A governança de tecnologia da informação em operadoras de planos de saúde suplementar no estado do Ceará
Wellington Sousa Aguiar
wellington@tecsist.com
Universidade Estácio de Sá, Rio de Janeiro, RJ, Brasil.
Antonio Augusto Gonçalves
augusto@inca.gov.br
Universidade Estácio de Sá, Rio de Janeiro, RJ, Brasil.
Claudio Pitassi
claudio.pitassi@gmail.com
Universidade Estácio de Sá, Rio de Janeiro, RJ, Brasil.
RESUMO
As organizações modernas dependem cada vez mais da tecnologia da informação (TI) para suportar seus processos transacionais e suas estratégias de negócio. O objetivo deste artigo é avaliar os impactos da implantação da governança de TI no segmento de operadoras de plano de saúde (OPS) com sede no estado do Ceará como suporte para o atendimento às normas da Agência Nacional de Saúde (ANS), por meio de estudo de caso qualitativo de finalidade descritiva e aplicada. O referencial teórico baseou-se na revisão da literatura sobre frameworks importantes de governança de TI aplicados no mercado de saúde suplementar no Brasil e a regulação imposta pela ANS no tocante à TI. Foram realizadas entrevistas semiestruturadas com os gestores de TI e das áreas usuárias de TI destas empresas. Os resultados foram obtidos a partir da triangulação das entrevistas, observações diretas e análise documental, cujas evidências foram tratadas pela análise de conteúdo. As conclusões indicaram que a governança de TI tem forte impacto na qualidade e planejamento no atendimento às normas da ANS, mas as operadoras pesquisadas ainda não utilizam todo potencial disponível, com vários níveis de maturidade e muitas oportunidades de evolução.
Palavras-chave: Governança de TI; Tecnologia da Informação; Planos de Saúde Suplementar; Agência Nacional de Saúde.
INTRODUÇÃO
No início dos anos 1990, face à atitude temerária de alguns executivos, tornou-se clara a necessidade de se garantir maior segurança aos acionistas, particularmente aos minoritários. Até esta data, não havia padrões consagrados de controle sobre a gestão das organizações, o que dava margem a fraudes e à desobediência sistemática das regras estabelecidas pelos órgãos reguladores. No entanto, graças ao forte crescimento da economia americana e à alta lucratividade das empresas, a governança corporativa ganhou pouco foco nos modelos de gestão das organizações.
Com as crises do México, Ásia, Rússia, dentre outras, os investidores mudaram de comportamento, passando a exigir dos responsáveis pela gestão regras claras de mediação dos interesses que envolvem a alocação de recursos nas organizações. Foi somente após o ano 2000, com uma sequência de fatos relevantes em todo o mundo, tais como o bug do milênio, a “bolha” da internet, as fraudes e crimes contra a economia, que a governança corporativa assume um papel central nos modelos de gestão das empresas. Dentre as novas regras, destaca-se a Lei Sarbanes-Oxley, cuja adequação passou a ser exigida para a negociação das ações das empesas na bolsa de valores de Nova York (Mansur, 2007).
A tecnologia da informação (TI), presente em todas as organizações contemporâneas, independentemente do porte e natureza, tem papel cada vez mais determinante na execução dos processos transacionais e de controle e, consequentemente, no suporte à aderência às regras impostas pelas leis e normas governamentais e setoriais. Lunardi et al. (2014) verificaram que empresas que adotaram práticas de governança de TI melhoraram seu desempenho considerando várias dimensões, o que acaba resultando na melhoria da rentabilidade. As organizações públicas também têm se beneficiado. Juiz et al. (2014) concluíram que o uso de uma estrutura de governança de TI em uma entidade pública ajuda no alcance das metas de transparência e de responsabilidade para os ativos de TI.
Historicamente, o sistema público de saúde no Brasil destaca-se pelas evidências de baixa qualidade de atendimento, equipamentos escassos e precários e equipes médicas despreparadas ou desestimuladas para oferecer um bom serviço de saúde à população. A discussão das causas que desencadearam esta situação não está no escopo deste artigo, mas as consequências desta situação abriram espaço para a consolidação dos planos e dos seguros-saúde privados, que conformam o mercado de saúde suplementar, os quais ocuparam espaço cada vez maior no sistema de saúde brasileiro (Pereira Filho, 1999). A crescente judicialização dos direitos à saúde, tanto no âmbito do Sistema Único de Saúde (SUS) quanto no das operadoras de plano de saúde (OPS), traz pressões ainda maiores para o equilíbrio do sistema de saúde (Carlini, 2014).
O setor de saúde suplementar, que começou a ganhar relevância a partir da década de 1960 com o avanço do trabalho formal nas empresas privadas, é composto por operadoras de planos de saúde, médicos, dentistas, enfermeiros e demais profissionais da área de saúde. Envolve hospitais, laboratórios e clínicas em uma rede prestadora de serviços de saúde que atende aos consumidores de planos privados de assistência à saúde médica e odontológica (Machado et al., 2017).
Nos últimos anos o setor de saúde suplementar do Brasil, segundo maior do mundo, atingiu a marca de 72.000 usuários em junho de 2015. Nesta ocasião, a Agência Nacional de Saúde (ANS) registrou 1.390 operadoras de saúde suplementar ativas, sendo 1.013 de planos de assistência médica e 377 de planos exclusivamente odontológicos. Entre as operadoras de planos de assistência médica, as sete maiores, todas com mais de 1.000.000 de usuários, detinham à época mais de 31% dos beneficiários; entre as operadoras exclusivamente de planos odontológicos, a concentração é ainda maior, já que nove delas, todas com mais de 300 mil beneficiários, detém mais de 60% do mercado (ANS, 2015).
Na medida em que atuam em um setor fortemente regulado e sujeito a um crescente processo de judicialização, o atendimento de normas da ANS e a melhoria da qualidade dos serviços prestados tornam-se críticos.
Dado o contexto, o objetivo deste artigo é avaliar os impactos da implantação da governança de TI no segmento de OPS com sede no estado do Ceará como suporte para o atendimento às normas da ANS. É importante salientar, de modo a destacar a relevância do estudo, que o não atendimento às normas da ANS pode acarretar multas, intervenções, suspensão da comercialização de planos e até mesmo o cancelamento da operadora.
REFERENCIAL TEÓRICO
Governança corporativa
A implantação da governança corporativa tornou-se uma necessidade incontornável após o estouro dos escândalos ocorridos no início de 2002, envolvendo algumas organizações como Enron, Worldcom e Tyco, que causaram quedas das ações nos Estados Unidos e nos principais mercados do mundo, de modo a reforçar as práticas de adequação às exigências (compliance, em inglês) das partes interessadas (Griffith, 2016).
Segundo o Instituto Brasileiro de Governança Corporativa, podemos definir governança corporativa como o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas (stakeholders, em inglês) (IBCG, 2016).
De acordo com Weill et Ross (2006), as áreas retratadas na Figura 1 atuam nos processos cobertos pela governança corporativa.
Figura 1. Ambiente da governança corporativa.
Fonte: Weill et Ross, 2006
A Lei Sarbanes-Oxley, conhecida como SOX, surgiu em 2002 para mudar o panorama mundial de governança, criando padrões mais rígidos de auditoria e novas exigências no mercado de ações. A SOX visava inibir fraudes contábeis e obrigar os Presidentes (CEO) e os Diretores Financeiros (CFO) a assinarem as demonstrações financeiras, certificando e atestando a eficácia dos procedimentos e controles internos da sua organização. A SOX exigiu uma forte readequação dos mecanismos de governança corporativa das organizações com problemas de agência (Gu et Zhang, 2017), podendo influenciar no redesenho da regulação aplicada nas economias emergentes (Goel et al., 2017).
Governança de TI
A governança de TI foi fortemente influenciada pelas discussões que ocorreram no âmbito da governança corporativa, propondo mecanismos para aumentar a segurança, o rastreamento e a transparência dos processos pertinentes à área de TI nas organizações (ITGI, 2003). Segundo Weill et Ross (2006), uma governança de TI eficaz deve tratar três questões: quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? Quem deve tomar estas decisões? Como estas decisões serão tomadas e monitoradas?
Quadro 1. Principais decisões na governança de TI
Fonte: Weill et Ross, 2006
Para Kooper et al. (2009) existem dois fatores que limitam à adoção dos frameworks da governança de TI nas organizações: o conceito, pois a governança de TI foi desenvolvida por auditores e não por profissionais de TI; e a forma como as empresas aplicam os conceitos da governança de TI, focada nas atividades de controle, ignorando a geração de valor para a organização.
Desde a sua gênese, a governança de TI visa assegurar o alinhamento entre os interesses dos negócios e as responsabilidades da área de TI, por meio do controle e implantação da estratégia de TI. Por conseguinte, esta estratégia deverá ser pensada, planejada e amparada pela alta direção, gerência de negócios e a gerência de TI, para dar o suporte necessário ao negócio da organização (Affeldt et Vanti, 2009; De Haes et Grembergen, 2004; Weill et Ross, 2006).
Após quase 30 anos de amadurecimento dos mecanismos formais e informais de governança de TI no ambiente organizacional, em que os esforços estavam concentrados no mecanismos de controle e de compliance às regras dos órgãos reguladores, crescem as evidências da necessidade de alinhá-la à governança de TI ao planejamento estratégico, o que envolve aspectos técnicos, metodológicos e comportamentais, em especial os relacionados à cultura organizacional (Wu et al., 2015).
A governança corporativa dita as estratégias corporativas que guiarão as atividades da governança de TI. Esta, por sua vez, será guiada pelos comitês de TI, que determinarão as ações e ferramentas a serem utilizadas em cada área de abrangência da TI, conforme descrito na Figura 2 (Schiavon et al., 2010).
Figura 2. Estrutura de Governança e suas ferramentas de suporte por área.
Fonte: Schiavon et al. (2010), adaptação do autor.
Como pode ser visto no arcabouço proposto por Schiavon et al. (2010), a complementaridade das ferramentas aplicadas em cada área será crucial para o sucesso da área de TI. Nesse sentido, pode-se destacar que o principal objetivo da governança de TI é garantir que os serviços da área suportem os objetivos estratégicos da empresa.
Nfuka et Rusu (2011) propuseram um modelo apresentando os fatores críticos de sucesso para a efetividade da governança de TI, dentre os quais destacam-se: (i) o envolvimento e apoio da alta gestão; (ii) o comprometimento dos stakeholders; e (iii) a compreensão por parte da alta gestão dos objetivos de negócios, do papel que a TI desempenha para atingi-los e de fazer com que esse papel seja percebido pelos gestores.
Tallon et al. (2013) defendem que a governança de TI consiste na gestão de artefatos físicos de TI, como hardware e redes, e intangíveis, como software, e que a informação como um ativo de TI necessita de um enfoque diverso para que seja governada de maneira efetiva.
O uso das melhores práticas de gestão de projetos para melhorar a governança de TI é ressaltado na literatura científica (Sirisomboonsuk et al., 2018). Conhecimento em gerenciamento de projetos ou Guia PMBOK (Project Management Body of Knowledge), é um padrão internacional das melhores práticas em gerenciamento de projetos. Um padrão é um documento que define normas, métodos, processos e práticas. Este guia evolui constantemente a partir das boas práticas relatadas por profissionais de gerenciamento de projetos (PMI, 2008).
O Project Management Institute (PMI, 2008) define um projeto como um esforço temporário para criar um produto, serviço ou resultado exclusivo, que só termina quando os objetivos forem alcançados ou quando se concluir que estes objetivos não serão ou não poderão ser alcançados e, assim, encerra-se o projeto; ou quando o projeto não é mais necessário. O PMBOK apresenta vários conceitos sobre o gerenciamento de projetos, mas este guia não é uma metodologia, é um conjunto de conhecimentos e orientações para o gerenciamento de projetos, colaborando para o sucesso deles. O PMBOK agrupa as melhores práticas em grupos de processos, áreas de conhecimentos, com seus inputs, outputs, técnicas e ferramentas (Sirisomboonsuk et al., 2018).
O Information Technology Infrasructure Library (ITIL) foi criado a partir da necessidade de padronização dos processos da área de TI visando à terceirização. Ele é baseado na experiência de vários profissionais de organizações públicas e privadas ao redor do mundo, por isso é adotado por grandes organizações públicas e privadas, em seus segmentos de atuação. No Brasil, as grandes organizações também já adotaram este padrão de gerenciamento de TI, como a Caixa de Assistência dos Funcionários do Banco do Brasil (CASSI), Companhia do Metropolitano de São Paulo (Metrô-SP), Serviço Federal de Processamento de Dados (Serpro), Sonopress, Banco Real/Santander, TIM, Carrefour, Odebrech, Roche, Alcoa, Santander Banespa, Philips e Orbitall, conforme notícias e casos de sucesso publicados na imprensa especializada (Magalhães et Pinheiro, 2007).
Como destacam Fernandes et Abreu (2012), o principal objetivo do ITIL é proporcionar um conhecimento das melhores práticas de gerenciamento de serviços de TI segundo a lógica do ciclo de vida de serviços. Tais práticas, testadas e validadas pelo mercado, podem ser utilizadas tanto por empresas que desejam melhorar sua operação de TI, como também por aquelas que estão iniciando uma operação de TI. Adotar o ITIL pode ajudar a empresa a alcançar um grau maior de maturidade e qualidade no uso dos ativos de TI, incluindo sistemas de informação e infraestrutura de TI, alinhado com as necessidades dos clientes e usuários.
O Control Objectives for Information and Related Technology (COBIT) foi criado pelo IT Governance Institute (ITGI) na década de 1990, como um recurso educacional para chief information officers (CIO), gerência sênior, gerência de TI e profissionais de controle, visando orientar estes profissionais quanto à estão e controle de TI (ITGI, 2007). Para ajudar as organizações a enfrentar com sucesso os desafios corporativos e os requisitos reguladores, o ITGI publicou, em 2007, o COBIT 4.1, com o foco voltado para os objetivos de controle e dos processos de verificação e divulgação de resultados.
O COBIT disponibiliza vários modelos e recursos para gestão de ativos de TI. Destaca-se por ser independente da plataforma adotada e por não possuir nenhuma restrição quanto ao tipo de negócio da organização. O modelo das melhores práticas do COBIT define 34 processos distribuídos em quatro domínios: Planejamento e Organização; Aquisição e Implementação; Distribuição e Suporte; e Monitoramento (Putri et al., 2017).
O COBIT foi projetado para auxiliar três grupos distintos: gerentes que precisam avaliar o risco e controlar os investimentos de TI; usuários de TI que necessitam de garantias de que os serviços de TI atenderão suas demandas internas e externas e serão bem gerenciados; e para os auditores que se apoiam no COBIT para avaliar o nível da gestão de TI e orientar as áreas de controle interno da organização (Putri et al., 2017).
METODOLOGIA
Na perspectiva da gestão, a incorporação e o uso de TI envolvem aspectos cognitivos e organizacionais que requerem um cuidado especial da pesquisa em administração (Pitassi et Moreno, 2009). Em linha com este entendimento, a pesquisa retratada neste artigo utilizou uma abordagem qualitativa, por ser a mais adequada para investigar aspectos ligados à percepção dos diferente sujeitos envolvidos na implantação da governança de TI em organizações de saúde.
A abordagem qualitativa pesquisa detalhadamente os fenômenos do ambiente estudado e o pesquisador vive e conhece a realidade deste grupo ou ambiente. Na pesquisa qualitativa, o pesquisador participa, compreende e interpreta (Michel, 2009). Desse modo, buscou-se deixar emergir aspectos indutivamente coletados das falas dos entrevistados (Creswell, 2010).
O método de pesquisa utilizado foi o estudo de caso múltiplo das OPS com sede no estado do Ceará, possibilitando as comparações entre elas. Os dados foram coletados por meio de dez entrevistas apoiadas em roteiros semiestruturados, com cinco gestores que exercem cargos executivos nas áreas de TI das OPS e cinco gestores de áreas usuárias diretas de TI, com conhecimento e experiência no setor de saúde suplementar. O Quadro 2 apresenta informações relevantes do perfil e da experiência dos entrevistados. Neste trabalho foi utilizada uma identificação fictícia para cada entrevistado, visando preservar suas identidades e de suas empresas.
Quadro 2. Perfil dos entrevistados
Fonte: Produção própria
UFC: Universidade Federal do Ceará; UNIFOR: Universidade de Fortaleza; FGV: Fundação Getúlio Vargas; UECE: Universidade Estadual do Ceará; MBA: Master of Bunisess Administration.
Segundo Yin (2010, p. 39), o estudo de caso é uma “investigação empírica que investiga um fenômeno contemporâneo em profundidade e em seu contexto de vida real [...] especificando quando os limites entre o fenômeno e o contexto não são claramente evidentes”.
O estudo de caso qualitativo necessita do uso de várias técnicas de coleta de dados e evidências. Nesta pesquisa, os dados foram coletados pela triangulação de: i) entrevista semiestruturada: utilizada na pesquisa de campo por meio de roteiro estruturado por assuntos, de forma a abordar todo o contexto da pesquisa; foram gravadas integralmente por equipamento digital; as perguntas abertas foram transcritas e interpretadas para dar suporte ao objetivo proposto da pesquisa; ii) pesquisa documental: foram levantados registros, documentos, políticas, normas da ANS, portais das empresas e da ANS, cadernos de informações da ANS, etc; iii) observação direta: durante as visitas de campo foram detectados comportamentos, atitudes e informações visuais dos locais de trabalho.
As unidades de análise deste estudo de caso múltiplo foram as práticas e ferramentas de governança de TI usadas pelas OPS analisadas, inclusive odontológico, com sede em Fortaleza, capital do estado do Ceará, mas com atuação em vários estados da federação. São empresas de porte representativo no mercado de planos de saúde no Brasil. O Quadro 3 apresenta um resumo das OPS sem identificá-las, mantendo seus nomes em sigilo, conforme compromisso assumido na carta convite, enviada para cada empresa participante da pesquisa.
Quadro 3. Resumo das OPS analisadas.
Fonte: Produção própria
CE: Ceará; PI: Piauí; MA: Maranhão; PA: Pará; AM: Amazonas; RN: Rio Grande do Norte; PB: Paraíba; PE: Pernambuco; AL: Alagoas; BA: Bahia; SE: Sergipe; GO: Goiás; DF: Distrito Federal; RJ: Rio de Janeiro; SP: São Paulo; MG: Minas Gerais
Na análise dos resultados foi utilizado o Índice de Desempenho da Saúde Suplementar (IDSS) para comparação entre os casos estudados. Os dados coletados das entrevistas foram tratados por meio de análise de conteúdo categorial (Bardin, 1991). As categorias de análise foram coletadas da revisão da literatura a respeito das ferramentas e modelos de governança de TI a disposição dos gestores. As entrevistas foram transcritas e analisadas na mesma sequência do roteiro, que foi utilizado apenas como guia. A riqueza das informações coletadas no campo, a maturidade das empresas e a grande experiência dos entrevistados facilitaram o agrupamento e a análise por tema.
APRESENTAÇÃO E DISCUSSÃO DE RESULTADOS
Agência Nacional de Saúde (ANS)
A criação da ANS foi um marco na regulação do setor de saúde no Brasil. Está vinculada ao Ministério da Saúde, mas possui autonomia administrativa, financeira e política e poder legal para a efetivação de suas resoluções (Brasil, 2000). A ANS tem por finalidade promover a defesa do interesse público na assistência suplementar à saúde, em um processo de regulação marcado tanto pela perspectiva econômica, que objetiva a organização do mercado e o estímulo à concorrência, quanto pela assistencial, voltada para a garantia dos interesses dos consumidores nesse mercado (ANS, 2013).
O seguro privado é suplementar porque comercializa planos de saúde e vende serviços já cobertos, em tese, pelos sistemas públicos, caso do SUS no Brasil. No País, 62% dos serviços hospitalares e 92% das unidades de apoio e diagnósticos é de propriedade privada. Apenas as unidades ambulatoriais possuem maioria estatal (78%).
A ANS publica normas que devem ser cumpridas pelas OPS através dos chamados compromissos e interações. Um dos principais compromissos diz respeito ao envio de informações para o controle e a participação em programas de estímulo à melhoria da qualidade dos serviços prestados aos clientes. Dentre as informações exigidas periodicamente pela ANS, estão os dados cadastrais das OPS, os dados cadastrais de todos os usuários, as movimentações cadastrais dos usuários e de atendimentos clínicos, cirúrgicos e laboratoriais e os dados contábeis de receitas e despesas de acordo com o plano de contas definido pela agência.
Todas as informações devem ser geradas e transmitidas digitalmente, atendendo a critérios técnicos de layout, transmissão de dados e segurança da informação. Para a geração destas informações, as áreas de TI das OPS precisam estar preparadas e organizadas para atender às solicitações no prazo e com o nível de qualidade exigido pelos ofícios da ANS. Várias destas informações são compartilhadas e cruzadas com outros órgãos do Governo Federal, como forma de confirmar a veracidade dos dados prestados ou complementá-los.
A ANS tem o poder de exigir procedimentos tecnológicos e demandam constantemente, com prazos estipulados previamente, atividades tecnológicas às OPS, como solicitações de mudanças em sistemas, envio de dados e troca de informações. Por exemplo, as informações cadastrais dos clientes devem ser encaminhadas mensalmente com dados referentes aos clientes (identificação pessoal, de endereço e identificação contratual). As OPS têm até o dia 05 do mês subsequente à adesão do cliente ao plano para enviar os dados. A ANS disponibiliza, desde que solicitado pela OPS, arquivos de conferência contendo os dados de todos os clientes que constam da base de dados do Sistema de Informações de Beneficiários (SIB/ANS).
O Sistema de Informações de Produtos (SIP) é o instrumento utilizado pela ANS para envio de informações e acompanhamento da assistência prestada aos beneficiários. O envio do SIP é obrigatório para todas as OPS. As informações deverão ser enviadas a ANS através de arquivo XML. O Documento de Informações Periódicas das Operadoras de Planos de Assistência à Saúde (DIOPS) foi criado com a finalidade de coletar informações cadastrais e financeiras para o acompanhamento das OPS no que tange à saúde econômico-financeira e à manutenção dos dados cadastrais.
A ANS exige, ainda, que as OPS mantenham a continuidade dos serviços de TI para que os clientes possam a qualquer momento acessar informações do plano via WEB ou através das centrais de atendimentos (call centers). Para o atendimento destas demandas, é importante uma gestão do portfólio de projetos de TI, com priorizações bem definidas para que não se percam prazos e se evite o pagamento de multas ou penalidades. O PMBOK é o modelo mais utilizado para o gerenciamento desses projetos.
Em 2007, a ANS criou o Programa de Qualificação da Saúde Suplementar para avaliar a qualidade das OPS, a partir do IDSS. O objetivo da ANS, com o programa, é melhorar a qualidade dos serviços prestados pelas operadoras, garantir um equilíbrio no mercado e ajudar o consumidor na hora de optar por um plano de saúde. O IDSS classifica as operadoras por meio de uma pontuação que varia de 0 a 1, divididas em cinco faixas: 0,00 a 0,19; 0,20 a 0,39; 0,40 a 0,59; 0,60 a 0,79; e 0,80 a 1,00.
Conforme o Gráfico 1, a quantidade de empresas que conquistou as maiores notas de IDSS aumentou de 2013 para 2014.
Gráfico 1. Conjunto de operadoras com IDSS na faixa de 0,6 a 1,0.
Fonte: ANS (2015).
Operadoras de planos de saúde do Ceará
Todos os entrevistados confirmaram a participação da TI nas decisões estratégicas das empresas, ajudando a decidir e apoiando com informações relevantes. Um exame detalhado das falas revela níveis variados de alçada, com diferentes interpretações para o que significa participar das decisões estratégicas:
“Sim, a área de TI participa ativamente do processo de governança corporativa através de reuniões mensais, tanto para avaliação do desempenho da empresa quanto para acompanhamento e planejamento, participando do planejamento estratégico e planejamento do orçamento anual. Há três anos, aproximadamente, a área de TI participa deste processo.” (GESTOR TI_1)
“Sim, participa nas reuniões de planejamento estratégico. Sempre tem alguém da TI, participando da priorização dos projetos e definição dos indicadores, assim como as demais áreas da empresa.” (GESTOR USUÁRIO_1)
Os depoimentos sobre os comitês de TI foram os que apresentaram as maiores fragilidades e divergências no que se refere à relação TI x usuários, pois os gestores de TI confirmaram a existência dos comitês de TI, enquanto os gestores usuários desconheciam a existência ou desqualificavam as suas atividades e importância. Esta evidência, retratada abaixo, pode indicar que as diferenças a respeito da relevância da TI ainda são expressivas nas OPS estudadas.
“Existe, porque a TI não é responsável apenas pelas atividades de desenvolvimento de software e gestão de serviços. Está sob a nossa guarda toda a parte de comunicação da empresa, que provavelmente é um dos orçamentos mais importantes dentro da corporação, depois da área médica. Todo investimento que é feito na TI passa por um processo de planejamento financeiro produzido trimestralmente dentro de um escopo de governança corporativa. Esse comitê é formado pelo comitê de Administração e por todos os gestores, no momento de formar o planejamento financeiro do trimestre seguinte.” (GESTOR TI_2)
“Não, até onde eu sei, não existe comitê de TI aqui na empresa. Se existe comitê de TI eu não percebo suas ações.” (GESTOR USUÁRIO_1)
Os mecanismos relacionais entre a área de TI e as outras unidades organizacionais são, para a governança de TI, os fatores determinantes para o bom desempenho da TI e estão muito positivamente correlacionados com o bom desempenho organizacional (Tonelli et al., 2015).
Por meio das respostas dos gestores entrevistados, foi possível perceber que a maioria das empresas utiliza, de alguma maneira, mecanismos de governança de TI, mas nenhuma delas em sua plenitude ou com grande maturidade. Uma das empresas demonstrou que já está aplicando algumas boas práticas, e que possui um planejamento bem definido em médio e longo prazos para as futuras implantações. Três empresas possuem partes da governança de TI implantadas e desejam implementar, em breve, novas estratégias, embora não possuam um plano ou projeto específico. O depoimento a seguir mostra como as empresas usam partes das metodologias, adaptando-as às suas necessidades:
“Com a governança de TI, nós implantamos partes do ITIL, não por completo, usando a ferramenta XMon, que é uma suíte que abrange quatro disciplinas do ITIL. Nós criamos o portfólio de serviços e o ITIL é bem utilizado na parte de infraestrutura e no atendimento final ao usuário. Na parte de indicadores nós temos usado a metodologia de gerenciamento de projetos com base no PMBOK, principalmente na área de BI (Business Inteligence) e na área de projetos estratégicos. Já em desenvolvimento de software nós usamos gerenciamento de projetos, mas usando metodologia de gerenciamento ágil, o SCRUM, adaptado com algumas características do PMBOK, que é chamado de SCRUMBUT, um SCRUM adaptado. E sempre alinhado com o negócio da empresa.” (GESTOR TI_3)
É fácil perceber a manifestação de preocupação dos gestores de TI na administração do portfólio de projetos, pois o volume das demandas é alto e o nível de cobrança é muito grande. A maioria dos gestores de TI tinham, na ponta da língua, as regras de priorização que devem aplicar sobre os projetos demandados. O depoimento abaixo revela o alto grau de maturidade das áreas de TI no que se refere ao uso das ferramentas de gestão de projetos:
“A empresa implantou a metodologia de desenvolvimento de projetos há cerca de dois anos para todas as áreas. A área de TI já trabalhava com gerenciamento de projetos. As priorizações das implantações são definidas entre a área de TI e as diversas áreas demandantes e sempre alinhadas com o planejamento estratégico da empresa, sendo que os erros de sistema têm prioridade maior, seguida das demandas legais e das demais.” (GESTOR USUÁRIO_3)
As Tabelas 2 e 3 apresentam duas planilhas que são usadas em uma das empresas pesquisadas para auxiliar na priorização dos projetos de TI que serão selecionados para execução no semestre seguinte.
A Tabela 1 apresenta uma planilha exemplo, em que cada projeto é confrontado com os demais quanto à importância, com base em três critérios estratégicos (sem autorização para divulgação). Os projetos com o maior número de vitórias são desenvolvidos no semestre seguinte.
Tabela 1. Matriz “X x Y”
Fonte: Documentos da empresa pesquisada
A Tabela 2 apresenta outra ferramenta utilizada para identificar os projetos mais importantes. A Matriz GUT (Gravidade, Urgência e Tendência) é uma forma de avaliar cada projeto individualmente quanto à gravidade do problema que o projeto resolverá, à urgência de resolver esse problema para o negócio da empresa e à tendência de piora das condições se esse problema não for resolvido.
Tabela 2. Matriz GUT (Gravidade, Urgência e Tendência)
Fonte: Documentos da empresa pesquisada
Segundo o gestor de TI, as ferramentas Matriz GUT e Matriz “X x Y” são utilizadas como apoio para a tomada de decisão, para apresentar uma primeira versão da priorização de projetos para o semestre vindouro, mas é na reunião do Comitê de TI que os projetos são priorizados em definitivo, podendo ser realizado ajustes a partir da sensibilidade dos gestores que formam o comitê de TI.
Nas conversas informais, reuniões, entrevistas e documentos utilizados no gerenciamento de projetos que foram apresentados, foi fácil perceber e evidenciar que o PMBOK é o framework mais utilizado pelas empresas. É importante registrar que, ainda assim, estes efeitos e vantagens não são percebidos pelas áreas usuárias, ao contrário, a maioria dos gestores usuários relatou desconhecer a metodologia e a utilização pela TI.
“Eu sei que eles utilizam uma metodologia, mas não sei qual é. Ela tem contribuído sim para as demandas da ANS, as normativas que saem para todos os sistemas são alteradas em cima destas deliberações.” (GESTOR USUÁRIO_2)
O framework do COBIT é o menos utilizado pela governança de TI das empresas pesquisadas. Dos 34 processos que formam o COBIT, apenas três ou quatro, geralmente voltados para a função de controle, são utilizados. Os processos com maiores evidências durante a pesquisa de campo foram: i) monitorar e avaliar a performance de TI; ii) monitorar e avaliar os controles internos.
À exceção de uma das OPS avaliadas, todas as demais utilizam, em alguma escala, painéis de indicadores, gestão à vista ou relatórios periódicos para acompanhamento do desempenho da TI. Embora o uso de COBIT não se resuma a presença de indicadores, alguns depoimentos relatam a contribuição da metodologia COBIT para a adoção de mecanismos de controle mais sofisticados, como pode ser visto abaixo:
“A TI tem toda gestão formada e treinada em COBIT e ITIL. A empresa bancou todo o treinamento da equipe com mais de um curso. Nós temos uma estrutura de indicadores gerenciais e estratégicos que são acompanhados mensalmente no fórum com a diretoria executiva e todos os superintendentes; a tecnologia possui cinco indicadores de performance e desempenho e de projetos e indicadores táticos, com os quais a gerência acompanha suas equipes. Os indicadores táticos foram indicados pela metodologia do COBIT.” (GESTOR TI_4)
Das OPS pesquisadas, apenas uma não fazia uso do ITIL. Todas as demais possuem profissionais certificados no ITIL e demonstraram conhecimento, evidências e defenderam as vantagens de seu uso. Os documentos internos evidenciaram a maturidade do uso deste framework no atendimento às demandas da ANS:
“Nós colhemos do ITIL várias formas de melhorar nossos processos internos: nós temos ferramenta para a abertura de chamados, desenvolvida internamente, que controla quem abriu, prioriza, controla o nível e o tempo para ser executado. Isso permite, ao final do mês, controlar as quantidades - quantos foram abertos, fechados no prazo, fora do prazo -, isso gera alguns indicadores táticos. Além disso, nós temos ferramentas de mercado que controlam toda a disponibilidade dos ativos: servidores, links, desktops e todo inventário de máquinas e softwares. Concluindo, nós temos várias atividades do ITIL contempladas, mas não posso dizer que tenho o processo ITIL completamente implantado. Todas essas ferramentas me propiciam estar dentro dos prazos e com estas demandas da ANS atendidas.” (GESTOR TI_4)
Dada a criticidade deste quesito para a ANS, todas as empresas demonstraram elevado domínio da utilização da Segurança de Informação, buscando melhorias constantes neste tema, como pode ser visto no depoimento a seguir:
“Hoje, como a operadora é regulamentada pela ANS e em suas normas existe um padrão que a gente é obrigado a seguir, nossos sites na Web são certificados pela Certisign, seguindo um padrão exigido pela ANS, nossa base de dados faz backup diariamente, [...] além de utilização de normas de segurança para a composição de senhas, utilização de sistema operacional de última geração, tudo para que os dados dos clientes e os dados utilizados pela operadora estejam sempre sendo mantidos de forma segura.” (GESTOR TI_1)
A segurança da informação também é percebida pelos gestores usuários de TI, que reconhecem a necessidade e importância deste tema, conforme se verifica nos depoimentos abaixo:
“Existe todo um sistema de controle de acesso, tanto às funcionalidades via WEB quanto aos sistemas internos; cada usuário tem seu perfil determinado no sistema e ele só acessa as funções e funcionalidades de acordo com seu perfil; existe um controle de troca de senha, que exige que todo mês a pessoa revalide a senha e recadastre, isso tudo feito automaticamente pelos sistemas.” (GESTOR USUÁRIO_2)
Embora os relatos e as evidências mostrem que várias ações são realizadas visando à segurança da informação, nenhuma empresa tem implantado ou planeja implantar formalmente as normas mais conhecidas no mercado, como: NBR ISO/IEC 27001:2006 e 27002:2005. Estas normas têm conceitualmente todos os requisitos técnicos e legais necessários para suprir, com qualidade, a segurança da informação em qualquer tipo de organização.
Com base nas entrevistas, análise de documentos e observação participante durante as visitas, a Tabela 3 foi elaborada a partir do consolidado da avaliação a respeito do uso de cada framework da governança de TI nas empresas pesquisadas. Cabe ressaltar que a classificação do nível “Não” ao “Muito” foi obtida qualitativamente a partir do esforço interpretativo e coletivo dos autores deste artigo.
Tabela 3. Avaliação interpretativa dos autores.
Fonte: Elaboração própria.
A classificação variou de uma operadora (Caso V), que recebeu apenas um conceito verde (Bom) e sete amarelos (Regular), até à melhor operadora (Caso III), que recebeu dez conceitos verdes (Bom ou Muito) e cinco conceitos amarelos (Regular). O Quadro 6 representa uma avaliação considerada regular ou boa para a empresa que melhor aplica a governança de TI e uma avaliação considerada insuficiente para a empresa que menos aplica governança de TI.
Com vistas a confrontar os resultados obtidos, o Quadro 4 apresenta as avaliações da ANS refletidas no IDSS, cuja escala vai de 0 (zero) a 1 (um). Ressalta-se que, nesta pesquisa, só foram utilizados os indicadores que envolvem diretamente a TI.
Quadro 4. Dimensões avaliadas do IDSS.
Fonte: Elaboração própria.
Considerando-se as operadoras que obtiveram os melhores conceitos (Casos I e III) e as operadoras que obtiveram os piores conceitos (Caso IV e V), podemos observar, na Tabela 4, que a avaliação qualitativa construída neste artigo a partir das evidências em campo é compatível com o IDSS calculado pela ANS para estas operadoras em 2014 (dados relativos a 2013).
Tabela 4. Comparativo da avaliação interpretativa com o IDSS 2014.
Fonte: Elaboração própria.
CONSIDERAÇÕES CONCLUSIVAS
O objetivo deste artigo foi avaliar os impactos da implantação da governança de TI no segmento de OPS do estado do Ceará como suporte para o atendimento às normas da ANS que envolvem a TI. A análise dos resultados obtidos permite concluir que todas as OPS avaliadas já implantaram a governança de TI, ainda que apresentam níveis de maturidade distintos. Como era esperado, dada a penetração do uso de TI nas organizações contemporâneas, ficou evidente que as OPS usam a TI para apoiar os processos que visam atender às demandas da ANS.
Os resultados obtidos demonstram que, de fato, a governança de TI auxilia no atendimento das normas da ANS, mesmo para aquelas operadoras que não utilizam todo o potencial das ferramentas aqui analisadas. Das ferramentas avaliadas, os processos do COBIT foram os que apresentaram o menor nível de utilização. Pode-se perceber que a ênfase na utilização dos mecanismos, processos e ferramentas de governança recai sobre os objetivos ligados à segurança da informação e ao controle e monitoramento das atividades da TI.
Embora o foco deste artigo tenha sido o atendimento das regras da ANS, que envolvem processos transacionais e informações cadastrais, foi possível perceber a menor ênfase nos processos voltados para o alinhamento entre os projetos da TI e as necessidades das áreas de negócio, considerado um objetivo estratégico da governança de TI que ainda é falho. Esta lacuna é ainda mais relevante quando se observa a diferença de percepção entre os gestores de TI e os gestores de negócio quando se discute este alinhamento e a gestão de projetos críticos para o negócio. Como sugestão para resolver esta lacuna, é indicado o fortalecimento dos comitês de TI e de usuários de TI.
Em todas as OPS estudadas há a oportunidade para se evoluir na implantação de processos ou frameworks da governança de TI. Cabe ressaltar que os gestores entrevistados indicaram que costumam adaptar as ferramentas estudadas às necessidades de suas organizações, o que pode explicar a escolha dos processos mais críticos para o objetivo de compliance às regras da ANS.
De acordo com os resultados obtidos, é possível argumentar que utilização plena da governança de TI poderá trazer maior controle, transparência e segurança no atendimento às normas da ANS. No sentido contrário, o pouco uso ou a ausência total destes frameworks pode causar situações críticas, tais como: priorização errada dos projetos, projetos sem gerenciamento adequado, recursos de infraestrutura de TI mal direcionados e segurança inadequada dos dados e acessos. No entanto, a plena adoção de sistemas de gestão, a exemplo do COBIT, poderá exigir esforços que muitas organizações não estão preparadas para executar, ou mesmo não queiram adotar, dados os riscos de burocratização da ferramenta.
Apesar da representatividade dos casos pesquisados, recomenda-se, para maior sustentação das conclusões, estender esta pesquisa para operadoras de outros estados de mesmo porte ou maiores, garantindo, assim, a confirmação dos dados em outras praças. Este novo enfoque permitiria a comparação da governança de TI entre estados da federação.
Seria também de grande valor estudar a percepção da agência reguladora quanto à governança de TI das OPS. Este tipo de pesquisa traria informações valiosas para as operadoras, subsidiando a melhoria dos serviços prestados aos seus usuários. Caberia, ainda, estudar a governança de TI nestas organizações, para avaliar os benefícios destes frameworks no apoio aos processos comerciais e operacionais imprescindíveis para este setor da economia.
REFERÊNCIAS
Affeldt, F. S.; Vanti, A. A. (2009), “Alinhamento estratégico de tecnologia da informação: análise e modelos de propostas para pesquisas futuras”, Revista de Gestão da Tecnologia e Sistemas de informação, Vol. 6, No. 2, pp. 203-226.
Agência Nacional de Saúde Suplementar – ANS (2015), Caderno de Informação da Saúde Suplementar: beneficiários, operadoras e planos, jun., ANS, Rio de Janeiro, RJ.
Bardin. L. (1991), Análise de conteúdo, Edições 70, Lisboa. Brasil (2000), Lei 9.961, de 28 de janeiro de 2000, cria a Agência Nacional de Saúde Suplementar – ANS e dá outras providências, Diário Oficial da União, 29 jan. 2000.
Carlini, A. (2014), Judicialização da saúde pública e privada, Livraria do Advogado Porto Alegre, RS.
Creswell, J. W. (2010), Projeto de pesquisa: métodos qualitativo, quantitativo e misto, 3 ed., Artmed, Porto Alegre.
De Haes, S.; Grembergen, W. V. (2004), “It governance and its mechanisms”, Information Systems Control Journal, Vol. 1.
Fernandes, A. A.; Abreu, V. F. (2012), Implantando a governança de TI: da estratégia à gestão dos processos e serviços, 3 ed., Brasport, Rio de Janeiro, RJ.
Goel, U.; Kumar, S.; Singh, K.; Manrai, R. (2017), “Corporate Governance: Indian perspective with relation to Sarbanes Oxley Act.”, Proceeding of the International conference on Economic and Development, Vol. 1, pp. 60-72.
Griffith, S. J. (2016), “Corporate Governance in an era of compliance”, William & Mary Law Review, Vol. 57, No. 6, pp. 2075-2040.
Gu, Y.; Zhang, L. (2017), “The impact of the Sarbanes-Oxley Act on corporate innovation”, Journal of Economics and Business, Vol. 90, pp. 17-30.
Information Technology Governance Institute – ITGI (2003), Board Briefing on IT Governance, 2 ed., ITGI, Illinois, disponível em: www.itgi.org. Acesso em: nov. 2012.
Information Technology Governance Institute – ITGI (2007), COBIT 4.1, Rolling Meadows, IL.
Instituto Brasileiro de Governança Corporativa – IBCG (2016), Disponível em http://www.ibgc.org.br/. Acesso em: set. 2016.
Juiz, C.; Guerrero, C.; Lera, I. (2014), “Implementing good governance principles for the public sector in information technology governance frameworks”, Open Journal of Accounting, Vol. 3, No.1, pp. 9-27.
Kooper, M.; Maes, R.; Lindgeen, E. R. (2009), Information governance: in search of the forgotten grail, PrimaVera Working Paper Series, University of Amsterdam.
Lunardi, G.; Becker, J.; Maçada, C.; Dolci, P. (2014), “The impact of adopting IT governance on financial performance: an empirical analysis among Brazilian firms”, International Journal of Accounting of Information Systems, Vol. 11, No. 2, pp. 397-414.
Machado, C. V.; Lima, L. D.; Baptista, T. W. F. (2017), “Políticas de saúde no Brasil em tempos contraditórios: caminhos e tropeços na construção de um sistema universal”, Cadernos de Saúde Pública, Vol. 33, Suppl. 2, pp. s143-s161.
Magalhães, I. L.; Pinheiro, W. B. (2007), Gerenciamento de serviços de TI na prática: uma abordagem com base na ITIL, Novatec, São Paulo.
Mansur, R. (2007), Governança de TI: metodologia, frameworks e melhores práticas, Brasport, Rio de Janeiro, RJ.
Michel, M. H. (2009), Metodologia e pesquisa científica em Ciências Sociais: um guia prático para acompanhamento da disciplina e elaboração de trabalhos monográficos, 2 ed., Atlas, São Paulo.
Nfuka, E. N.; Rusu, L. (2011), “The effect of critical success factors on IT governance”, Industrial Management & Data Systems, Vol. 111, No. 9, pp. 1418-1448.
Pereira Filho, L. T. (1999), “Iniciativa privada e saúde”, Estudos Avançados, Vol. 13, No. 35, pp. 109-116.
Pitassi, C.; Moreno, V. (2009), “O papel das disciplinas de sistemas de informação nos cursos de graduação em administração, Revista de Administração Ensino e Pesquisa (RAEP), Vol. 10, No. 2, pp. 9-32.
Project Management Institute - PMI (2008), Guia PMBOK: um guia do conjunto de conhecimentos em gerenciamento de projetos, 4 ed., PMI, Pensilvânia, USA.
Putri, M. A.; Aknuranda, I.; Mahmudy, W. F. (2017), “Maturity evaluation of information technology governance in PT DEF using Cobit 5 Framework”, Journal of Information Technology and Computer Science, Vol. 2, No. 1, pp. 19-27.
Schiavon, M.; Lima, H. G. F.; Pires, S. R. (2010), “Construindo estruturas organizacionais de TI para a otimização da prática da governança de TI”, In: 7º CONTECSI: Congresso Internacional de Gestão da Tecnologia e Sistemas de Informação, FEA-USP.
Sirisomboonsuk, P. et al. (2018), “Relationships between project governance and information technology governance and their impact on project performance”, International Journal of Project Management, Vol. 36, pp. 287–300.
Tallon, P. P.; Ramirez, R. V.; Short, J. E. (2013), “The information artifact in IT governance: toward a theory of information governance”, Journal of Management Information Systems, Vol. 30, No. 3, pp. 141-177.
Tonelli, A. O. et al. (2015), It governance in the public sector: a conceptual model, Elsevier, Springer.
Weill, P.; Ross, J. W. (2006), Governança de TI - Tecnologia da Informação, Makron Books, São Paulo.
Wu, S. P.; Straub, D. W.; Liang, T. (2015), “How information technology governance mechanisms and strategic alignment influence organizational performance: insights from a matched survey of business and it managers”, MIS Quarterly, Vol. 39, No. 2, pp. 497-518.
Yin, R. K. (2010), Estudo de caso: planejamento e métodos, 4 ed., Ed. Bookman, Porto Alegre.
Recebido: 02 jun. 2018
Aprovado: 26 out. 2018
DOI: 10.20985/1980-5160.2018.v13n4.1432
Como citar: Aguiar, W. S.; Golçalves, A. A.; Pitassi, C. (2018), “A governança de TI em operadoras de planos de saúde suplementar no Estado do Ceará”, Sistemas & Gestão, Vol. 13, No. 4, pp. 495-508, disponível em: http://www.revistasg.uff.br/index.php/sg/article/view/1432 (acesso dia mês abreviado. ano).