Publicação

Valor e Transparência para o Cidadão

foto de
Bruno Horta Soares CONTEÚDO EM DESTAQUE
LAB GSTI 2.0: Valor e Transparência para o Cidadão
Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com


A questão da transparência e do sigilo da informação do Cidadão desde há muito é discutida ao mais alto nível na sociedade, estando normalmente nas Constituições inscritos os princípios orientadores para a sua recolha e tratamento. Ao longo dos anos a informação pouco se alterou, no entanto a utilização das tecnologias de informação veio trazer um aumento dos riscos que nem sempre é devidamente entendido , sendo muitas vezes “mitigado” com falta de transparência. Será de facto este o melhor controlo?

Um dos principais ativos de uma sociedade é a informação (ou dados) dos seus Cidadãos, tanto ao nível pessoal, fiscal, bancário, etc. A sua proteção é um dos objetivos maiores de qualquer Estado, sendo este um princípio normalmente consagrado nas constituições.

Se olharmos para este tema de acordo com um modelo clássico de análise de risco e controlo da informação, vemos que estão em causa duas principais dimensões: 1) os Ativos de informação; e 2) os Recursos onde esses ativos são registados, tratados ou transmitidos .

No que refere aos Ativos de informação, o principal desafio está em entender quais são esses ativos e de seguida entender qual o seu nível de criticidade para que possam ser classificados e tratados em conformidade. Entre os requisitos relacionados com a informação do cidadão estão, entre outros, os requisitos de segurança, consubstanciados na necessidade de garantir os dados apenas são acedidos a quem está autorizado a aceder-lhes (confidencialidade), que os dados não são alterados de forma ilícita (integridade) e que os dados estão sempre disponíveis quando necessário (disponibilidade) . Vistas bem as coisas, ao longo dos anos, estes requisitos pouco se alteraram e a discussão em torno dos requisitos de segurança está em grande medida condicionada por princípios Constitucionais, pelo que, também por isso, não sofreu grandes alterações.

Na verdade, a principal revolução verificou-se ao nível dos Recursos onde esses ativos são registados ou transmitidos . As tecnologias de informação e comunicação vieram trazer um aumento exponencial da complexidade na gestão da informação, passando a representar uma mais-valia na eficiência e eficácia dos serviços ao cidadão, mas também uma transformação completa no que refere aos modelos de risco e controlo relacionados com a confidencialidade, integridade e disponibilidade da informação .

É por isto que a discussão sobre a necessidade de uma maior transparência da informação do cidadão não terá necessariamente de passar por revisitar os requisitos relacionados com os Ativos de informação, mas sobretudo com a necessidade de assegurar mecanismos adequados para a gestão de riscos e controlos dos sistemas de informação.

A transparência é um dos principais fundamentos de qualquer sistema de governança , representando um papel determinante na gestão da confiança dos stakeholders , neste caso dos cidadãos. Se olharmos para as boas práticas no domínio da Governança verificamos que os processos diretamente relacionados com a criação de valor para os stakeholders (i.e relacionados com a entrega de benefícios, otimização de riscos e otimização de recursos) estão diretamente relacionados com os processos de garantia da transparência para os stakeholders . Se por um lado a criação de valor de uma Organização está diretamente relacionada com a satisfação das necessidades de segurança da informação dos Cidadãos, a transparência será sempre o fiel da balança que garantirá a confiança de que esses objetivos estão de facto a ser cumpridos .

Em qualquer Organização, garantir a transparência com os stakeholders passa por assegurar os mecanismos necessários para que a performance e a conformidade com requisitos internos e externos sejam comunicadas de forma eficaz e atempada. Desta forma assegura-se o alinhamento dos objetivos da organização com as necessidades dos stakeholders , garantindo o seu envolvimento na melhoria contínua da Organização.

Tendo em consideração estes objetivos, é evidente que num ambiente de enorme transformação dos sistemas de informação, o fator crítico de transparência passa por adequar os requisitos de reporting a essa mesma complexidade , garantindo um alinhamento entre as necessidades dos Cidadãos e o reporte realizado pelas entidades que utilizam a sua informação.

Assumindo que do lado do Cidadão o seu principal objetivo continua a ser “garantir que a sua informação permanece confidencial, íntegra e disponível” , é do lado das Organizações, públicas e privadas, que devem estar os verdadeiros desafios. Requisitos de reporte relacionados com anteriores sistemas de informação caracterizados por elevada intervenção manual e distribuição geográfica, não podem de maneira nenhuma ser os mesmos requisitos de reporte de sistemas de informação altamente sofisticados, totalmente dependentes de tecnologias de informação e comunicação e muitas vezes com elevada centralização de recursos.

Tratando-se de requisitos de elevada criticidade sistémica, autoridades, reguladores e outras entidades de supervisão (ex. auditores) deverão desempenhar um papel central na adequação dos requisitos de reporting às novas realidades dos sistemas de informação , garantindo que as necessidades dos cidadãos continuam satisfeitas e que as Organizações demonstram de forma eficaz e totalmente transparente o cumprimento dessas necessidades.

Do lado das organizações o alinhamento com esses requisitos de transparência deverá ser igualmente acompanhado pelo desenho e implementação de processos de governança eficazes que permitam 1) avaliar as necessidades de reporting dos stakeholders; 2) garantir mecanismos de reporting de qualidade, eficazes e atempados e 3) assegurar que o reporting satisfaz as necessidades dos stakeholders e que a Organização mantém os seus objetivos alinhados com estes.

Em qualquer das dimensões poderão (para não dizer deverão!) sempre ser tidas em consideração boas práticas de referência, como são os casos do COSO, ISO/IEC 38500, King III ou COBIT 5 .

Conclusão

Os princípios gerais de transparência relacionados com a informação dos cidadãos não alteraram significativamente nos últimos anos. No entanto, as alterações substanciais na complexidade dos sistemas de informação levam a que sejam necessários outros requisitos de reporting para que as Organizações, públicas ou privadas, possam demonstrar de forma transparente que a informação dos Cidadãos mantém os requisitos de confidencialidade, integridade e disponibilidade.

O equilíbrio entre a criação de valor, transparência e confiança não será um desafio simples, no entanto valores mais altos se levantam e, como tal, todas as partes interessadas deverão desempenhar o seu papel para que as sociedades da informação possam evoluir num ambiente de mais e melhores serviços para o Cidadão, mas também de mais e melhor gestão dos riscos relacionados.

Cumprimentos desde Portugal… estamos juntos!

Comentários