das contratações de TI da FUNASA, foram reunidas em uma fonte de dados, um conjunto de riscos e controles já estabelecidos pelo “Guia de Boas Práticas em Contratação de Soluções de Tecnologia da Informação” do TCU, que contempla uma base referencial para auxiliar a identificação de riscos e controles no planejamento da contratação de soluções de TI. Tal base de dados poderá compor a fase de identificação de riscos da presente proposta de metodologia nas contratações de TI da FUNASA, e a cada novo projeto, poderão ser complementadas com os novos riscos identificados, formando uma base de conhecimento que irá agregar boas práticas já utilizadas durante o planejamento das contratações de TI [24].
Capítulo 6
Considerações Finais
O sucesso nas contratações de soluções de TI é um dos principais objetivos dos gestores de TI na APF. As entidades, cada vez mais, dependem dos investimentos nesta área para que possam cumprir com suas missões institucionais e alcançar os objetivos estratégicos traçados e, para tanto, é necessário um bom planejamento da contratação, aderente às leis e normas e com a máxima eficiência frente aos recursos disponíveis.
A contratação de soluções de TI, assim como qualquer processo de aquisição, está sujeita aos riscos inerentes ao negócio. Uma efetiva contratação passa necessariamente pela antecipação e prevenção dos riscos a que o projeto pode ser exposto. Neste contexto, a gestão dos riscos é a ferramenta que auxilia os gestores para contratações mais seguras e efetivas.
O presente trabalho encontra escopo na proposição de uma metodologia de gestão de riscos aplicada às contratações das soluções de TI da Fundação Nacional de Saúde, que possibilite aos gestores, envolvidos no processo de contratação, tornar a disciplina de riscos nas contratações uma realidade dentro da entidade, adentrando em suas características e propriedades para que possam obter resultados práticos de sucesso nos projetos de compras de TI.
A gestão de riscos busca alinhar o gerenciamento de TI aos objetivos do negócio, balanceando custos e benefícios, garantindo a entrega dos serviços. A metodologia de gestão de riscos proposta buscou apresentar uma estrutura de processo de ponta a ponta para um gerenciamento de riscos bem-sucedido nas contratações de TI, orientando os envolvidos no processo, incluindo ferramentas e técnicas para compreender e gerir riscos concretos para os projetos de aquisição em TI no âmbito da FUNASA.
A aderência completa aos níveis de serviço ideais da solução aumenta as chances de êxito da compra de TI a ser realizada, considerando os riscos e impactos da contratação. A relação entre as etapas do modelo reforça a ideia de que cada passo é importante para a construção de uma gestão de riscos eficaz.
As fases que compõem a proposta (definição do contexto, identificação, análise e avali- ação, tratamento, monitoramento e controle e consolidação das informações dos riscos) in- dicam, por intermédio das atividades e tarefas, as responsabilidades, requisitos, entradas, saídas e as informações que contribuirão para entender como garantir mais segurança nos investimentos, reduzindo ameaças e controlando vulnerabilidades, além de proporcionar uma visão mais precisa dos riscos atuais e dos futuros relacionados a outras contratações de TI.
Os documentos produzidos e propostos na prática, poderão ser modificados e evoluídos de acordo com a necessidade, sendo uma fonte de conhecimento que passará por constante atualização. Para outros órgãos ou processos, é necessário que o artefato seja adaptado à realidade, bastando para isso que sejam considerados os conceitos desejados, e que não mudem a essência da metodologia proposta. É importante ressaltar que este estudo proposto surge no sentido de agregar mais informações, dados e materiais de referência ao processo de contratação de TI da FUNASA, em especial ao processo de análise de riscos da IN-SLTI/MP 04/2014, uma vez que quanto mais tal norma for estudada e colaborada, mais as atividades serão detalhadas, permitindo a uniformização da linguagem para ajudar a comunicação e a compreensão dos envolvidos durante o processo de contratação de TI. Por fim, vale ressaltar que os projetos de contratação de TI demandam esforço con- siderável de diversas unidades do órgão contratante, onde observa-se, por exemplo, a necessidade de elaboração de diversos documentos (estudos técnicos preliminares, termo de referência, estimativas de preço, análises jurídicas, editais entre outros), além do esforço necessário para a implantação da solução em si e, todo este processo envolve, geralmente, grandes quantidades de recursos financeiros que afetam o mercado brasileiro de TI.
O trabalho buscou demonstrar toda a complexidade envolvida no tema e suas dificul- dades de aplicação prática, afirmação esta corroborada com as dificuldades internas que cada instituição pública enfrenta, como a falta de servidores e recursos financeiros. A modelagem proposta busca o amadurecimento do órgão com relação às contratações de TI, contribuindo para internalização de procedimentos previstos na legislação e de boas práticas, tornando o órgão menos dependente de pessoas e menos vulnerável a mudanças ambientais, contribuindo para que a FUNASA exerça seu papel perante a sociedade.
6.1 Resultados Obtidos
Para a construção da metodologia proposta foram coletados e apresentados dados referen- tes à contratação de bens e serviços de TI na APF brasileira. Também foram abordados temas desde a legislação do governo brasileiro, tais como decretos, leis, normativos e guias relacionados à contratação de serviços de TI, às disciplinas, frameworks, normas
como a ABNT NBR ISO 31000 e ABNT NBR ISO 31010, até modelos de gestão de riscos adotados pela academia em artigos e livros científicos.
A partir dos elementos apontados pela literatura e pela legislação sobre o tema, em conjunto com a observação empírica da atual realidade do órgão, foi possível a construção de uma fonte consolidada de conhecimento, especialmente elaborada para o tema das contratações de TI. As informações coletadas formaram uma estrutura para a construção da metodologia para a gestão de riscos para as contratações de TI da FUNASA.
O trabalho propôs uma abordagem sistêmica, apresentando conceitos, atividades, ta- refas, documentos, pessoas e processos que integram a gestão de risco aplicada à realidade da FUNASA. Os gestores do órgão demonstraram que a metodologia apresenta viabilidade para uma implementação prática no processo de contratação de TI. Apesar de utilizada instituição específica para a construção do modelo, o trabalho possui um nível de abstra- ção suficiente para servir como material de referência para outras instituições, obtendo, dessa forma, melhorias consideráveis em TI, contribuindo para a prática da gestão de riscos de outros órgãos.
A metodologia proposta por esse trabalho, num total de 20 tarefas agrupadas em 11 atividades e 6 processos, procurou embasar o processo de trabalho da contratação de TI do órgão, com um material aprofundado sobre o assunto, podendo ser utilizado como modelo para adesão também em outros processos da organização.
Os artefatos produzidos estão em conformidade com a principal norma que orienta as contratações de TI no Governo Federal, a IN-SLTI/MP 04/2014. Outra importante contribuição do trabalho é a reunião de riscos e controles já estabelecidos pelo TCU como boa fonte de dados para novos projetos. Tal banco de informações conta com 66 riscos comumente encontrados na APF, o que, por si só, com sua implementação, poderia auxi- liar a diminuir os índices de contratações malsucedidas no governo. A primeira mudança de paradigma sugerida está relacionada à maneira como a gestão de riscos é tratada no âmbito da APF. Para tanto, é necessário que os gestores de TI e os responsáveis pelos órgãos percebam a importância do tema e deem o devido destaque à gestão de riscos nos processos de contratação.