Академический Документы
Профессиональный Документы
Культура Документы
da Governança de TI na
Administração Pública
Federal
1. Contextualização
2. Auditoria de Governança de TI
3. Levantamento acerca da Governança de TI
4. Critérios Utilizados
5. Principais Achados
6. Ações Previstas
2
1. Contextualização
Negócio da Sefti: Controle externo da
governança de tecnologia da informação
na Administração Pública Federal.
Materialidade dos Gastos com TI: a União
gastou cerca de R$ 6 bilhões em 2006
(fonte: Siafi e Dest/MP).
Ausência de informação: não havia
informação consolidada acerca da
governança de TI na Administração Pública
Federal
2. Auditoria de Governança de TI
4
2.1 Foco do Levantamento
Monitorar e Avaliar
ME1 - Monitorar e avaliar o desempenho da TI
ME2 - Monitorar e avaliar os controles internos
ME3 - Assegurar conformidade às normas
ME4 - Prover governança de TI
5
2.2 Cobit 4.1 - ME3 - Assegurar
Aderência às Normas
Supervisão regulatória eficaz requer o
estabelecimento de um processo de revisão
independente para assegurar conformidade com
leis e normas. Este processo inclui a definição de
um grupo de auditoria independente, ética e padrões
profissionais, planejamento, desempenho do
trabalho da auditoria, relatório e acompanhamento
de atividades da auditoria. O propósito deste
processo é fornecer garantia positiva relacionada à
conformidade da TI com leis e normas.
6
2.3 Governança Corporativa e de TI
COSO
COBIT
ISO 27002
ISO 9000
O quê ITIL Como
Escopo
7
2.4 Objetivos da Governança de TI
assegurar que as ações de TI estejam
alinhadas com o negócio da organização,
agregando-lhe valor;
medir o desempenho da área de TI, alocar
propriamente os recursos e mitigar os riscos
inerentes;
gerenciar e controlar as iniciativas de TI nas
organizações para garantir o retorno de
investimentos e a adoção de melhorias nos
processos organizacionais
8
2.5 Responsabilidade sobre a
Governança de TI
9
3. Levantamento Governança de TI
Levantar informações para elaboração de mapa
com a situação da Governança de TI na
Administração Pública Federal com vistas a
subsidiar o planejamento das fiscalizações da Sefti
Verificar onde a situação da Governança de TI
está mais crítica
Identificar as áreas onde o TCU pode atuar como
indutor do processo de aperfeiçoamento da
Governança de TI
Identificar os principais sistemas e bases de
dados da Administração Pública Federal
10
3.1 Etapas do levantamento
Elaboração de questionário (39 questões)
Identificação do público alvo
(255 órgãos/entidades da APF)
Identificação dos responsáveis pela resposta
Utilização de software para coleta das respostas
Resposta à pesquisa (respostas declarativas,
com anexação de evidências)
Suporte ao processo de resposta dos questionários
Encerramento da pesquisa
Avaliação dos dados coletados
11
3.2 Questionário
Composto de 39 questões nas áreas de:
Planejamento Estratégico e PETI
Estrutura de Pessoal de TI dos Órgãos/Entidades
Segurança da Informação
Desenvolvimento de Sistemas
Gestão dos Acordos de Níveis de Serviço (SLA)
Processo de Contratação de Bens e Serviços de TI
Gestão dos Contratos de TI
Controle de Gastos de TI
Realização de Auditorias de TI pelos Órgãos/Entidades
12
4. Critérios Utilizados
Constituição Federal
Legislação Brasileira
Jurisprudência do TCU
NBR ISO/IEC 27002 (à época 17799) –
Segurança da Informação
NBR ISO/IEC 15999-1 – Gestão de
Continuidade de Negócios
Cobit 4.1 (Control Objectives for Information
and related Technology) – Governança de TI
13
5. Principais Achados
A partir dos dados coletados, observou-se que:
Situação da governança de TI na APF é
bastante heterogênea;
A estrutura de pessoal de TI é bastante
diversa e está atrelada à natureza jurídica da
organização;
Situação da governança de TI está mais
crítica no que diz respeito ao tratamento e à
segurança da informação.
14
5.1 Planejamento Estratégico
Institucional e de TI
47 % Ausência de planejamento estratégico
institucional em vigor (PO1.2 e item 9.3.9 do Acórdão
nº 1.558/2003-TCU-Plenário)
59 % Ausência de planejamento estratégico de
TI em vigor (PO1.4 e item 9.3.9 do Acórdão nº
1.558/2003-TCU-Plenário)
67 % Ausência de comitê diretivo sobre ações e
investimentos em TI (PO4.3)
15
5.2 Relação PEI x PETI
Planejamento Estratégico Institucional
Sim Não
47%
53%
40%
Planejamento Estratégico de TI
16
5.3 Estrutura de Pessoal de TI
Quantidade reduzida de servidores na área de TI
– 29 % menos de 1/3 (PO7.5 e Acórdão nº 140/2005-
TCU-Plenário)
63 % Ausência de formação específica em TI
(PO7.2 e Acórdão nº 140/2005-TCU-Plenário)
60 % Inobservância das competências
necessárias para funções comissionadas (Art. 3o,
incisos VI e VII do Decreto no 5.707, de 23.02.2006)
57 % Ausência de carreira específica para a área
de TI (PO7.1)
17
5.4 Segurança da Informação
64 % Ausência de política de segurança da
informação em vigor (NBR item 5.1 e DS5.2)
88 % Ausência de plano de continuidade de
negócios em vigor (NBR itens 8.6 e 14.1.3 e DS4)
80 % Ausência de classificação das informações
(NBR item 7.2 e PO2.3)
48 % Ausência de procedimentos de controle de
acesso em vigor (NBR item 11.1.1, DS5.3, DS5.4,
DS12.2 e DS12.3)
18
Segurança da Informação (cont.)
64 % Ausência de área específica para lidar com
segurança da informação (NBR item 6.1 e DS5.1)
76 % Ausência de área específica para gerência
de incidentes (NBR item 13.2, DS5.5 e DS5.6)
88 % Ausência de gestão de mudanças (NBR itens
10.1.2 e 12.5.1 e AI6)
84 % Ausência de gestão de capacidade e
compatibilidade das soluções de TI (NBR item
10.3.1, PO3.4 e DS3)
75 % Ausência de análise de riscos na área de TI
(NBR item 4.1 e PO9.4)
19
Deficiências na segurança da informação
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
) ) ) ) ) ) ) ) )
8 % % 4 % % % % 4 % 4 % %
(8 8 0 6 5 (6 6 8
N s (8 e (8 (8 (7 I (7 I I( (4
o s S S o
PC n ça idad açã
e nte
d e T a ra P e ss
u da pac o rm c id o s ca p e ac
f n c l
d em ec
a
a in
d e i e ris ecí fi n tro
d d co
s t ão t ão ão n c ia
is e d e sp d .
ge ge
s
i c aç erê nál r ea o c e
si f g a á pr
as
cl 20
5.5 Desenvolvimento de Sistemas
21
5.6 Gestão de Acordos de Níveis
de Serviço (SLA)
22
5.7 Processo de Contratação de
Bens e Serviços de TI
46 % Ausência de processo formal de
trabalho para contratações de TI (AI5.1)
47 % Ausência de análise de custo/benefício
da solução de TI contratada (AI1.3 e AI1.4)
40 % Ausência de explicitação dos benefícios
nas contratações de TI (AI1.3, AI1.4, item 9.3.11 do
Acórdão 1.558/2003-TCU-Plenário e item 9.1.1 do
Acórdão 2.094/2004-TCU-Plenário)
50 % Não-exigência de demonstrativo de
formação de preço antes da adjudicação
(Lei 8.666/1993)
23
5.8 Processo de Gestão de
Contratos de TI
55 % Ausência de processo formal de trabalho
para gestão de contratos de TI (AI5.1 e Capítulo III
da Lei 8.666/1993)
65 % Não-realização de reuniões periódicas
para avaliar o andamento dos contratos de TI
(AI5.2, DS2.2, DS2.3, DS2.4 e art. 67 da Lei 8.666/1993)
47 % Não-definição prévia de itens para
atestação técnica das faturas de contratos de TI
(DS2.4)
24
Processo de Gestão de
Contratos de TI (cont.)
25
5.9 Processo Orçamentário de TI
26
5.10 Auditoria de TI
27
5.11 Acórdão 1603/2008 - Plenário
Recomendações:
CNJ
CNMP
Senado Federal
Câmara dos Deputados
TCU
MP (especialmente SLTI)
GSI/PR
CGU
28
6. Ações Previstas
Monitorar ações em prol da Governança de TI
Realização de Seminários para discussão de
assuntos relativos à Governança de TI
Execução de fiscalizações que permitam a
consolidação da jurisprudência do Tribunal em
Governança de TI
Elaboração de cartilha de boas práticas em
Governança de TI
Acompanhamento permanente da evolução da
Governança de TI
29
Obrigado
Equipe do Levantamento:
André Luiz Furtado Pacheco
Luisa Helena Santos Franco
Supervisão:
Cláudia Augusto Dias
sefti@tcu.gov.br
(61) 3316-5371
www.tcu.gov.br/fiscalizacaoti
30
www.tcu.gov.br
Valores
Ética
Justiça
Efetividade
Independência
Profissionalismo
31