Resumo Executivo

Juliana de Medeiros Coelho; Fernanda Lopes Johnston

Resumo elaborado pela ferramenta ResumeAI, solução de inteligência artificial desenvolvida pelo Instituto Pecege voltada à síntese e redação.

Projetos de Tecnologia da Informação enfrentam diversas incertezas ao longo de seu ciclo de vida, sendo o risco de projeto comumente definido como um evento ou condição incerta que, caso ocorra, pode afetar pelo menos um dos objetivos fundamentais, como escopo, cronograma, custo ou qualidade. Tais eventos podem apresentar impactos positivos, configurando-se como oportunidades, ou negativos, caracterizados como ameaças (PMI, 2017). O gerenciamento sistemático dessas incertezas envolve processos de planejamento, identificação, análise, resposta e monitoramento, visando maximizar os resultados favoráveis e minimizar os impactos adversos sobre as metas estabelecidas (ABNT, 2018). Frameworks reconhecidos internacionalmente, como o Guia PMBOK e a norma ISO 31000, fornecem as diretrizes essenciais para essa gestão, evidenciando que a administração de riscos deve ser parte integrante da governança e da tomada de decisão organizacional (PMI, 2017; ABNT, 2018). No contexto da administração pública, essa prática assume relevância particular devido à abrangência e ao impacto social dos projetos tecnológicos, onde falhas podem comprometer serviços críticos, gerar desperdício de recursos financeiros e afetar a confiança da sociedade nas instituições governamentais.

A implementação de processos eficazes de gerenciamento de riscos é um instrumento de governança indispensável para garantir a entrega de resultados com eficiência e transparência. De acordo com o Tribunal de Contas da União, a gestão de riscos está intimamente associada ao princípio constitucional da eficiência, pois sua aplicação só se justifica quando proporciona ganhos efetivos na entrega de resultados e no alcance dos objetivos institucionais (TCU, 2018). O governo brasileiro tem estabelecido normativos que exigem a adoção dessas práticas nos projetos de tecnologia, integrando-as ao planejamento e aos controles internos. Os benefícios dessa abordagem incluem o amadurecimento da governança, a melhor alocação de recursos e o aumento da segurança nos processos organizacionais. Barreiras culturais e a priorização da conformidade burocrática em detrimento da gestão proativa de incertezas são apontadas como fatores que dificultam a implementação plena dessas práticas no setor público (Braga, 2007). No entanto, observa-se que instituições de maior porte têm avançado na institucionalização de metodologias e estruturas de governança específicas, permitindo o alcance de maiores níveis de maturidade gerencial.

A fundamentação teórica para a gestão de riscos no setor público baseia-se na convergência entre as melhores práticas de mercado e as exigências legais de controle. A norma ISO 31000 enfatiza princípios como a criação de valor, a integração aos processos organizacionais e a consideração de fatores humanos e culturais (ABNT, 2018). Complementarmente, o modelo das três linhas de defesa propõe uma estrutura de responsabilidades onde a primeira linha gerencia os riscos operacionais, a segunda linha estabelece as políticas de conformidade e a terceira linha, representada pela auditoria interna, provê a avaliação independente (IIA, 2020). Essa estrutura busca assegurar que a gestão de riscos não seja uma atividade isolada, mas um fluxo contínuo que permeia todos os níveis da organização. No âmbito da tecnologia da informação, o gerenciamento de riscos deve considerar a rápida obsolescência tecnológica, a segurança cibernética e a dependência de fornecedores externos, elementos que elevam a complexidade dos projetos governamentais.

A metodologia aplicada para a compreensão das práticas vigentes fundamentou-se em uma abordagem qualitativa de caráter descritivo, utilizando a técnica de análise documental para examinar registros institucionais de forma sistemática. Segundo os preceitos de análise de conteúdo, esse procedimento permite extrair significados a partir de dados escritos, favorecendo a interpretação e a categorização de informações sem a necessidade de intervenção direta junto aos sujeitos (Bardin, 2011). O corpus da pesquisa foi constituído por documentos oficiais publicados entre 2022 e 2025, abrangendo planos de gestão de riscos, normativos e relatórios de acompanhamento de seis instituições públicas brasileiras de diferentes esferas e poderes. A seleção dos documentos obedeceu a critérios de disponibilidade pública, pertinência temática ao gerenciamento de riscos em tecnologia e atualidade temporal, garantindo uma visão contemporânea das práticas adotadas.

O primeiro documento analisado foi o Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação 2023-2026 da Agência Nacional de Águas e Saneamento Básico. Este plano, vinculado ao planejamento estratégico institucional, estabelece metodologias para identificar, analisar e avaliar riscos que afetam os objetivos tecnológicos da agência. O documento detalha ações de resposta e mecanismos de monitoramento ao longo do quadriênio, integrando a gestão de riscos ao ciclo de planejamento operacional. Em seguida, examinou-se o Anexo V do Plano Diretor de Tecnologia da Informação e Comunicação 2024-2027 do Instituto Nacional do Seguro Social. Este documento fundamenta-se na política institucional de gestão de riscos e utiliza o Sistema de Gerenciamento de Riscos para mapear eventos associados à execução do plano diretor, contemplando etapas de avaliação, comunicação e acompanhamento contínuo.

A análise incluiu também a Norma Técnica 003/2024 do Tribunal Regional Eleitoral do Paraná, que formaliza o plano de gerenciamento de riscos de tecnologia para o exercício de 2024. O documento define uma abordagem sistemática para antecipar eventos que possam comprometer os objetivos do tribunal, visando aumentar a probabilidade de resultados positivos e reduzir impactos adversos por meio de processos de priorização e tratamento. No âmbito do Poder Executivo Federal, analisou-se a Portaria 7.246 de 2023 do Ministério da Ciência, Tecnologia e Inovação, que institui a Política de Gestão de Riscos e o Comitê Técnico de Gestão de Riscos. Este normativo alinha a gestão de riscos à estratégia ministerial e define responsabilidades para todas as unidades, abrangendo projetos de tecnologia e iniciativas de inovação.

Adicionalmente, foi examinada a Ata da Segunda Reunião do Comitê Gerencial de Processos, Projetos e Riscos da Controladoria-Geral da União, ocorrida em outubro de 2022. O registro documenta discussões sobre o aprimoramento do monitoramento de riscos corporativos, incluindo a utilização de painéis de indicadores em ferramentas de inteligência de negócio e a reavaliação de metodologias. Por fim, analisou-se o Plano Diretor de Tecnologia da Informação 2023-2024 do Senado Federal, que incorpora a gestão de riscos em seu portfólio de projetos. O documento ressalta que o monitoramento contínuo permite o tratamento preventivo de riscos, evitando que se tornem problemas e garantindo o alcance dos benefícios esperados pela alta administração do Poder Legislativo.

O processo de análise documental seguiu quatro etapas rigorosas: coleta, codificação, comparação e síntese. Na fase de codificação, as informações foram organizadas em categorias temáticas, abrangendo riscos técnicos, organizacionais, orçamentários e regulatórios. A etapa de comparação confrontou as práticas descritas nos documentos com as recomendações do Guia PMBOK e da norma ISO 31000 (PMI, 2021; ABNT, 2018). A síntese final permitiu identificar convergências metodológicas, lacunas na aplicação prática e oportunidades de melhoria nos processos de governança. Essa estrutura metodológica garantiu uma base sólida para avaliar como a gestão de riscos vem sendo tratada no setor público, permitindo inferências sobre o nível de maturidade das instituições estudadas.

Os resultados evidenciam que a gestão de riscos em projetos de tecnologia no setor público brasileiro ganhou destaque significativo, impulsionada por normativas governamentais e pela busca por eficiência. Os riscos identificados pelas instituições podem ser agrupados em quatro dimensões principais. Os riscos técnicos referem-se a problemas tecnológicos e operacionais, como obsolescência de sistemas, falhas na segurança da informação e indisponibilidade de infraestrutura. No planejamento do Senado Federal, por exemplo, destacou-se a necessidade de mitigar riscos de baixa qualidade de serviços e falta de atualização tecnológica, elementos vitais para a confiabilidade dos sistemas. A preocupação com a proteção de dados e a integridade das informações é recorrente, alinhando-se às melhores práticas de gestão de tecnologia (PMI, 2021).

Os riscos organizacionais englobam questões relacionadas ao capital humano, processos internos e governança. Diversos planos apontam a rotatividade de servidores e a falta de pessoal qualificado em tecnologia como ameaças críticas. A Agência Nacional de Águas e Saneamento Básico identificou que a perda de colaboradores-chave impacta diretamente a capacidade de entrega da área tecnológica. De forma semelhante, o Ministério da Ciência, Tecnologia e Inovação registrou a insuficiência de efetivo para atender às demandas crescentes. Outros riscos desta categoria incluem falhas de comunicação entre áreas e descontinuidade de iniciativas devido a mudanças na gestão. Conforme as diretrizes internacionais, equipes mal preparadas ou processos deficientes podem comprometer todos os objetivos de um projeto, exigindo atenção especial à gestão de pessoas (PMI, 2021).

A dimensão orçamentária revela a vulnerabilidade dos projetos públicos a restrições financeiras e contingenciamentos. É recorrente a preocupação com o não recebimento de recursos previamente destinados ao planejamento de tecnologia. No caso da Agência Nacional de Águas e Saneamento Básico, o risco de cortes orçamentários é classificado com alto impacto, pois compromete a capacidade de atingir objetivos estratégicos. O Ministério da Ciência, Tecnologia e Inovação também listou a dificuldade de atender projetos devido à limitação de recursos financeiros. O gerenciamento eficaz deve, portanto, considerar essas restrições e preparar respostas adequadas para ameaças fiscais, garantindo a continuidade das entregas essenciais (PMI, 2021).

Os riscos regulatórios e de conformidade abrangem mudanças legais e exigências de órgãos de controle. As instituições reconhecem que o ambiente público está sujeito a fiscalizações rigorosas e marcos regulatórios complexos. A Agência Nacional de Águas e Saneamento Básico identificou o risco de novos normativos acarretarem atrasos em entregas tecnológicas. No contexto do Tribunal Regional Eleitoral do Paraná e da Controladoria-Geral da União, a aderência a leis como a Lei Geral de Proteção de Dados e normas de controle interno é considerada vital. A existência de políticas formais nessas instituições demonstra um foco claro na conformidade, seguindo a recomendação da norma ISO 31000 de considerar fatores externos e legais na identificação de incertezas (ABNT, 2018).

A análise da adesão aos processos de gerenciamento revela que as instituições seguem as etapas fundamentais preconizadas pelo mercado. O estabelecimento do contexto é realizado por meio do alinhamento da gestão de riscos aos objetivos estratégicos. O Tribunal Regional Eleitoral do Paraná ressalta que a gestão de riscos deve ser sistemática e estruturada para subsidiar a tomada de decisão e a melhoria contínua, refletindo os princípios de integração e melhoria constante (ABNT, 2018). A identificação de riscos é conduzida por meio de levantamentos estruturados, oficinas com áreas técnicas e consultas a especialistas. O Instituto Nacional do Seguro Social utiliza inventários preliminares de riscos corporativos, enquanto a Agência Nacional de Águas e Saneamento Básico emprega análises de forças e fraquezas para mapear eventos críticos.

A etapa de análise e avaliação de riscos é predominantemente qualitativa, utilizando matrizes de probabilidade e impacto para classificar o nível de cada incerteza. O Instituto Nacional do Seguro Social define escalas que resultam em mapas de calor, facilitando a visualização dos riscos mais críticos. A Agência Nacional de Águas e Saneamento Básico também utiliza mapas de calor para destacar o percentual de riscos extremos e os objetivos mais impactados. Essa prática é consistente com as recomendações de utilizar escalas relativas para priorizar o tratamento (PMI, 2021). Contudo, observou-se uma lacuna na utilização de análises quantitativas avançadas, como simulações estatísticas ou cálculos financeiros de exposição, o que é comum em projetos governamentais que priorizam o julgamento de especialistas.

Quanto ao tratamento e respostas, todos os planos estabelecem ações para mitigar, aceitar, transferir ou evitar riscos. Na Agência Nacional de Águas e Saneamento Básico, riscos orçamentários são frequentemente aceitos com medidas de contingência, enquanto riscos operacionais recebem ações de mitigação nos processos. O Ministério da Ciência, Tecnologia e Inovação propõe a redistribuição de analistas internos para tratar a insuficiência de pessoal. O Tribunal Regional Eleitoral do Paraná integra o tratamento de riscos ao ciclo de planejamento e controle, exigindo planos de ação formalizados. Uma limitação identificada foi a baixa exploração de riscos positivos; as respostas do tipo explorar ou potencializar oportunidades raramente são mencionadas, evidenciando um foco predominante na proteção contra ameaças (PMI, 2021).

O monitoramento e a comunicação são reconhecidos como partes essenciais do ciclo de gestão. O Tribunal Regional Eleitoral do Paraná define papéis claros, onde comitês específicos acompanham riscos estratégicos, operacionais e de segurança. O Instituto Nacional do Seguro Social implementou um sistema informatizado para registro e acompanhamento em tempo real, demonstrando um estágio avançado de maturidade operacional. A transparência é garantida pela disponibilização dos planos em portais governamentais, atendendo aos princípios de prestação de contas incentivados pelos órgãos de controle (TCU, 2018). Essa distribuição de responsabilidades assegura que o reporte de riscos ocorra em diferentes níveis hierárquicos, permitindo revisões periódicas e adaptações estratégicas.

A maturidade das práticas observadas varia entre estágios intermediários e avançados. Instituições como a Controladoria-Geral da União, o Tribunal Regional Eleitoral do Paraná e o Instituto Nacional do Seguro Social já institucionalizaram a gestão de riscos via portarias e resoluções específicas, criando comitês dedicados. Esse comprometimento da alta direção é um fator crítico para o sucesso da governança (TCU, 2018). O uso de ferramentas informatizadas exclusivas, como o sistema adotado pelo Instituto Nacional do Seguro Social, permite maior consistência histórica e agilidade na atualização dos dados, características de organizações maduras (ABNT, 2018). Por outro lado, algumas instituições ainda focam excessivamente em riscos estratégicos de alto nível, podendo negligenciar riscos operacionais detalhados de projetos específicos.

A abrangência das categorias de risco é ampla, mas a profundidade vertical ainda está em evolução. Enquanto a cobertura horizontal de diversos tipos de riscos é satisfatória, o detalhamento em todos os níveis organizacionais varia conforme a instituição. O Senado Federal, por exemplo, utiliza indicadores anuais de gestão de riscos para verificar a eficácia do processo, uma prática que reflete um patamar de melhoria contínua. A cultura de risco e a capacitação também são indicadores de maturidade; o Instituto Nacional do Seguro Social e o Tribunal Regional Eleitoral do Paraná preveem ações de treinamento e produziram manuais práticos para difundir conceitos internamente, assegurando a sustentabilidade do processo (ABNT, 2018).

A análise crítica permite identificar desafios persistentes, como a necessidade de refinar as classificações de riscos técnicos para incluir incidentes cibernéticos e falhas de infraestrutura de forma mais diligente. A ampliação da quantificação em projetos de grande porte, adotando técnicas estatísticas quando cabível, permitiria priorizar investimentos de forma mais precisa (PMI, 2021). Além disso, o fortalecimento da cultura de riscos por meio de treinamentos regulares e o incentivo à comunicação aberta nas três linhas de defesa são fundamentais para que a gestão deixe de ser apenas uma obrigação normativa e se torne parte do cotidiano dos gestores públicos. O enfoque em riscos positivos permanece como uma fronteira a ser explorada para agregar valor aos projetos tecnológicos.

As evidências coletadas demonstram um progresso significativo na gestão de riscos em tecnologia no setor público, com forte aderência aos frameworks internacionais. Os riscos são tratados de forma estruturada e integrada ao planejamento estratégico, visando otimizar as respostas a eventos incertos. Essa consolidação das práticas tende a melhorar a entrega de valor nos projetos governamentais, aumentando as chances de sucesso e a confiança da sociedade nos investimentos públicos. A resiliência institucional frente às incertezas é fortalecida pela adoção de metodologias consagradas e pelo apoio da alta administração, embora a homogeneidade na aplicação dessas práticas ainda precise ser alcançada entre diferentes órgãos.

Conclui-se que o objetivo foi atingido, uma vez que se verificou que os órgãos públicos estudados registraram, classificaram e trataram riscos em projetos de tecnologia com crescente maturidade e alinhamento às diretrizes do Guia PMBOK e da norma ISO 31000. A pesquisa evidenciou a institucionalização de políticas formais, a criação de instâncias de governança específicas e o uso de ferramentas de monitoramento que asseguram a transparência e a eficiência administrativa. Apesar das limitações identificadas, como a baixa exploração de riscos positivos e a carência de análises quantitativas robustas, observou-se uma evolução consistente na cultura organizacional voltada à prevenção de problemas. O fortalecimento contínuo dessas práticas representa um avanço fundamental para a entrega de serviços públicos tecnológicos com maior qualidade, dentro dos prazos e orçamentos previstos, consolidando a gestão de riscos como um pilar estratégico da administração pública brasileira.

Referências Bibliográficas:

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO 31000:2018 – Gestão de riscos – Diretrizes. Rio de Janeiro: ABNT, 2018

BARDIN, Laurence. Análise de conteúdo. Tradução de Luís Antero Reto e Augusto Pinheiro. São Paulo: Edições 70, 2011

BRAGA, Sônia de Oliveira. O coaching ontológico como instrumento de desenvolvimento de equipes de trabalho. 2007. Dissertação (Mestrado em Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica de Brasília, Brasília, 2007

BRASIL. Agência Nacional de Águas e Saneamento Básico (ANA). Plano de Gestão de Riscos de TIC 2023–2026. Brasília, DF: ANA, 2024. Disponível em: https://www.gov.br/ana/pt-br/acesso-a-informacao/tecnologia-da-informacao/pgr-petic-2023-2026.pdf. Acessado em 20 de agosto de 2025

BRASIL. Controladoria-Geral da União (CGU). Secretaria-Executiva. Ata de Reunião do Comitê Gerencial de Processos e Riscos (CGPR), de 19 de julho de 2023. Brasília, DF: CGU, 2023. Disponível em: https://repositorio.cgu.gov.br/handle/1/77134. Acessado em 20 de agosto de 2025

BRASIL. Instituto Nacional do Seguro Social (INSS). Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC) 2024–2027. Brasília, DF: INSS, 2024. Disponível em: https://www.gov.br/inss/pt-br/centrais-de-conteudo/publicacoes/plano-diretor-de-tecnologia-da-informacao-pdti/pdtic_2024-2027.pdf. Acessado em 25 de agosto de 2025

BRASIL. Ministério da Ciência, Tecnologia e Inovação (MCTI). Portaria nº 7.246, de 19 de julho de 2023. Institui a Política de Gestão de Riscos e o Comitê Técnico de Gestão de Riscos do MCTI. Diário Oficial da União, Brasília, DF, 24 jul. 2023, Seção 1, p. 40. Disponível em: https://www.in.gov.br/web/dou/-/portaria-mcti-n-7.246-de-19-de-julho-de-2023-498144483. Acessado em 25 de agosto de 2025

BRASIL. Senado Federal. Plano Diretor de Tecnologia da Informação 2025–2027. Brasília, DF: Senado Federal, 2025. Disponível em: https://www12.senado.leg.br/transparencia/gestgov/strans/pdti-2025-2027.pdf. Acessado em 25 de agosto de 2025.

BRASIL. Tribunal de Contas da União. Manual de Gestão de Riscos do TCU. 1. ed., Brasília: TCU, 2018

BRASIL. Tribunal Regional Eleitoral do Paraná (TRE-PR). Plano de Gestão de Riscos de Tecnologia da Informação 2025–2026. Curitiba, PR: TRE-PR, 2025. Disponível em: https://www.tre-pr.jus.br/transparencia-e-prestacao-de-contas/gestao-de-tecnologia-da-informacao/arquivos/tre-pr-plano-de-gestao-de-riscos-de-ti-2025-2026. Acessado em 26 de agosto de 2025.

INSTITUTE OF INTERNAL AUDITORS. Modelo das Três Linhas do IIA – 2020. Tradução: Instituto dos Auditores Internos do Brasil. São Paulo: IIA Brasil, 2020. Disponível em: https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-editorHTML-00000013-20082020141130.pdf. Acessado em 28 de agosto de 2025

PROJECT MANAGEMENT INSTITUTE (PMI). Guia do Conhecimento em Gerenciamento de Projetos (Guia PMBOK®). 7. ed. Estados Unidos: PMI, 2021

PROJECT MANAGEMENT INSTITUTE (PMI). Guia do Conhecimento em Gerenciamento de Projetos (Guia PMBOK®). 7. ed. Estados Unidos: PMI, 2021

Resumo executivo oriundo de Trabalho de Conclusão de Curso da Especialização em Gestão de Projetos do MBA USP/Esalq

Para saber mais sobre o curso, clique aqui e acesse a plataforma MBX Academy