Governança

Em linha com as iniciativas de governo digital em âmbito mundial, especialmente pós-pandemia, e à luz da Estratégia de Governo Digital do Governo Federal (Decreto No. 10.332/2020) e Lei de Governo Digital (Lei Federal 14.129/2021), define-se o objetivo estratégico de realizar a Transformação Digital da SEFAZ-RJ da seguinte maneira:

1. Digitalizar todas as etapas e serviços públicos da SEFAZ-RJ, até 2024
2. Oferecer canais digitais simples, intuitivos e unificados, até 2024
3. Prover acesso digital aos serviços públicos da SEFAZ-RJ com interoperabilidade com os demais meios de acesso
4. Oferecer meio de avaliação de satisfação padronizado para 100% dos serviços públicos digitais, até 2024
5. Aprimorar a satisfação dos usuários dos serviços públicos e obter nível médio de, no mínimo, 4 (quatro) pontos em escala de 5 (cinco) pontos, até 2024

A SEFAZ dispõe de um grande número de sistemas corporativos que apresentam problemas de arquitetura, desempenho e desatualização, além de serem baseados em tecnologias obsoletas como Oracle Forms e Delphi, que não são compatíveis com os padrões modernos de tecnologia da informação. Essas características impactam direta e indiretamente a capacidade de esses sistemas gerarem valor para as áreas de negócio, a qualidade da experiência do usuário, a produtividade do servidor e a interoperabilidade dos sistemas, que ou não existe, ou é limitada.

Tecnicamente, são sistemas difíceis e custosos de se manter e incompatíveis com tecnologias mais modernas.

Por esses motivos, e levando em conta os demais objetivos estratégicos da SEFAZ e de TIC, é necessário que todos os sistemas sejam reconstruídos / refatorados de maneira racional, iterativa e progressiva, de forma que assumam nova arquitetura tecnológica e atendam a padrões modernos de qualidade, sem causar impactos ao negócio.

Dessa forma, estabeleceu-se o objetivo estratégico de TIC de Modernização das Aplicações, a ser iniciado em 2022 e cuja duração está inicialmente estimada em 5 anos.

Durante o ano de 2022, foi elaborada a primeira versão do Plano de Modernização relacionado a este objetivo, a partir de de aplicação de metodologia do Gartner sobre o portfólio de sistemas da SEFAZ-RJ. Os resultados estão apresentados nos Anexos VII, VIII e IX.

A SEFAZ-RJ tem imensa defasagem tecnológica em todos os assuntos relacionados a dados, o que resulta em precariedade e dificuldade de acesso a informações que auxiliam na tomada de decisão e são de enorme valia para todas as áreas da Sefaz, em especial para as subsecretarias da Receita, do Tesouro e de Contabilidade.

Tecnologicamente, essa defasagem consiste em hardwares e softwares para processamento de dados que estão ultrapassados, subdimensionados, sem atualização ou suporte, além de haver falta de arquitetura e governança de dados formalmente definidas.

A fim de superar essas dificuldades e satisfazer as necessidades das áreas de negócios, e tomando por base o assessoramento do Gartner e a comparação com os projetos analíticos em outras secretarias de fazenda, foi definido o Objetivo Estratégico Analytics ou Análise de Dados, que consiste em:

1. Ter 40% dos servidores da SEFAZ como consumidores de dados, até 2025.
2. Modernizar todo o parque tecnológico de armazenamento e processamento de dados, até 2023.

Um dos principais fatores que contribuíram para a defasagem tecnológica geral da área de TIC da SEFAZ foi a falta de gestão efetiva e estratégica de recursos humanos. Além de não haver carreira específica de TI, também não houve, historicamente, alocação de servidores de carreira na gestão da área, tampouco provisionamento de mão de obra técnica terceirizada na quantidade e qualidade necessárias para atender a todas as demandas.

Em função disso, estabeleceu-se um quadro funcional predominantemente de extra-quadros, o que representa disfunção a ser sanada.

Assim, a fim de aplicar as melhores práticas de governança de TIC no setor público, a partir de 2021 começou a haver alocação de servidores de carreiras efetivas da SEFAZ na gestão da TIC, e foi elaborado o Plano de Contratações e Terceirizações (PCT), que consiste, simplificadamente, na contratação de serviços de TIC com empresas especializadas de mercado, ou, alternativamente, na alocação de mão de obra terceirizada, com a finalidade de dimensionar adequadamente os recursos humanos à demanda e estabelecer a proporção adequada entre as categorias funcionais – efetivos, extra-quadros e terceirizados. A previsão é que o plano seja concluído até julho de 2024.

A SEFAZ tem Datacenter próprio localizado no 14º andar do edifício sede, que consiste em Sala Cofre e diversos equipamentos que foram adquiridos a fim de prover infraestrutura da maneira tradicional. A manutenção de toda essa estrutura exige constantes investimentos de capital e equipe técnica especializada em todos os tipos de componentes de um datacenter típico.

Esse modelo, entretanto, vem se tornando obsoleto com o advento da computação em nuvem, em todas as suas modalidades – Infraestrutura como Serviço (IaaS), Plataforma como Serviço (Paas) e Software como Serviço (SaaS) – e variantes pública, híbrida, privada (on premises / at customer) ou multi-nuvem (multicloud).

Considerando as inúmeras vantagens que o modelo de computação em nuvem oferece em relação ao modelo convencional, bem como as particularidades da SEFAZ e do ERJ, em especial a emergências das nuvens governamentais, foi elaborado o objetivo estratégico de migrar a infraestrutura da SEFAZ para Nuvem, que consiste em:

1. Compatibilizar todos os ativos de TIC com o modelo de computação em nuvem, até 2025.
2. Migrar toda a infraestrutura da SEFAZ para Nuvem, dispensando o datacenter, até 2030.

 

Até 2020, a área de sistemas da TI da SEFAZ utilizou-se, predominantemente, de processo de software tradicional, denominado cascata ou waterfall, com arquitetura corporativa estabelecida para suportar processos de controle derivados do framework ITIL de governança de TI.

Este modelo, comum na década de 90 do século passado, começou a se tornar obsoleto com o advento das práticas ágeis de desenvolvimento de software, há duas décadas. Desde então, a maturação de processos como Scrum e Kanban, bem como a adoção pela engenharia de software de práticas da engenharia de produção, com por exemplo o gerenciamento Lean e o Método Toyota, além do conceito de esteira de produção, demonstraram que os ganhos de produtividade na adoção dessas técnicas modernas podem ser de até 3 ordens de grandeza, ou seja, mais de 1000 vezes, sendo típico que deploys do modelo cascata que eram feitos em meses passaram a ser feitos em minutos ou segundos.

Assim, em agosto de 2020 foi elaborado estudo técnico sobre a produtividade da área de sistemas da TI da Sefaz e constataram-se os problemas típicos do modelo tradicional, em particular o tempo médio de 9 meses para entrega de demanda de software priorizada, e até 5 anos para entregas não priorizadas, além de problemas de qualidade, arquitetura e desatualização tecnológica dos produtos entregues. O mesmo estudo construiu indicadores para comparabilidade com o benchmark de mercado, o relatório State of Devops, em que a área de sistemas ficou avaliada como de baixo desempenho. No ano de 2022 foram implantados o processo de software ágil e a esteira de produção, plataforma de integração e de entrega contínua (CI/CD).

Assim, na continuidade da implantação do processo de software Ágil com DevOps, as próximas tarefas consistem em:

1. Definir métrica de maturidade dos times, até 2023
2. Elevar maturidade dos times para 100%, até 2024

Além de possuir extenso parque tecnológico, a SEFAZ disponibiliza parte significante de seus processos de negócios através de serviços online que atendem o cidadão fluminense, o contribuinte, o governo e a sociedade em geral. Tal infraestrutura deve garantir integridade, confidencialidade, disponibilidade e autenticidade.

Cabe ressaltar a criticidade das informações armazenadas, em particular informações sujeitas ao sigilo fiscal, ou seja, que revelam a situação econômica ou financeira de pessoas físicas e jurídicas do Estado do Rio de Janeiro e sobre a natureza e o estado de seus negócios ou atividades (Código Tributário Nacional, art. 198).

Assim, considerando o art. 50, da Lei Geral de Proteção de Dados (LGPD) e as normas ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27005, a fim de garantir a segurança dos ativos da SEFAZ, bem como gerenciar os riscos, prevenir incidentes e educar os usuários, foi estabelecido o objetivo estratégico de TIC “REDUZIR A SUPERFÍCIE DE ATAQUE DOS SISTEMAS E APLICAÇÕES DA SEFAZ”, que consiste em:

1. Implementar políticas de Controle de Acesso, de Uso Aceitável de Recursos de TIC e de Classificação da Informação, até 2025
2. Reduzir a superfície de ataque dos sistemas e aplicações da SEFAZ para que seja inferior a 10 vulnerabilidades críticas, até 2025

Com a expansão dos investimentos em TIC e consequente aumento da capacidade de a SUBTIC gerar valor à SEFAZ-RJ, faz-se necessário melhorar os processos de Governança para garantir a continuidade das atividades e a economicidade das ações realizadas.

Assim, foi estabelecido o presente objetivo estratégico, que consiste, inicialmente, em aumentar a avaliação da SEFAZ-RJ pelo indicador iGOV, do TCE-RJ, para 60% até 2024.