Relatório Do Levantamento Governança de TI 2010

TRIBUNAL DE CONTAS DA UNIO Secretaria-Geral de Controle Externo - Segecex Secretaria de Fiscalizao de Tecnologia da Informao - Sefti
SEFTI Fls. 50
RELATRIO DE LEVANTAMENTO
TC n 000.390/2010-0 Fiscalis n: 45/2010 Ministro Relator: Aroldo Cedraz DA FISCALIZAO Modalidade: Levantamento de auditoria. Ato originrio: Acrdo n 1.603/2008-TCU-Plenrio, item 9.9. Objeto da fiscalizao: Governana de tecnologia da informao na Administrao Pblica Federal (APF). Objetivo: Acompanhar e manter base de dados atualizada com a situao de governana de tecnologia da informao na APF. Ato de designao: Portaria n 117, de 1 de fevereiro de 2010 (fl. 12). Perodo abrangido pela fiscalizao: exerccio de 2010. Perodo de realizao da fiscalizao: planejamento de 1/2/2010 a 1/3/2010; execuo de 8/3/2010 a 4/6/2010 e relatrio de 7/6/2010 a 16/7/2010 Equipe na fase de planejamento Daniel Jezini Netto (coordenador) Cludio Silva da Cruz Carlos Renato Araujo Braga (supervisor) Equipe nas fases de execuo e relatrio Daniel Jezini Netto (coordenador) Cludio Silva da Cruz Gelson Heindrickson Carlos Renato Araujo Braga (supervisor) DAS INSTITUIES FISCALIZADAS rgos e entidades fiscalizados: 315 instituies da APF (Apndice IV e Apndice V). Vinculao: diversas unidades jurisdicionadas em todos os poderes Vinculao no TCU: diversas unidades. Responsveis: diversos. PROCESSOS CONEXOS TC n 008.380/2007-1 Trata do levantamento de governana de TI realizado em 2007 e da autorizao para realizao deste levantamento de auditoria (Acrdo n 1.603/2008-TCU-Plenrio). Processo de consolidao do TMS Gesto e Uso de TI, coordenado pela Sefti em 2010. Matrcula 4586-1 3164-0 5048-2 Matrcula 4586-1 3164-0 6502-1 5048-2 Lotao Sefti Sefti Sefti Lotao Sefti Sefti Setic Sefti
TC n 011.772/2010-7 -
SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI
Sumrio
Introduo ..................................................................................................................................... 5 1.1 Governana: uma viso geral .............................................................................................. 5 1.2 Objetivo ............................................................................................................................... 6 1.3 Estratgia metodolgica e limitaes .................................................................................. 7 1.4 Volume de recursos fiscalizados ......................................................................................... 8 1.5 Benefcios estimados........................................................................................................... 8 2 Atualizao do perfil traado pelo Levantamento 2007 ............................................................... 8 2.1 Planejamento Estratgico Institucional e de TI................................................................. 10 2.2 Estrutura de Pessoal de TI ................................................................................................. 11 2.3 Segurana da informao .................................................................................................. 14 2.4 Desenvolvimento de Software .......................................................................................... 16 2.5 Gesto de nveis de servio ............................................................................................... 18 2.6 Processos de contratao e gesto de contratos de TI ....................................................... 19 2.7 Processo oramentrio de TI ............................................................................................. 22 2.8 Auditoria de TI .................................................................................................................. 23 3 Liderana .................................................................................................................................... 24 3.1 Governana de TI e a Alta Administrao ........................................................................ 24 3.2 Estrutura de Governana de TI ......................................................................................... 24 3.3 Desempenho institucional na gesto e no uso de TI ......................................................... 26 3.4 Gestores de tecnologia da informao .............................................................................. 28 3.5 Avaliao de Governana de TI ........................................................................................ 30 4 Concluses Finais ....................................................................................................................... 36 5 Proposta de encaminhamento ..................................................................................................... 38 Apndice I Critrios adotados como referncia de requisitos legais ou de boas prticas ........................ 42 Apndice II Quadros comparativos com dados de 2007 e de 2010 .......................................................... 48 Apndice III Tabelas com os resultados consolidados do levantamento 2010 ........................................ 50 Apndice IV Lista de instituies que responderam o questionrio at 16/07/2010 ................................ 81 Apndice V Lista de instituies que NO responderam at 16/07/2010 ............................................... 88 Apndice VI Instrumentos de apoio aos respondentes ............................................................................. 90 Apndice VII Tratamento e padronizao dos dados de 2010 ................................................................. 91 Apndice VIII Proposta de informativo ................................................................................................... 94 Apndice IX Questionrio do Levantamento 2010 .................................................................................. 95 Apndice X Glossrio ............................................................................................................................. 101
SEFTI Fls. 51
Resumo Em 2007, o primeiro levantamento de governana de TI, com 39 questes e a participao de 255 instituies respondentes, resultou no Acrdo n 1.603/2008-TCU-Plenrio. Nesse Acrdo, foi determinado Sefti a realizao de novos levantamentos, com o objetivo de acompanhar e manter base de dados atualizada com a situao de governana de tecnologia da informao (TI) na APF. Com esse propsito, foram coletadas informaes para elaborao do perfil da governana de TI na APF. Com esse conjunto de informaes, torna-se possvel identificar onde a situao da governana de TI est mais crtica e em que reas o TCU deve atuar. Foram selecionadas, como amostra deste levantamento, 315 instituies representativas da APF. Dessa relao, constaram os ministrios, as universidades federais, os tribunais federais, as agncias reguladoras e diversas autarquias, secretarias, departamentos e empresas estatais. As instituies includas na amostra responderam a questionrio composto de trinta perguntas baseadas nas normas tcnicas brasileiras sobre segurana da informao e governana, e no modelo Control Objectives for Information and related Technology 4.1 (Cobit 4.1). Os itens avaliados foram agrupados no questionrio em sete dimenses, fundamentadas no Gespblica: i) liderana; ii) estratgias e planos; iii) cidados; iv) sociedade; v) informaes e conhecimento; vi) pessoas; vii) processos. A partir dos dados coletados, observou-se que a situao da governana de TI na APF bastante heterognea. Alguns aspectos, que foram objeto de recomendao do TCU no Acrdo n 1.603/2008-TCU-Plenrio, como planejamento estratgico institucional e carreira prpria de TI, apresentaram evoluo, apesar de ainda haver espao para melhora. Outros, como planejamento estratgico de TI e realizao de auditorias de TI, encontram-se nos mesmos patamares acanhados em que se encontravam h trs anos. A rea de segurana da informao continua a chamar ateno pelos altos ndices de no-conformidade, sugerindo que, de forma geral, as organizaes pblicas, alm de no tratarem os riscos aos quais esto expostas, os desconhecem. Aspectos que exigem um pouco mais de maturidade na gesto dos ativos de tecnologia, como o estabelecimento de processos de gesto contratual, de planejamento da contratao e de gesto de servios de TI ainda so pouco implantados. A seo do relatrio que trata da liderana sugere que os conceitos de governana de TI ainda so pouco difundidos na maioria das instituies pblicas federais. De forma geral, a alta administrao no se considera responsvel pelas polticas corporativas de TI e nem por prover a estrutura bsica para que sua governana seja efetiva. Assim, existe um campo abrangente para atuao deste Tribunal na rea de governana de TI na APF. Ainda que em algumas reas a evoluo tenha sido acanhada, em outras verifica-se que o papel do TCU como indutor do amadurecimento da governana de TI pode ser sentido e avaliado de forma positiva.
Lista de figuras Figura 1. Sistema de governana corporativa ............................................................................................. 5 Figura 2. Quantitativo de respondentes por segmento que responderam os 2 levantamentos ................... 9 Figura 3. Evoluo dos indicadores de Planejamento Estratgico ........................................................... 10 Figura 4. Evoluo dos indicadores de Planejamento Estratgico Institucional por segmento ................ 11 Figura 5. Evoluo dos indicadores de Estrutura de Pessoal de TI .......................................................... 12 Figura 6. Competncias dos dirigentes de TI ........................................................................................... 13 Figura 7. Evoluo dos indicadores de Deficincias em Segurana da Informao ................................ 14 Figura 8. Evoluo dos indicadores de adoo de Processo de Software ................................................ 17 Figura 9. Evoluo dos indicadores de Gesto de Nvel de Servio ........................................................ 18 Figura 10. Evoluo dos indicadores de Planejamento de Contrataes .................................................. 20 Figura 11. Evoluo dos indicadores de Processo de Gesto Contratual ................................................. 21 Figura 12. Evoluo dos indicadores de Processo Oramentrio de TI ................................................... 22 Figura 13. Evoluo dos indicadores de Auditoria de TI ......................................................................... 23 Figura 14. Evoluo dos indicadores de Auditoria de TI ......................................................................... 24 Figura 15. Estrutura de Governana de TI................................................................................................ 25 Figura 16. Desempenho Institucional em Gesto de TI ........................................................................... 27 Figura 17. Poltica de RH para gesto de TI ............................................................................................. 29 Figura 18. Poltica de RH para gesto de TI (somente Sisp) .................................................................... 30 Figura 19. Modelo de negcio do processo de acompanhamento da governana de TI .......................... 31 Figura 20. Representao do Modelo de Excelncia em Gesto Pblica Gespblica ........................... 32 Figura 21. Distribuio das instituies respondentes por faixa de governana ...................................... 33 Figura 22. Distribuio das instituies respondentes por faixa de governana e oramento de TI ........ 34 Figura 23. Correlao da governana em liderana e com a governana em processos .......................... 35
SEFTI Fls. 52
Introduo
1. Em 2007, o primeiro levantamento de governana de TI, com 39 questes e a participao de 255 instituies respondentes, resultou no Acrdo n 1.603/2008-TCU-Plenrio. Naquela oportunidade, foram exaradas diversas recomendaes estruturantes com vistas a fomentar a governana de TI na APF, como se pode verificar na seo 2 deste relatrio. 2. A autorizao para este levantamento consta no item 9.9 do referido Acrdo, que determina Sefti a elaborao de outros levantamentos com o intuito de acompanhar e manter base de dados atualizada com a situao da governana de TI na Administrao Pblica Federal. 3. Como o termo governana no de definio simples e pode ainda no ser bem compreendido na Administrao Pblica, uma viso geral sobre esse tema apresentada a seguir.
1.1
1.1.1
Governana: uma viso geral

Governana Corporativa
4. Segundo o Instituto Brasileiro de Governana Corporativa (IBGC): Governana Corporativa o sistema pelo qual as organizaes so dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietrios, Conselho de Administrao, Diretoria e rgos de controle. As boas prticas de Governana Corporativa convertem princpios em recomendaes objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organizao, facilitando seu acesso a recursos e contribuindo para sua longevidade. (IBGC, 2009, p. 19, grifos nossos) 5. A Figura 1 auxilia na compreenso da diferena entre governana e gesto.
Figura 1. Sistema de governana corporativa (Fonte: IBGC, 2009, p. 16)

6. A figura acima sugere que os mecanismos de governana devem ter foco no monitoramento da gesto da instituio, intervindo sempre que houver desvio em relao ao esperado pelos responsveis finais. Em ltima instncia, esses responsveis so os detentores da propriedade: os scios, acionistas e herdeiros, no caso das organizaes privadas, e a sociedade, no caso das organizaes pblicas federais. 7. Por sua vez, a norma ABNT NBR ISO/IEC 38.500 define governana como o sistema pelo qual as organizaes so dirigidas e controladas (ABNT, 2009, item 1.6.2, grifo nosso). 8. Percebe-se, ento, que a governana corporativa tem foco na direo e no controle da gesto da instituio. 1.1.2 Governana de TI
9. Naturalmente, a definio de governana de TI reflete os conceitos da governana corporativa, como nos exemplos abaixo: Para muitas organizaes a informao e a tecnologia que a suporta representam o seu bem mais valioso, mas muitas vezes o menos compreendido. Organizaes bem-sucedidas reconhecem os benefcios da tecnologia da informao e a utiliza para direcionar os valores das partes interessadas no negcio. Essas organizaes tambm entendem e gerenciam os riscos associados, tais como as crescentes demandas regulatrias e a dependncia crtica de muitos processos de negcios da TI. A necessidade da avaliao do valor de TI, o gerenciamento dos riscos relacionados TI e as crescentes necessidades de controle sobre as informaes so agora entendidos como elementos-chave da governana corporativa. Valor, risco e controle constituem a essncia da governana de TI. A governana de TI de responsabilidade dos executivos e da alta direo, consistindo em aspectos de liderana, estrutura organizacional e processos que garantam que a rea de TI da organizao suporte e aprimore os objetivos e as estratgias da organizao. (ITGI, 2007, p. 7, grifo nosso e negrito no original) O sistema pelo qual o uso atual e futuro da TI dirigido e controlado. (ABNT NBR ISO/IEC 38.500, 2009, item 1.6.3) 10. Em suma: a governana de TI busca garantir que o uso da TI agregue valor ao negcio com riscos aceitveis e a responsabilidade por prover uma boa governana de TI dos executivos e da alta administrao da organizao. 11. Por essa razo, perfeitamente cabvel que os rgos de controle externo, em prol do interesse pblico (CF, art. 70), cobrem dos altos dirigentes a adequada governana dessa rea to crtica para a obteno dos resultados institucionais. 12. Por fim, a importncia da governana de TI no mbito da APF pode ser aquilatada tanto pela estimativa de gastos em TI para 2010, que de cerca de R$ 12,5 bilhes, quanto por sua importncia estratgica, ao ser amplamente utilizada na conduo de polticas pblicas suportadas por um oramento federal de R$ 1,86 trilho (SIDOR, 2010; TC 001.484/2010-9).
1.2
Objetivo
13. O objetivo deste levantamento foi acompanhar e manter base de dados atualizada com a situao de governana de tecnologia da informao (TI) na APF, atualizando e aprofundando o panorama traado em 2007, materializado pelo Acrdo n 1.603/2008-TCU-Plenrio. 14. Essas informaes permitiro identificar os pontos mais vulnerveis da governana de TI da APF, que se traduzem em oportunidades para a atuao do TCU como indutor do processo de aperfeioamento da governana de TI e auxiliar na identificao de bons exemplos e modelos a serem disseminados.
SEFTI Fls. 53
15. Alm disso, a divulgao das informaes consolidadas permite que cada instituio avalie como est sua governana e sua gesto de TI em relao s boas prticas e s demais instituies da Administrao. Essa avaliao, se bem aproveitada, um valioso insumo na definio de objetivos, no planejamento e no amadurecimento da TI de cada respondente. 16. Por fim, o acompanhamento da evoluo dos indicadores de governana e gesto de TI um insumo essencial no monitoramento da efetividade das medidas adotadas pelos rgos governantes superiores (aqueles responsveis pela elaborao das normas e polticas de TI de cada poder, quando aplicvel), e, dessa forma, das prprias deliberaes do TCU.
1.3
Estratgia metodolgica e limitaes
17. Durante a fase de planejamento, foram elaboradas 30 questes, subdivididas em 152 itens, organizadas segundo sete (das oito) dimenses do Gespblica: liderana, estratgias e planos, cidados, sociedade, informaes e conhecimento, pessoas e processos (Apndice IX). 18. Cabe esclarecer que o Gespblica um programa federal estabelecido pelo Decreto n 5.378, de 23 de fevereiro de 2005, e coordenado pelo Ministrio do Planejamento, Oramento e Gesto. Esse programa voltado para orientar e aferir a qualidade da gesto pblica. 19. Alm do Gespblica, foram utilizados como insumo para a elaborao do questionrio modelos de boas prticas reconhecidos internacionalmente, tais como o Cobit 4.1 (Control Objectives for Information and related Technology) (ITGI, 2007), a ABNT NBR ISO/IEC 27002 - segurana da informao (ABNT, 2005) e a ABNT NBR ISO/IEC 38500 - governana corporativa de TI (ABNT, 2009). 20. Alm disso, com o intuito de auxiliar os respondentes no correto preenchimento do questionrio, foram elaborados e publicados os seguintes instrumentos de apoio ao respondente: Perguntas Frequentes - FAQ, Objetivos de cada questo e Glossrio (Apndice VI). 21. Foi realizado um teste-piloto com 20 instituies com o objetivo de validar conceitualmente as questes e de validar tecnicamente os procedimentos para recebimento e tratamento das respostas. A maioria das sugestes foi bem avaliada e foi incorporada ao questionrio. 22. No levantamento, foram selecionadas ao todo 315 instituies da APF, considerando os seguintes critrios de seleo: Quando um grupo de instituies tem uma governana de TI centralizada, somente a instituio centralizadora foi selecionada, respondendo em conjunto por todas as instituies vinculadas (p.ex. Comando do Exrcito); Excluso de todas as instituies que, apesar de jurisdicionadas ao Tribunal, no prestam contas (p.ex. instituies que fazem parte do Sistema S); O Ministrio da Fazenda foi considerado caso especial, j que a Secretaria do Tesouro Nacional e a Secretaria da Receita Federal do Brasil tm bastante autonomia em governana de TI, tendo sido todas as trs instncias selecionadas; Ajustes decorrentes de criaes e extines de instituies pblicas desde o levantamento de 2007; Incluso de instituies que apresentaram proposta de oramento de TI para o exerccio de 2010 por meio do Quadro 17 do Volume I da Lei do Oramento Anual para 2010, ou por meio do Departamento de Coordenao e Controle das Empresas Estatais (Dest) da Secretaria-Executiva do Ministrio do Planejamento, Oramento e Gesto; 23. Dessa seleo constam universidades federais, tribunais federais, agncias reguladoras, fundaes, autarquias, secretarias, departamentos, empresas pblicas, sociedades annimas, ministrios e outros rgos da administrao federal direta. At o fechamento do presente relatrio,
265 instituies haviam atendido solicitao de remessa de informaes (Apndice IV), enquanto 50 instituies no responderam o questionrio at o encerramento deste relatrio (Apndice V). 24. Com vistas a facilitar a anlise das informaes, os respondentes foram divididos em segmentos: EXE-Dest, abrange as empresas pblicas federais e as sociedades de economia mista; EXE-Sisp, abrange as instituies que fazem parte do Sistema de Administrao dos Recursos de Informao e Informtica (Sisp); JUD, abrange as instituies que fazem parte do Poder Judicirio; LEG, abrange as instituies que fazem parte do Poder Legislativo; e MPU, abrange as instituies que fazem parte do Ministrio Pblico da Unio (MPU). 25. Na fase de execuo do levantamento, buscou-se a automao mxima nos procedimentos de interao com as instituies pblicas selecionadas. Essas receberam, por meio de correspondncia oficial, o link para a pgina da Sefti onde o questionrio e os documentos de ajuda estavam disponveis. Em caso de qualquer dificuldade, foi divulgado o endereo eletrnico levantamento2010@tcu.gov.br para a prestao do suporte necessrio. A ferramenta adotada para o questionrio foi o formulrio PDF gerado pelo Adobe Acrobat Professional 8.0, pela razo de atender necessidade e haver licena j adquirida pelo TCU. Os questionrios preenchidos foram recebidos por meio de correio eletrnico, no endereo levantamento2010@tcu.gov.br citado. As informaes recebidas foram importadas e tratadas no banco de dados Access, da Microsoft. 26. Como fatores de limitao execuo dos trabalhos, identificam-se os seguintes: Houve atraso de vrias instituies selecionadas no atendimento diligncia, e algumas ainda permanecem atrasadas. Esse atraso prejudicou a anlise, tornando o quadro apresentado neste trabalho incompleto, embora suficiente para os propsitos definidos. Prope-se a assinatura de prazo s instituies atrasadas para o envio das informaes requeridas, para incorporao base de dados do levantamento; Dificuldade na identificao das instituies que deveriam fazer parte do levantamento, visto que as fontes existentes contm inconsistncias entre si (p.ex. Sidor, Siorg, Siafi, sistema Clientela etc.).
1.4
Volume de recursos fiscalizados
27. Conforme a Portaria n 222, de 10 de novembro de 2003, a mensurao do volume de recursos fiscalizados no se aplica a este instrumento de fiscalizao.
1.5
Benefcios estimados
28. Os benefcios estimados do presente trabalho so o subsdio ao processo de planejamento de aes de controle da Sefti, a disponibilidade de informaes importantes nessa rea s equipes de futuras fiscalizaes e a induo de melhorias na organizao interna (governana e gesto de TI) das unidades participantes do levantamento, bem como induo da melhoria da estrutura de governana de TI por meio de recomendaes aos rgos governantes superiores.
Atualizao do perfil traado pelo Levantamento 2007
29. Oito recomendaes estruturantes, dirigidas aos rgos governantes superiores por meio do Acrdo n 1.603/2008-TCU-Plenrio, decorreram do levantamento de 2007, em razo da grave situao da governana e gesto de TI de ento. 30. Com vistas a facilitar a compreenso sobre o perfil de governana de TI em 2010, as informaes atualizadas so apresentadas de forma comparativa em relao s recomendaes exaradas no levantamento anterior.
SEFTI Fls. 54
31. importante esclarecer que h diferenas entre as perguntas que compunham o questionrio em 2007 e as formuladas no questionrio de 2010. Essas diferenas se devem, basicamente, ao amadurecimento de conceitos de governana e gesto de TI no mbito da Sefti, e s dificuldades prprias de um trabalho inovador como o efetuado no ciclo daquele ano. No entanto, essas diferenas no impedem a anlise comparativa das respostas, cujo resultado se pode verificar adiante. 32. Das trinta e nove perguntas do questionrio anterior, nove foram excludas do presente levantamento. Algumas, como se a entidade conhece o grau de formao das pessoas que atuam na rea de TI ou se oferece servios transacionais via internet, alm de serem prticas disseminadas desde a primeira pesquisa (95% e 76% em 2007), foram consideradas incompatveis com o foco dado no levantamento atual. 33. Outras perguntas no encontram correspondncia direta em virtude de o questionrio enfatizar a maturidade dos processos de trabalho, no lugar da anterior nfase em artefatos ou detalhes de procedimentos. Por exemplo, as perguntas realizao de reunio peridica com o contratado e verificao de itens pr-definidos que embasem a atestao tcnica esto includas, neste levantamento, em questes sobre processos de gesto contratual e de monitorao tcnica. Considera-se que um processo de gesto contratual institudo e em funcionamento disciplina essas questes. 34. A correspondncia completa entre os resultados do levantamento 2007 com o presente levantamento, bem como as perguntas excludas do ciclo atual se encontram no Apndice II deste relatrio. As regras de tratamento dos dados de 2010 para comparao com os dados de 2007 constam do Apndice VII. Apesar dessas diferenas de foco, a essncia do objeto tratado em cada recomendao foi amplamente avaliada no atual levantamento. 35. Outro ponto a ressaltar que o Acrdo n 1.603/2008-TCU-Plenrio foi proferido em agosto daquele ano, portanto um ano e meio antes da data de envio do questionrio atual, em abril de 2010. Considera-se que este intervalo seria suficiente para que as recomendaes do TCU tivessem sido ao menos parcialmente implementadas e que tais implementaes fossem detectadas no presente levantamento. 36. Com o intuito de evitar distores na comparao, nos casos em que foram apresentados grficos comparativos com informaes do levantamento de 2007 e do atual levantamento, s foram consideradas as respostas de instituies que responderam s duas pesquisas. A distribuio dessas instituies por segmento apresentada na figura abaixo.
Respondentes por segmento

(nas questes comparativas 2007 e 2010)
3 57
2 46
EXE-Dest
EXE-Sisp JUD LEG
MPU
outros
112
Figura 2. Quantitativo de respondentes por segmento que responderam os 2 levantamentos
37. Como as informaes aqui apresentadas tratam, em sua maioria, de temas j endereados pelo TCU por meio de recomendaes aos rgos governantes superiores, deixou-se, nesses casos, de propor encaminhamento. As aes tomadas por esses rgos diante dos comandos do Acrdo n 1.603/2008-TCU-Plenrio sero avaliadas em processo especfico de monitoramento. 38. A seguir, so analisados os resultados de avaliao para as principais reas da governana de TI apontadas no Levantamento de 2007.
2.1
Planejamento Estratgico Institucional e de TI
39. A recomendao registrada no item 9.1.1 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: 9.1.1. promovam aes com o objetivo de disseminar a importncia do planejamento estratgico, procedendo, inclusive mediante orientao normativa, aes voltadas implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da organizao; (grifo nosso) 40. A Figura 3 apresenta os resultados obtidos em 2010 comparados aos resultados obtidos em 2007.
PLANEJAMENTO ESTRATGICO
2007 2010
100% 79%
53% 50% 41% 39% 32% 32%
0%
PLANEJ. ESTRAT. INSTITUCIONAL PLANEJ. ESTRATGICO DE TI COMIT DE TI
Figura 3. Evoluo dos indicadores de Planejamento Estratgico
2.1.1
Anlise
41. A Figura 3 sugere um aumento no nmero de entes que fazem planejamento estratgico institucional, ao passo que h certa estabilidade no nmero de instituies que fazem planejamento de TI e que tm comit de TI. 42. Essa evoluo no indicador de planejamento estratgico institucional deve-se, em grande parte, resposta dos rgos do judicirio atuao do Conselho Nacional de Justia (CNJ), por meio da Resoluo n 70/2009. Ressalte-se que tambm houve evoluo relevante nos rgos pertencente ao Sisp. 43. Esse fato fica claro na Figura 4, a seguir, que apresenta a evoluo desse indicador nos segmentos numericamente mais representativos da APF.
10
SEFTI Fls. 55
PLANEJAMENTO ESTRAT. INSTITUCIONAL por segmento

2007 2010
96%
100% 74% 67% 63% 54% 50% 42%
0% Dest(46) Sisp(112) Jud(57)
Figura 4. Evoluo dos indicadores de Planejamento Estratgico Institucional por segmento
44. Quanto ao planejamento de TI, causa preocupao a sua ausncia em 61% das instituies pblicas pesquisadas, pois a jurisprudncia do TCU pacfica quanto necessidade de planejar as contrataes de TI em harmonia com o planejamento estratgico institucional e com o plano diretor de tecnologia da informao - PDTI (so exemplos os acrdos n 1.521 e 1.558/2003, 2.094/2004, 786/2006 e 1.603/2008, todos do Plenrio do TCU). 45. Tal orientao j consta, inclusive, da Instruo Normativa SLTI/MP n 4/2008, cuja implicao seria a vedao de contrataes de TI no previstas em um PDTI. Portanto, a ausncia de PDTI sugere que h contrataes de TI sendo empreendidas em desacordo com a legislao e jurisprudncia. 46. No caso dos comits de TI, tambm no houve alterao no quadro. Entretanto, deve-se considerar que a criao e o bom funcionamento desse tipo de comit devem ser esperados em organizaes preocupadas com a evoluo de sua gesto de TI. O resultado um pouco inferior em relao ao planejamento estratgico de TI esperado e reflete essa falta de maturidade na governana de TI na Administrao. 2.1.2 Concluso
47. Os resultados sugerem que a recomendao 9.1.1 do Acrdo n 1.603/2008-TCU-Plenrio comeou a ter efeito no que se refere ao planejamento estratgico institucional, em especial no tocante aos rgos do Poder Judicirio. Com relao ao PDTI, pode-se inferir que as iniciativas empreendidas pelo TCU e pelos rgos governantes superiores (tais como normas e aes de conscientizao) ainda no surtiram efeito relevante.
2.2
Estrutura de Pessoal de TI
48. A recomendao registrada no item 9.1.2 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: 9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores efetivos necessrio ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua capacitao, como forma de evitar o risco de perda de conhecimento
11
organizacional, pela atuao excessiva de colaboradores externos no comprometidos com a instituio 49. A Figura 5 apresenta os resultados obtidos em 2010 comparados aos obtidos em 2007.
ESTRUTURA DE PESSOAL DE TI
2007 2010
100%
95%
94%
90%
94% 78% 79%
50%
43%
43%
0%
SERVIDORES DO QUADRO EM TI FUNES COMISSIONADAS EM TI CARREIRA DE TI COMPETNCIA P/ SEL. GESTORES TI
Figura 5. Evoluo dos indicadores de Estrutura de Pessoal de TI
2.2.1
Anlise
50. 94% das instituies respondentes afirmaram ter servidores do prprio quadro atuando na rea de TI, nmero bastante elevado e semelhante ao obtido em 2007. Porm, causa preocupao que em 6% das instituies a TI organizacional seja controlada por pessoas estranhas ao quadro interno, visto que os riscos de TI podem ser maiores nesses casos, como ressaltado pelo item 9.1.2 do Acrdo n 1.603/2008-TCU-Plenrio. 51. De modo semelhante, 94% das instituies respondentes tm funes comissionadas voltadas para a gesto de TI, nmero bastante elevado e que representa leve crescimento em relao a 2007. Entretanto, tambm causa preocupao que 6% das instituies respondentes ainda mantenham a gesto de TI sob o comando de servidores no comissionados ou de terceiros. 52. Quanto existncia de carreira de TI, o ndice evoluiu de 43% para 78%. Tal evoluo teve influncia da criao de cargos especficos voltados para gesto de TI pelo Ministrio do Planejamento, Oramento e Gesto para o SISP, em consonncia com as recomendaes inseridas no Acrdo n 140/2005-TCU-Plenrio e no item 9.1.2 do Acrdo n 1.603/2008-TCU-Plenrio. 53. Esses resultados sinalizam que a maior parte das instituies respondentes tem preocupao em manter seus setores de TI com equipe e gesto prpria, fator que contribui para a reduo da rotatividade, a internalizao de conhecimento de negcio, o aumento da aprendizagem organizacional e o amadurecimento da gesto de TI. Todos esses elementos interessam governana de TI porque aumentam as possibilidades de agregao de valor pela TI e de reduo de riscos. 54. Com respeito ao modo de seleo dos gestores de TI, de 2007 a 2010, o percentual das instituies respondentes que afirmaram selecionar seus gestores de TI por critrios de competncia aumentou de 43% para 79%. Esse era um dado especialmente alarmante se for considerado que, em geral, o questionrio foi respondido seno pela prpria TI, com auxlio direto dela, em 2007. O
12
SEFTI Fls. 56
ndice atual, aproximadamente o dobro do anterior, indica uma evoluo nesse quadro. 55. Embora a gesto de pessoal por competncias possa ser ainda um tanto desconhecida da APF, ela foi adotada como instrumento da Poltica Nacional de Desenvolvimento de Pessoal (PNDP) e uma das diretrizes dessa poltica promover a capacitao gerencial do servidor e sua qualificao para o exerccio de atividades de direo e assessoramento (Decreto n 5.707/2006, arts. 1, III, 2, II, 3, III, e 5, III). 56. Essa diretriz alinha-se perfeitamente diretriz inscrita nos arts. 6 e 10, 7, do Decreto-lei n 200/1967, que estabelecem as tarefas de planejamento, de coordenao, de superviso e de controle como tarefas fundamentais do administrador pblico. 57. Por essa razo, o presente levantamento procurou detalhar o exame das competncias dos dirigentes de TI, cujo resultado apresentado na Figura 6 e refere-se a todas as instituies respondentes do questionrio de 2010.
COMPETNCIA DOS DIRIGENTES DE TI

(GGTI=gesto e governana de TI)
certificados profissionais ps-graduao stricto sensu (em GGTI) ps-graduao stricto sensu (em TI, exceto GGTI) ps-graduao stricto sensu (no-TI)
ps-graduao lato sensu (em GGTI) 7%
12% 5% 14%
19% 31%
29%
ps-graduao lato sensu (em TI, exceto GGTI) ps-graduao lato sensu (no-TI)
curso superior (em TI)
45% 54%
76%
curso superior (no-TI) experincia em gesto de TI 0% 50%
100%
Figura 6. Competncias dos dirigentes de TI
58. Observa-se que 76% das instituies respondentes indicaram que seu dirigente mximo de TI tem experincia em gesto de TI. Portanto, em 24% das instituies respondentes o dirigente mximo supostamente no tem a experincia necessria em gesto de TI, o que preocupante. 59. Tambm deve ser ressaltado que, em relao formao acadmica dos dirigentes de TI: a frequncia de cursos superiores fora da rea de TI maior que na rea de TI; a frequncia de cursos de ps-graduao (lato ou stricto sensu) fora da rea de gesto e governana de TI menor que a de cursos tcnicos de TI ou a de cursos fora da rea de TI;
60. Estes nmeros reforam a impresso de que ainda muito baixo o investimento das instituies na preparao de gestores de TI para efetivamente gerenciar a TI institucional, especialmente em contextos de alto requerimento de governana corporativa e de TI. Nesse sentido, o TCU j expediu recomendao Escola Nacional de Administrao Pblica (Acrdo n 2.471/2008-TCU-Plenrio, item 9.10) para que desenvolva programa de formao de gestores de
13
TI, que no aborde somente aspectos tcnicos, mas que enfatize o desenvolvimento de competncias em gesto de TI. 61. Cabe informar que, a Enap j implementou o Programa de Desenvolvimento de Gestores de TI, com vistas a suprir essa necessidade. 2.2.2 Concluso
62. Os resultados obtidos no presente levantamento sugerem que houve evoluo no nmero de instituies que possuem carreira prpria de TI, bem como no nmero das que selecionam seus gestores com base em suas competncias, havendo ainda espao para melhorias.
2.3
Segurana da informao
63. A recomendao registrada no item 9.1.3 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: 9.1.3 orientem sobre a importncia do gerenciamento da segurana da informao, promovendo, inclusive mediante normatizao, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea especfica para gerenciamento da segurana da informao, a poltica de segurana da informao e os procedimentos de controle de acesso; 64. A Figura 7 apresenta os resultados obtidos em 2010 comparados aos obtidos em 2007. Observe-se que, neste caso, o grfico apresentado refere-se ausncia das prticas recomendadas, para compatibilizar melhor com a maneira como essa informao foi apresentada em 2007.
SEGURANA DA INFORMAO - DEFICINCIAS
2007 100%
87%
2010
97% 93%
88%
88%
81%
84% 78% 74%
84% 76%
74%
62%
63%
63%
58%
50%
0%
PLANO CONTINUIDADE NEGCIO
GESTO DE MUDANAS
GESTO DE CAPACIDADE
CLASSIFICAO INFORMAO
GESTO DE INCIDENTES SI
ANLISE DE RISCOS DE TI
REA SEGURANA INFORMAO
POLTICA SEGURANA INFORMAO
Figura 7. Evoluo dos indicadores de Deficincias em Segurana da Informao
65. O tema segurana da informao (SI) recebeu especial ateno no levantamento realizado em 2007, com foco no correto tratamento de seus aspectos elementares: a confidencialidade, a integridade e a disponibilidade das informaes.
14
SEFTI Fls. 57
66. Para tanto, foram colhidas informaes acerca da existncia de normas e documentos como poltica de segurana de informaes, plano de continuidade de negcios e norma de classificao de informaes, alm de processos como gesto de capacidade, anlise de riscos, gesto de incidentes, e gesto de mudanas. Essas reas foram escolhidas com base na norma ABNT NBR ISO/IEC 17799 (atualmente denominada ABNT NBR ISO/IEC 27002), porque podem elevar o risco da segurana da informao das organizaes se administradas de forma inadequada. 67. Reproduzem-se aqui as definies adotadas no relatrio que subsidiou o voto condutor do Acrdo n 1.603/08-TCU-Plenrio: A poltica de segurana da informao o documento que contm as diretrizes da instituio quanto ao tratamento da segurana da informao. Em geral, esse o documento da gesto da segurana da informao a partir do qual derivam os documentos especficos para cada meio de armazenamento, transporte, manipulao ou tratamento especfico da segurana da informao em TI. [...] A gesto da continuidade do negcio, por sua vez, o processo que objetiva minimizar um impacto sobre a organizao e recuperar perdas de informaes a um nvel aceitvel, por meio da combinao de aes de preveno e recuperao.[...] A classificao de informaes, por sua vez, o processo que visa garantir que cada informao tenha o tratamento de segurana adequado ao seu valor, aos requisitos legais, sensibilidade e ao risco de sua perda para a organizao.[...] O objetivo do processo de gesto de incidentes de segurana assegurar que seja aplicado tratamento consistente e efetivo para os incidentes, que incluem desde falhas de sistemas at violaes intencionais da poltica de segurana. [...] Na gesto centralizada de mudanas, h controle rgido das mudanas no ambiente operacional para garantir a estabilidade do ambiente e a auditoria das alteraes realizadas. [...] J a gesto de capacidade e compatibilidade visa principalmente garantir a disponibilidade das informaes, ao verificar continuamente se as solues de TI suportam adequadamente a demanda por informaes sem sobrecarregar os sistemas, gerar descontinuidade de operao e/ou falhas no nvel de servio acordado. [...] A anlise e o tratamento dos riscos inclui a identificao, a quantificao e a classificao dos riscos quanto sua prioridade, com base em critrios sintonizados com o negcio da organizao. Os resultados dessa anlise devem orientar as aes de gesto e as prioridades para o gerenciamento dos riscos de segurana da informao e para a implementao dos controles selecionados. Por isso, a anlise de risco estratgica na gesto da segurana e deve ser feita em bases peridicas para garantir a adequao entre gesto e negcio. 2.3.1 Anlise
68. Inicialmente, admite-se por prudncia que a piora em parte dos indicadores pode no refletir uma efetiva deteriorao da situao da segurana da informao na APF, mas uma possvel melhora na compreenso, por parte dos respondentes, dos conceitos questionados. Infere-se que essa melhor compreenso tenha resultado em avaliaes mais rigorosas no presente levantamento. 69. Percebe-se que, em todos os casos, no houve melhora nos processos que tratam de segurana da informao na APF. Ou seja, se em 2007 a situao j se mostrava preocupante, atualmente ainda pior, uma vez que o alarme foi soado por meio do Acrdo n 1.603/2008-TCU-Plenrio e, um ano e meio depois, o quadro no apresenta evidncias de melhora. 70. Se em 2007 havia o entendimento de que a maior parte das instituies estava exposta a riscos diversos e no mapeados, hoje, alm de a Administrao estar exposta aos mesmos riscos, no est agindo para sane-los com a agilidade que o caso requer.
15
71. No se defende, aqui, que cada instituio possua um plano de continuidade de negcios (PCN) com o que h de mais avanado e caro no mercado, em nome apenas das boas prticas de SI. Mas que, ao menos, se conheam os principais riscos a que as informaes crticas para o negcio esto submetidas e que se d o tratamento correspondente. 72. Sem inventariar e classificar a informao (apenas 25% e 11% o fazem, respectivamente, como exposto no Apndice III, questo 7.1) adequadamente no h como saber que informaes so crticas e devem ser protegidas. A outra possvel consequncia da falta desses processos o desperdcio de recursos ao se tentar proteger a integridade, a confidencialidade e a disponibilidade, com todos os custos envolvidos nesse esforo, de informaes no crticas para a instituio. 73. O mnimo esperado que se empreenda uma anlise de riscos (menos de 20% o fazem segundo os dados coletados) e que, a partir da, se busque uma estratgia adequada realidade de cada instituio. Mesmo que a deciso tomada a partir do conhecimento de determinado risco seja aceit-lo, necessrio que esse risco seja conhecido e suas consequncias estimadas. 74. Por fim, deve-se mencionar que, sobre esse tema, o Gabinete de Segurana Institucional (GSI) publicou as seguintes normas: a) Instruo Normativa GSI/PR n 1, de 13 de junho de 2008 que trata da Gesto de Segurana da Informao e Comunicaes na APF; b) Norma Complementar n 02/IN01/DSIC/GSI/PR de 2008 que trata da metodologia de gesto de segurana da informao e comunicaes; c) Norma Complementar n 03/IN01/DSIC/GSI/PR de 2009 que d diretrizes para elaborao de poltica de segurana da informao e comunicaes nas instituies da APF; d) Norma Complementar n 04/IN01/DSIC/GSI/PR de 2009 que trata da gesto de riscos de segurana da informao (GRSIC); e) Norma Complementar n 05/IN01/DSIC/GSI/PR de 2009 que trata da criao de equipes de tratamento e resposta a incidentes em redes de computadores (ETIR) f) Norma Complementar n 06/IN01/DSIC/GSI/PR de 2009 que trata da gesto de continuidade de negcios em segurana da informao e comunicaes; g) Norma Complementar n 07/IN01/DSIC/GSI/PR de 2010 que trata de controles de acesso. 2.3.2 Concluso
75. No se percebe melhora nos indicadores de segurana da informao em relao ao levantamento anterior, a despeito da recomendao emitida pelo TCU. A Administrao, de forma geral, continua a desconhecer e a no proteger suas informaes crticas adequadamente. Como no h avaliao de riscos, nem ao menos possvel estimar as suas consequncias caso estes se materializem. 76. Dessa forma, deve-se dar especial ateno a este aspecto no monitoramento das recomendaes do Acrdo n 1.603/2008-TCU-Plenrio.
2.4
Desenvolvimento de Software
77. A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte:
16
SEFTI Fls. 58
item 9.1.4. estimulem a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana; 78. Segue a comparao dos resultados obtidos em 2007 para a pergunta o desenvolvimento de sistemas segue alguma metodologia? com os obtidos no presente levantamento:
METODOLOGIA/PROCESSO DE SOFTWARE
2007 2010
100%
50% 50%
49%
0% PROCESSO AO MENOS GERENCIADO
Figura 8. Evoluo dos indicadores de adoo de Processo de Software
79. Primeiramente, cabe esclarecer que a nomenclatura metodologia para tratar de desenvolvimento de sistemas, utilizada no levantamento de 2007, foi substituda por processo de software, em consonncia com as normas tcnicas vigentes, em especial a ABNT NBR ISO/IEC 15.504. 80. Dessa forma, a questo foi estruturada de maneira a refletir os nveis de maturidade previstos na norma, que so os seguintes: Ad hoc, Inicial, Gerenciado, Definido, Mensurado e Em otimizao. Para avaliar se a instituio segue alguma metodologia (termo utilizado em 2007) admitiu-se que a resposta equivalente em 2010 seria a declarao de que a instituio possui processo de software em nvel igual ou superior a Gerenciado, o qual caracterizado pela existncia de um processo informal repetido vrias vezes e que implementa conceitos de qualidade de processo. 2.4.1 Anlise
81. A terceirizao de servios de desenvolvimento de software uma realidade na maioria das organizaes, no s na Administrao Pblica. Mesmo que no se questione os benefcios dessa opo, no h dvidas de que terceirizar todo o processo de software ou mesmo parte dele representa um risco para a organizao. 82. O quadro acima indica que no houve alterao relevante no indicador que mede a adoo de algum processo ou mtodo para desenvolvimento de software. 83. Ou seja, mais da metade dos respondentes declararam, em relao disciplina processo de software, que alm de no possurem um processo definido, no chegam a alcanar nem um processo informal repetido vrias vezes e que implementa conceitos de qualidade de processo.
17
84. Ora, no se pode perder de vista que, nas terceirizaes de servios, apenas a adoo de um processo de software definido permite avaliar se o servio foi prestado adequadamente ou garantir que no haver perda de conhecimento ou ainda que o resultado seja o pretendido pela instituio. 85. Por fim, deve-se lembrar que qualquer contratao deve ter seu objeto claramente definido (Lei n 8.666/1993, art. 6, inciso IX), o que, no caso de o objeto ser desenvolvimento de software, passa pelo estabelecimento de atividades e artefatos presentes em um processo de software definido. Dessa forma, pode-se inferir que em instituies em que esse processo ainda no est definido h elevado risco de irregularidade em contrataes de servios de desenvolvimento de software. 2.4.2 Concluso
86. Os resultados do presente levantamento sugerem que apenas 49% das instituies respondentes adotam algum processo de software, ainda que informal. Assim, menos da metade das instituies possuem o instrumento que, se usado adequadamente pode no s disciplinar o desenvolvimento de software na instituio, como apoiar a aquisio de software e servir de parmetro para aferir qualidade dos produtos recebidos.
2.5
Gesto de nveis de servio
87. A recomendao contida no Acrdo n 1.603/2008-TCU- Plenrio aos rgos governantes superiores foi a seguinte: item 9.1.5: promovam aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio de TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos servios contratados externamente s necessidades da organizao; 88. Segue a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:
GESTO DE NVEL DE SERVIO

100%
2007 2010
50% 27% 11% 16% 26%
0%
GESTO NVEL SERV. PRESTADO
GESTO NVEL SERV. CONTRATADO
Figura 9. Evoluo dos indicadores de Gesto de Nvel de Servio
2.5.1
Anlise
89. A gesto de acordos de nvel de servio um instrumento relevante na busca e no controle da qualidade do servio prestado pela rea de TI aos seus clientes. A falta desse tipo de gesto aumenta as chances de insatisfao entre os usurios e os riscos de perda de foco nos investimentos. SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI 18
SEFTI Fls. 59
90. O mesmo tipo de preocupao deve existir na relao com fornecedores. Processos de gesto de nvel de servio so essenciais para que se garanta a qualidade dos servios recebidos e que sua remunerao se d por resultados, como preconiza o art. 6 do Decreto n 2.271/1997, em alinhamento com os princpios da eficincia e da economicidade (Acrdo n 1.215/2009-TCUPlenrio). 91. Chama a ateno que, em 2007, apenas 11% das instituies respondentes atentavam para gesto do nvel de servios oferecido pela rea de TI aos clientes internos, e que este nmero tenha evoludo para apenas 16% em 2010. 92. Em relao gesto do nvel de servio em contrataes, tambm no houve alterao relevante (de 27% para 26%), evidenciando que, mesmo quando a TI cliente e no fornecedor, no h preocupao com a avaliao e o controle dos resultados. 93. Se por um lado, a gesto de acordos de nvel de servio com os clientes internos um processo que exige conhecimento e experincia, por outro, a gesto de nveis de servios de fornecedores deveria ser uma prtica amplamente adotada. A falta dela implica, quase sempre, em fornecedores controlando seus prprios nveis de servio e, mesmo assim, se eles estiverem definidos. 2.5.2 Concluso
94. Ainda cedo para se afirmar que o discreto crescimento do primeiro indicador configura uma tendncia. Ainda que haja uma sinalizao positiva, s os levantamentos seguintes e as auditorias in loco traro mais clareza a este quadro. No houve alterao relevante em relao gesto dos nveis de servio dos servios contratados. 95. Dessa forma, deve-se dar especial ateno a este aspecto no monitoramento das recomendaes do Acrdo n 1.603/2008-TCU-Plenrio.
2.6
Processos de contratao e gesto de contratos de TI
96. A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: item 9.1.6. envidem esforos visando implementao de processo de trabalho formalizado de contratao de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006TCU-Plenrio; 2.6.1 Anlise do processo de planejamento da contratao
97. Segue a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:
19
PLANEJAMENTO DE CONTRATAES
100% 2007 2010 87% 82%
62% 56% 50% 55% 52% 42%
17%
0% PROCESSO FORMAL DE CONTRATAO ANLISE DE VIABILIDADE EXPLICITA BENEFCIOS DE NEGCIO ESTIMA PREOS EM MAIS DE UMA FONTE
Figura 10. Evoluo dos indicadores de Planejamento de Contrataes
98. A pergunta acerca do processo formal de contratao, em 2007, buscava obter informaes acerca de instituies que haviam disciplinado os procedimentos a serem empreendidos at o momento da celebrao do contrato. Entretanto, avalia-se que, naquele levantamento, essa questo no foi bem compreendida por diversas instituies, que responderam positivamente considerando normas gerais, como a prpria Lei de Licitaes, como sendo seu processo de trabalho. 99. No presente levantamento, questiona-se acerca do processo de planejamento da contratao, ou seja, busca-se a mesma informao que o primeiro questionrio pretendia, s que de forma mais precisa em relao ao levantamento de 2007 (Apndice II). 100. Dessa forma, no se deve interpretar a deteriorao acentuada no ndice processo formal de contratao como um retrocesso, mas to somente como uma informao mais precisa acerca da falta de preparo da Administrao para gerir suas contrataes por meio de processos definidos e mensurveis. 101. importante mencionar que a publicao da IN SLTI/MP n 4 de 2008, ao estabelecer os elementos essenciais em um processo de contratao, contribuiu para uma melhor compreenso dos conceitos abordados nessas questes pelos respondentes. 102. Fato semelhante pode ter ocorrido com o ndice referente a benefcios de negcio. No presente levantamento, foi questionada a frequncia com que so explicitados os benefcios de negcio (Apndice III, questo 7.8), sendo que, para fins de comparao, apenas as respostas marcadas como usualmente e sempre foram interpretadas como positivas. 103. Com relao aos indicadores Anlise da viabilidade e estimativa de preos em mais de uma fonte, as variaes encontradas foram pouco significativas. 104. A Figura 10 mostra que menos da metade das instituies costuma explicitar os benefcios de negcio quando contratam bens e servios de TI, apesar de ser uma demanda da legislao (Decreto n 2.271/1997, art. 2). 105. Assim, apesar de a situao apresentada pelo levantamento anterior causar preocupao a ponto de o TCU emitir a recomendao acima, as informaes colhidas no presente trabalho
20
SEFTI Fls. 60
revelam um quadro ainda mais crtico, no qual, quase como regra, a Administrao no planeja suas contrataes de TI seguindo processos de trabalho formais e definidos. 106. A falta de preocupao com os benefcios de negcio a serem obtidos tem relao estreita com a falta de processos de planejamento definidos e sugere falta de governana nas instituies contratantes. 2.6.2 Concluso
107. Os resultados do presente levantamento demonstram que a falta de processo para a contratao de bens e servios de TI ainda mais crtica que a situao encontrada em 2007. Ainda no possvel verificar resultados positivos das iniciativas empreendidas para induzir a Administrao a adotar processos de trabalho para suportar o planejamento de contrataes de TI. 108. Deve-se, portanto, dar especial ateno a este aspecto no monitoramento das recomendaes do Acrdo n 1.603/2008 TCU-Plenrio e nas auditorias in loco. 2.6.3 Anlise do processo de gesto de contratos de TI
PROCESSO DE GESTO CONTRATUAL

2007 2010
100% 80%
91%
97%
92%
57% 50% 47% 31%
52%
0% PROCESSO DE GESTO DESIGNAO FORMAL MONITORAO ADM. CONTRATOS GESTOR CONTRATO CONTRATOS PELA TI REALIZA MONITORAO TCNICA
Figura 11. Evoluo dos indicadores de Processo de Gesto Contratual
109. A pergunta acerca do processo formal de gesto contratual, em 2007, buscava obter informaes acerca de instituies que haviam disciplinado os procedimentos a serem empreendidos aps o momento da celebrao contratual. 110. Entretanto, avalia-se que, naquele levantamento, essa questo tambm no foi bem compreendida por diversos respondentes, que apontaram para as normas gerais, como na questo anterior. 111. Dessa forma, no se deve interpretar a deteriorao no ndice processo de gesto de contratos como um retrocesso, mas como uma informao mais acurada acerca da falta de preparo da Administrao para gerir seus contratos por meio de processos definidos e mensurveis. 112. Em relao ao processo de gesto de contratos de TI, verifica-se melhora em quesitos como designao formal de gestor de contrato e realizao de monitorao tcnica.
21
113. Verifica-se, tambm, certa estabilidade no ndice de monitorao administrativa de contratos pela TI. Em princpio, esse papel caberia rea administrativa da instituio, desonerando a TI, que deveria, como regra, focar sua ateno na monitorao tcnica da execuo contratual (Acrdo n 1.382/2009-TCU-Plenrio, item 9.2.29). 2.6.4 Concluso
114. Os resultados do presente levantamento demonstram que a falta de processo de gesto contratual ainda mais crtica que a situao encontrada em 2007. Ainda no possvel verificar resultados positivos das iniciativas empreendidas para induzir a APF a adotar processos de trabalho para suportar a gesto de contratos. 115. Deve-se, portanto, dar especial ateno a este aspecto no monitoramento das recomendaes do Acrdo n 1.603/2008 TCU-Plenrio.
2.7
Processo oramentrio de TI
116. A recomendao contida no Acrdo 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: item 9.1.7. adotem providncias com vistas a garantir que as propostas oramentrias para a rea de TI sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos do negcio; 117. Segue a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:
PROCESSO ORAMENTRIO
2007 2010 88%
100% 63%
50%
84%
84%
0% ORAMENTO TI COM BASE AES PLANEJADAS CONTROLE DE GASTOS E DISPONIB. ORAMENT.
Figura 12. Evoluo dos indicadores de Processo Oramentrio de TI
2.7.1
Anlise
118. Com relao ao processo oramentrio, o quadro sugere uma evoluo relevante. Em 2007, 63% das instituies respondentes afirmaram que, em 2006, as aes previstas para o exerccio seguinte foram levadas em considerao na solicitao do oramento para 2007. 119. J no presente levantamento, 84% das instituies respondentes declararam ter elaborado o oramento de TI com base nas estimativas de custos das contrataes previstas.
22
SEFTI Fls. 61
120. Alm disso, 88% declararam controlar os gastos e a disponibilidade oramentria de tecnologia da informao. 2.7.2 Concluso
121. A melhora no quadro sugere que a APF comea a realizar os procedimentos mais bsicos de um processo oramentrio, como requerer oramento com base no planejado para o ano seguinte e controlar a disponibilidade de recursos oramentrios.
2.8
Auditoria de TI
122. A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: item 9.1.8. introduzam prticas voltadas realizao de auditorias de TI, que permitam a avaliao regular da conformidade, da qualidade, da eficcia e da efetividade dos servios prestados; 123. Segue a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:
AUDITORIA DE TI
100%
2007 2010
49% 50% 39%
0% EXECUTARAM AUDITORIA DE TI
Figura 13. Evoluo dos indicadores de Auditoria de TI
2.8.1
Anlise
124. Em 2007, auditorias de TI eram realizadas por 39% das instituies pesquisadas, que declararam ter realizado pelo menos uma auditoria de TI nos ltimos cinco anos. 125. No presente levantamento, a pergunta referiu-se realizao de auditoria de TI empreendida por iniciativa prpria, caso em que demonstrada a preocupao da instituio com o controle da sua TI. Alm disso, tendo em vista que o intervalo desde o ltimo levantamento foi de trs anos, considerou-se esse horizonte no presente questionrio. 126. O presente levantamento aponta que 49% das instituies respondentes realizaram auditoria de TI nos ltimos trs anos. 127. A figura a seguir detalha os tipos de auditoria realizados.
23
TIPOS DE AUDITORIA DE TI REALIZADAS

OUTRAS AUDITORIA DE GOVERNANA AUDITORIA DE DADOS AUDITORIA DE SISTEMAS AUDITORIA DE SI AUDITORIA DE CONTRATOS 0% 25% 8% 10% 14% 20% 24% 29%
50%
Figura 14. Evoluo dos indicadores de Auditoria de TI
128. A auditoria de TI um instrumento de controle imprescindvel para o sucesso da governana, que pressupe direo e controle, nos termos da norma ABNT NBR ISO/IEC 38.500 (item 3.6). por meio desse instrumento que possvel atestar o bom funcionamento dos esforos para proteger a integridade e a disponibilidade das informaes, alm do sigilo, quando necessrio, e da qualidade dos servios prestados. 129. Cabe informar que uma auditoria de dados, sistemas ou segurana, por exemplo, no depende de a organizao possuir equipe prpria para isso, ainda que esta seja uma prtica aconselhvel. A execuo desses tipos de auditoria nasce do entendimento, pela administrao, de que necessrio assegurar que a informao ntegra e confivel, est disponvel, e manipulada segundo os processos estabelecidos. 130. Dessa forma, quando no houver estrutura interna para tal prtica, a contratao desse servio no mercado pode ser uma alternativa a ser avaliada. 131. A auditoria de contratos de TI, a mais comum, tambm a mais simples de ser realizada pelas atuais estruturas de controle interno, porque se assemelha s auditorias de contratos de outras reas. Entretanto, esse tipo de auditoria no aborda diretamente aspectos tcnicos do gerenciamento de informao institucional, que deveriam ser avaliados pelas estruturas de controle interno, considerando seu papel no apoio governana corporativa. 2.8.2 Concluso
132. A evoluo constatada no ndice de auditoria de TI, que ficou prximo da metade dos respondentes, foi pequena. Ainda no possvel, pelos dados coletados, mensurar resultados da recomendao acima ou de outras iniciativas no sentido de incentivar a realizao de auditorias de TI na APF.
24
SEFTI Fls. 62
3
3.1
Liderana
Governana de TI e a Alta Administrao
133. Como j afirmado no item 10, da Alta Administrao a responsabilidade de governar a TI, ou seja, de garantir que a TI funcione de forma integrada e que agregue valor ao negcio. 134. No entanto, h alguns elementos importantes que devem ser implantados para que esse governo seja efetivo, entre os quais destaca-se a dimenso Liderana, apresentada a seguir. 135. Registre-se que estes so questionamentos no includos no levantamento de 2007, no possuindo, portanto, dados comparativos. 136. Deve-se ressaltar que os resultados adiante relatados tendem a ser ainda mais preocupantes quando se considera que a situao real pode ser pior do que a apresentada, vez que o presente levantamento baseou-se em declaraes espontneas dos dirigentes mximos, sem a necessidade de encaminhamento de evidncias. 137. Em vista disso, por conservadorismo, optou-se por apresentar as informaes coletadas com base nas respostas negativas, uma vez que uma resposta positiva no garante a presena do artefato ou da conduta questionada, podendo refletir uma situao melhor do que a real, tendo em vista a tendncia dos respondentes em interpretar as questes favoravelmente, como verificado nas auditorias realizadas no mbito do TMS Terceirizao de TI (Acrdo n 2.471/2008-TCUPlenrio).
3.2
Estrutura de Governana de TI
138. O quadro abaixo demonstra os resultados obtidos na questo acerca da estrutura de governana de TI provida pela alta administrao:
ESTRUTURA DE GOVERNANA - DEFICINCIAS A Alta Administrao...

100% 77% 61% 51% 50% 48%
0%
NO SE RESPONSABILIZA PELAS POLTICAS DE TI NO DESIGNOU COMIT DE TI NO DESIGNOU COMIT DE TI COM REPRESENTANTES DAS REAS DE NEGCIO NO MONITORA O FUNCIONAMENTO DO COMIT DE TI
Figura 15. Estrutura de Governana de TI
25
3.2.1
Anlise
139. Considerando que as informaes foram obtidas de modo declaratrio, e que o questionrio foi dirigido especificamente alta administrao, percebe-se, de plano, que a situao no confortvel. Passa da metade - 51% - o nmero de respondentes que declaram no se responsabilizar pelas polticas corporativas de TI. 140. Ora, so essas polticas que conferem as bases e os limites que norteiam a gesto e o uso de TI na instituio. No h como se falar em governana de TI se a alta administrao no estabelece ou responde pelas diretrizes mais elementares. 141. Dessa forma, possvel supor que a maioria das instituies da APF ainda no se preocupa com governana de TI. 142. Com relao designao de um comit de TI, deve-se ter em vista que esse comit pode ter funes diversas, conforme o modelo de gesto adotado. O Cobit 4.1 (PO4.2 e PO4.3) recomenda a existncia de dois comits, que devem congregar as diversas reas de negcio: comit estratgico, com funes de assessoramento, que busca assegurar o alinhamento da TI com a governana corporativa; comit executivo, que deve monitorar o andamento dos projetos e determinar prioridades dos investimentos em TI, em linha com as estratgias e prioridades do negcio. 143. Um comit de TI funcionando adequadamente pode reduzir o risco de a rea de tecnologia, agindo de forma independente, direcionar recursos para projetos que no so os mais importantes para o negcio, ou mesmo que haja um sequestro da TI (de seus recursos) por um dos setores da organizao, normalmente aquele ao qual est subordinada. 144. De acordo com a Figura 15, pode-se inferir que em pelo menos 48% das instituies respondentes no foi designado um comit de TI, que pelo menos 61% no indicaram representantes das reas de negcio para integrar o comit de TI e que, pior, em ao menos 77% dos casos no h acompanhamento das atividades do comit de TI pela alta administrao. Esses indicadores corroboram o entendimento de que h pouca preocupao da alta administrao com a governana de sua TI. 3.2.2 Concluso
145. Os dados do levantamento sugerem que o conceito de estrutura de governana de TI ainda uma novidade para a maior parte das instituies pblicas. O fato de que em menos da metade das instituies respondentes a alta administrao se enxerga como responsvel pelas polticas corporativas de TI, mesmo sendo essa uma rea crtica, sugere um motivo pelo qual o amadurecimento da gesto e da governana de TI ainda se mostra to lento, como demonstrado na anlise contida na seo 2. 146. O baixo ndice de comits de TI institudos e acompanhados pode ser explicado pela falta de conscincia da alta administrao acerca de seu papel na governana de TI: um dirigente que no se responsabiliza pelas polticas de TI, no sentir necessidade do apoio de um comit, menos ainda de acompanhar seu funcionamento.
3.3
Desempenho institucional na gesto e no uso de TI
147. A figura abaixo demonstra os resultados obtidos na questo acerca do desempenho organizacional de TI:
26
SEFTI Fls. 63
DESEMPENHO ORGANIZACIONAL NA GESTO E USO DE TI DEFICINCIAS A Alta Administrao...

100%
76% 57% 50% 71% 87%
0% NO DEFINIU OBJETIVOS DE DESEMPENHO NO DEFINIU INDICADORES DE DESEMPENHO NO AVALIA REGULARMENTE O DESEMPENHO NO ACOMPANHA OS INDICADORES DE BENEFCIOS DOS PRINCIPAIS SIST. DE INFORMAO
Figura 16. Desempenho Institucional em Gesto de TI
3.3.1
Anlise
148. Para que se possa acompanhar o desempenho da gesto e do uso da TI, preciso primeiro definir parmetros para isso. O primeiro passo definir os objetivos. Em seguida, importante definir indicadores de desempenho. Com eles, torna-se possvel avaliar o grau de alcance dos objetivos previamente definidos. Por fim, para que esses indicadores sejam teis, eles devem ser monitorados regularmente. Essa avaliao peridica dos indicadores de desempenho subsidia as decises que permitem as correes necessrias para o alcance dos objetivos definidos inicialmente. 149. Um exemplo permitir melhor entendimento da questo levantada: em uma instituio pblica cuja produo se d principalmente por meio de instruo e deciso processual, o andamento dos processos deve ser intensamente monitorado para que sejam mantidos bons ndices de produtividade (princpio da eficincia). Assim, um importante objetivo de desempenho de negcio poderia ser a reduo do volume de processos em estoque e a sua manuteno em baixos nveis. 150. Nesse caso, h evidente oportunidade de aplicao de tecnologia para informatizar a cadeia produtiva que envolve a instruo e deciso processual, reduzindo os tempos de tramitao, controlando o tempo de permanncia em cada etapa e evitando a formao de gargalos. Assim, a alta administrao poder definir objetivo de TI no sentido de que todos os processos da instituio estejam includos e controlados em sistema eletrnico em determinado prazo, o que dever ser medido por indicadores de desempenho prprios e monitorado regularmente pela alta administrao. 151. Dessa forma, fica evidente que o valor da TI de uma instituio relaciona-se sua capacidade de implementar os objetivos de negcio definidos pela alta administrao. Por isso, as decises da alta administrao acerca do uso e da gesto de TI devem levar em conta a capacidade das vrias tecnologias disponveis produzirem como benefcio o alcance dos objetivos institucionais. 152. Em suma, a falta de objetivos claros definidos pela alta administrao impedir uma boa gesto de TI. 153. Os dados encontrados no presente levantamento indicam que ao menos 57% dos respondentes no definiram objetivos de desempenho para o uso e para a gesto da TI institucional. Esse nmero, considerado muito alto, ainda mais enfraquecido pelo fato de que ao menos 76% no estabelecem indicadores de desempenho para TI, 71% no avaliam regularmente esse desempenho e 87% SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI 27
admitiram no tomar suas decises quanto ao uso e gesto de TI com base nos benefcios esperados dos sistemas de informao. 154. Portanto, a maioria das instituies respondentes no estabelece objetivos de TI, no tm indicadores de desempenho para esses objetivos, no avalia o alcance de objetivos e no toma decises com base nos benefcios de negcio advindos dos sistemas de informao providos pela TI. 155. Obviamente, as instituies tero muita dificuldade em perseguir objetivos que no estiverem definidos. Alm disso, a definio de um objetivo somente o primeiro passo na sua direo, mas seu alcance geralmente depende de decises tomadas no esforo de cumpri-lo, de acordo com a anlise criteriosa dos indicadores correspondentes. 156. A conquista de um objetivo definido sem o acompanhamento dos indicadores apropriados depende, em geral, mais de fatores fortuitos do que de processos estabelecidos de superviso e gerncia. Nas vezes em que isso ocorre, costuma ser to difcil repetir esse sucesso quanto aprender com ele. 157. A omisso no cumprimento dessa responsabilidade pela alta administrao certamente causa de ineficincia e inefetividade institucional, que devem ser obstinadamente combatidas. 3.3.2 Concluso
158. De forma geral, pode-se inferir que falta preocupao da alta administrao com o uso e a gesto da TI institucional, o que pode induzir ineficincia e inefetividade da instituio como um todo. 159. Assim, tendo em vista que esses aspectos esto na essncia da governana, que se ampara na direo e no controle da gesto e do uso de TI, prope-se recomendao a cada rgo governante superior para que: a) oriente as instituies sob sua jurisdio, com base no princpio da eficincia, do planejamento e do controle, sobre a necessidade de a respectiva alta administrao estabelecer formalmente: i) objetivos institucionais de TI alinhados s estratgias de negcio; ii) indicadores para cada objetivo definido na forma acima, preferencialmente em termos de benefcios para o negcio da instituio; iii) metas para cada indicador definido na forma acima; iv) mecanismos que ela (alta administrao) adotar para acompanhar o desempenho da TI da instituio. b) promova, mediante orientao normativa, a obrigatoriedade de a alta administrao de cada instituio sob sua jurisdio estabelecer os itens acima. 160. Alm disso, cabe determinar que a Sefti monitore a APF quanto evoluo desses procedimentos.
3.4
Gestores de tecnologia da informao
161. A figura abaixo demonstra os resultados obtidos na questo acerca da poltica de recursos humanos para a gesto de TI:
28
SEFTI Fls. 64
GESTORES DE TI - DEFICINCIAS A Alta Administrao...

NO ESCOLHE GESTORES DE TI FUNDAMENTALMENTE COM BASE NA COMPETNCIA 20%
NO PREENCHE PELO MENOS 75% DAS FUNES GERENCIAIS DE TI COM PESSOAL DO QUADRO PRPRIO
35%
NO PROV POLTICA DE DESENVOLVIMENTO DE GESTORES DE TI
75%
NO ACOMPANHA O DESEMPENHO GERENCIAL
83%
0%
50%
100%
Figura 17. Poltica de RH para gesto de TI
3.4.1
Anlise
162. Um aspecto basilar da boa governana de TI a alocao de pessoas adequadamente capacitadas para decidir sobre a gesto e o uso da TI institucional. Decises sobre a gesto e o uso de TI no esto restritas rea de TI, mas permeiam a instituio como um todo (ABNT NBR ISO/IEC 38.500). 163. Porm, o foco da presente questo relaciona-se especificamente aos gestores inseridos na rea de TI, cujas decises devem balancear aspectos tcnicos, administrativos e de negcio, contribuindo para a efetividade e a eficincia da instituio, em parceria com os demais decisores da instituio. 164. Os resultados obtidos so alarmantes: Ao menos 20% dos respondentes no escolhem os gestores de TI com base em critrios de competncia, mesmo em uma rea to crtica, da qual toda a instituio depende; Pelo menos 35% das instituies no reservam pelo menos 75% das funes comissionadas da rea de TI para servidores do quadro prprio, permitindo que mais de da gesto de TI esteja nas mos de empresas ou de pessoas com vnculo precrio com a instituio; Em ao menos 75% das instituies no h alguma poltica para desenvolvimento de gestores de TI; Em pelo menos 83% das instituies no h acompanhamento do desempenho gerencial na rea de TI. 165. Esses indicadores apontam para a falta de preocupao da alta administrao em garantir uma boa capacidade gerencial interna, em conflito com o Decreto n 5.707/2006 (conforme j explicitado nos itens 54/60). 166. A situao especialmente delicada no caso do Sisp, onde pelo menos 52% dos respondentes no priorizam o preenchimento das funes de gesto de TI com pessoas do quadro interno, como pode ser visto na Figura 18.
29
GESTORES DE TI - DEFICINCIAS (Somente Sisp) A Alta Administrao...
NO ESCOLHE GESTORES DE TI FUNDAMENTALMENTE COM BASE NA COMPETNCIA
23%
NO PREENCHE PELO MENOS 75% DAS FUNES GERENCIAIS DE TI COM PESSOAL DO QUADRO PRPRIO
52%
NO PROV POLTICA DE DESENVOLVIMENTO DE GESTORES DE TI
82%
NO ACOMPANHA O DESEMPENHO GERENCIAL
91%
0%
20%
40%
60%
80%
100%
Figura 18. Poltica de RH para gesto de TI (somente Sisp)
167. Quando uma parte relevante dos gestores de fora dos quadros da instituio, portanto com um vnculo precrio, h elevado risco de falta de continuidade na conduo da TI. Como resultado, o processo de amadurecimento da gesto fica comprometido. 168. O elevado nmero de respostas negativas em poltica de desenvolvimento de gestores de TI e acompanhamento de desempenho gerencial so compreensveis nesse contexto. Alm da falta de governana revelada em indicadores j relatados (sees 3.2 e 3.3), no haveria incentivo para se proverem polticas corporativas de desenvolvimento para gestores sem vnculo estvel com a instituio. 169. Da mesma forma, para que seja possvel acompanhar o desempenho gerencial, h a necessidade de se definirem objetivos e indicadores de desempenho, feito no alcanado por 57% e 76% dos respondentes, respectivamente (seo 3.3). Alm disso, como regra, compreensvel que haja pouca motivao no esforo de acompanhamento do desempenho dos que foram escolhidos por outros critrios que no o da competncia. 3.4.2 Concluso
170. Quando a prpria seleo de gestores de TI j apresenta deficincias e, alm disso, parte relevante da equipe de gesto de TI possui vnculos precrios com a organizao, h pouca esperana de evoluo da gesto de TI no longo prazo. 171. Entretanto, como o TCU j emitiu recomendao (item 48) aos rgos governantes superiores para que atentem para a necessidade de dotar a estrutura de pessoal de TI, buscando garantir sua capacitao, como forma de evitar o risco de perda de conhecimento organizacional, o que inclui a equipe de gesto, deixa-se de propor encaminhamento neste momento.
3.5
Avaliao de Governana de TI
172. Para o TCU, a adoo de indicadores de gesto uma prtica que contribui para o aperfeioamento da gesto pblica e consequente melhoria da prestao dos servios pblicos (BRASIL, 2005). A comparao de instituies segundo indicadores de gesto uma prtica recomendvel na medida em que fornece indicativo acerca dos riscos existentes e das oportunidades de melhoria de uma instituio (BRASIL, 2009a, p. 3-4, 31; GULDENTOPS, 2003).
30
SEFTI Fls. 65
173. No TCU, o uso de mtricas para classificao de unidades jurisdicionadas ainda relativamente recente, especialmente a aplicao de mtodos que procurem avaliar o risco institucional. No entanto, essa a direo adotada em vrias organizaes de controle (BRASIL, 2009b). Por essa razo, o presente levantamento insere-se tambm no contexto da proposio de um processo contnuo de acompanhamento da governana de TI, conforme ilustrado na Figura 19. 174. As entradas desse processo so temas priorizados pelo TCU e pelo Congresso Nacional, as competncias legais dos rgos governantes e seus objetivos e metas, e os modelos de governana produzidos por organizaes de referncia em pesquisa ou em auditoria. Com base nessas entradas, so escolhidos os aspectos mais relevantes de governana de TI que devem ser levantados por meio de questionrio (Perfil GovTI <anon>) para integrar uma base de dados. Essa base de dados tambm recebe insumos de informao de outras fontes necessrias anlise da Sefti, tais como dados oramentrios do Sidor e, futuramente, dados de execuo do Siafi e Siasg. Com base nessas informaes possvel a gerao de informaes de sada destinadas a diversos clientes da Sefti e do TCU.
Processo de Acompanhamento da Governana de TI

(Modelo de Negcio)
P roblem riscos e oportunias, dadesde m elhoria da AP F D anda por em K e com petncias
Instituies de ensino e pesquisa Jurisdicionados
Perfil GovTI
<anon>
TCU e CN rgos governantes* Referncias

Academia Organiz.Audit.
P roblem as priorizados
Avaliao com parada Alta Administrao + recom endaes Comit de TI Gestores de TI Avaliao com parada + recom endaes
C petncias legais om O bjetivos e m etas
Controle Interno
F eworks ram reconhecidos
Base DW GovTI
Aval.com p.+rec. P roposta de norm as
rgos governantes Congresso Nacional TCU
Aval.com p.+rec. P roposta de leis
*Orgos governantes:
- rgo central do SISP (SLTI) e setoriais (SEs) - DG/Cmara, CD/Senado, Segedam/TCU - Conselhos superiores (CNMP, CNJ, CNJT, CJF, CATI/MCT etc.) - GSI/PR, Sepin/MCT - Departamento de Coordenao e Controle das Empresas Estatais DEST/MP
fontes
reas de risco identificadas E entos para D ontas lem N-C
Figura 19. Modelo de negcio do processo de acompanhamento da governana de TI
3.5.1
Mtrica de governana adotada no presente levantamento
175. A mtrica de governana adotada no presente levantamento procura combinar elementos de trs fontes: (a) o Cobit 4.1, usualmente adotado mundialmente para avaliao de governana de TI (ITGI, 2007); (b) o Gespblica, adotado no Brasil como modelo de excelncia em gesto pblica, e com avaliaes anuais (BRASIL, 2010); (c) o levantamento de governana realizado pelo TCU em 2007 e que resultou no Acrdo n 1.603/2008-TCU-Plenrio. Optou-se pela combinao dessas trs fontes como forma melhorar a sustentao do mtodo adotado e de acelerar o seu amadurecimento. 176. No Apndice VII apresentado o mtodo completo de clculo do ndice de governana de TI (iGovTI). De modo geral, o clculo do iGovTI considera trs nveis de consolidao: a ponderao das subquestes do questionrio dentro de uma questo, gerando um nmero que varia de 0 a 100% e que representa o grau de aderncia da instituio boa prtica ou requisito legal em questo; a ponderao das questes dentro de uma dimenso de avaliao, segundo o Gespblica (Figura 20), gerando um nmero que varia de 0 a 100% e que represente o grau de governana na respectiva dimenso. Ressalte-se que, para compor o iGovTI, foram SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI 31
escolhidas somente as dimenses 1.Liderana, 2.Estratgias e Planos, 6.Pessoas e 7.Processos, pois o aprofundamento do questionrio nessas dimenses foi maior. Alm disso, essas foram as dimenses que, de um forma ou de outra, foram abordadas no levantamento de 2007. Assim, as dimenses 3.Cidado, 4.Sociedade e 5.Informao e conhecimento no foram consideradas no clculo do iGovTI e serviram apenas para estudos exploratrios no presente levantamento; a ponderao final dos valores encontrados para as dimenses 1.Liderana, 2.Estratgias e Planos, 6.Pessoas e 7.Processos, conforme os pesos previstos no Gespblica para o exerccio 2009/2010, que so, respectivamente, 110, 60, 90 e 110 pontos. Como j comentado, a oitava dimenso do Gespblica, chamada Resultados, embora seja a mais importante naquele modelo (450 pontos), no foi considerada no presente levantamento porque ainda no foram identificadas formas adequadas e consistentes de medio de resultados da TI por meio de questionrio, o que se pretende evoluir nos prximos ciclos de levantamento.
Figura 20. Representao do Modelo de Excelncia em Gesto Pblica Gespblica Fonte: BRASIL, 2010, p. 24
177. Adicionalmente, a distribuio dos valores de iGovTI foi analisada em comparao com dois padres de resposta ao questionrio que, a juzo da equipe deste levantamento, representam a situao mais baixa que se possa classificar como governana intermediria e a situao mais baixa que se possa classificar como governana aprimorada. Esses dois padres permitiram escolher os seguintes limites: Abaixo de 40%, considera-se que a instituio encontra-se em estgio INICIAL de governana de TI; de 40 a 59%, considera-se em estgio INTERMEDIRIO; a partir de 60%, considera-se em estgio APRIMORADO. 178. Essa escala difere da utilizada no modelo Cobit, no sendo possvel uma correspondncia direta com aquele modelo. Alm disso, como se trata de juzo estabelecido a partir das declaraes
32
SEFTI Fls. 66
das prprias instituies, sem aplicao de qualquer mecanismo validador da qualidade da informao, no possvel afirmar quo bem os valores calculados descrevem as respectivas instituies. Porm, esse mtodo permite a inferncia de distines importantes entre instituies pblicas e podem fornecer subsdios importantes para o seu planejamento e controle, e tambm para o controle externo. 179. Observe-se tambm que, diferentemente do Cobit, que limita a nota de governana menor nota alcanada em qualquer das dimenses de avaliao, o presente mtodo calcula a mdia das notas obtidas em cada dimenso. Por isso, a descrio de cada um dos trs estgios acima mencionados apenas uma generalizao da situao esperada e no significa que a instituio atenda a todos os aspectos avaliados igualmente. 3.5.2 Anlise de governana das instituies respondentes
180. Aplicada essa forma de clculo aos dados informados pelas instituies respondentes, obtevese a distribuio de frequncia apresentada na Figura 1.
50 45 40
quantidade de instituies
35 30 25 20 15 10 5 0
00 a 04% 05 a 09% 15 a 19% 20 a 24% 35 a 39% 40 a 44% 50 a 54% 55 a 59% 70 a 74% 75 a 79%
10 a 14% 25 a 29% 30 a 34% 45 a 49% 60 a 64% 65 a 69% 80 a 84%
ndice de governana de TI
Figura 21. Distribuio das instituies respondentes por faixa de governana
181. Pode-se observar que a maioria (57%) das instituies respondentes se encontra abaixo do limite de 40% de aderncia aos requisitos apresentados no questionrio, o que corresponde ao estgio inicial de governana de TI. Nessa faixa, o envolvimento da alta administrao menor, o planejamento mais frgil, os trabalhadores menos preparados e os controles internos so menos rigorosos e menos estruturados e, por isso, maior o risco de ocorrncia de falhas que costumam resultar em ineficcia, ineficincia, inefetividade e antieconomicidade. 182. 38% das instituies respondentes recaem no estgio intermedirio de governana de TI. Nessa faixa, h evidncias de que a alta administrao tem conhecimento de seu papel e que est preocupada em dar firme direo instituio por meio de planejamento, reconhecendo a necessidade de pessoal qualificado para assumir processos e controles de processos mais rigorosos. Porm, tal condio ainda no se reflete consistentemente na formalizao, monitorao e aperfeioamento de processos de trabalho, inclusive de planejamento, na fixao e monitorao de objetivos e no desenvolvimento sistemtico do quadro de pessoal. Nessa situao, o capital humano SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI 33
no est consolidado e a eventual troca da liderana poder facilmente romper o processo de aperfeioamento institucional. 183. Apenas 5% das instituies respondentes recaem no estgio aprimorado de governana de TI. Nesse estgio, encontram-se evidncias do elevado compromisso da alta administrao com a direo da instituio em todos os nveis, por meio de planejamento consistente e sistemtico, fixao clara de objetivos e metas, monitorao da execuo e auditoria. Alm disso, o quadro de pessoal recebe qualificao sistemtica e os processos de trabalho so formais e mensurados. 184. Quando vista pela tica do volume de recursos oramentrios destinados especificamente implementao de aes de TI, a distribuio das instituies ganha contornos ainda mais preocupantes, como apresentado na Figura 22.
Governana de TI x Oramento de TI
Inicial Intermediria Aprimorada
R$ 10.000.000.000
R$ 1.000.000.000
R$ 100.000.000
R$ 10.000.000
R$ 1.000.000
R$ 100.000 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
ndice de governana de TI
Figura 22. Distribuio das instituies respondentes por faixa de governana e oramento de TI
185. Alm dos trs estgios de governana de TI (inicial, intermedirio e aprimorado), a Figura 22 considera trs faixas de oramento de TI gerido no exerccio fiscal de 2010: (a) abaixo de R$ 10 milhes; (b) entre R$ 10 milhes e R$ 100 milhes; e (c) acima de R$ 100 milhes. Essa classificao deriva da distribuio dos dados e est em harmonia com a experincia dos auditores da Sefti. 186. Pode-se observar que h seis instituies que gerenciam R$ 100 milhes ou mais, mas que possuem governana de TI ainda em estgio inicial. razovel supor que h mais riscos de mau uso desse dinheiro nessas instituies, seja por falhas nas diretrizes da alta administrao sobre o uso desses recursos, ou pela fragilidade no planejamento do uso desses recursos, ou ainda pela baixa capacidade do quadro de pessoal ou dos processos de TI para gerenciar adequadamente esses recursos. Portanto, a concesso desses recursos para essas instituies deveria ser acompanhada da exigncia de implementao de mecanismos de controle mais rigorosos, tanto no sentido de evitar o mau gasto do dinheiro pblico, quanto no sentido de amadurecer a organizao em governana de TI. 187. Por outro lado, h trs instituies que gerenciam mais de R$ 100 milhes (duas delas acima de R$ 1 bilho) e que j esto em estgio aprimorado de governana de TI. Obviamente que, pelos montantes envolvidos, essas organizaes devam ser bastante controladas, porm razovel esperar maior eficcia, eficincia, efetividade e economicidade dessas instituies, vez que o alto compromisso da alta administrao, a existncia de bom planejamento, de quadro qualificado de
34
SEFTI Fls. 67
pessoal e de processos consistentes so fatores de reduo dos riscos de mau uso do dinheiro pblico. 188. interessante observar que possvel ter uma boa governana de TI mesmo com baixos oramentos de TI geridos, como no caso das trs organizaes que esto no quadrante inferior direito. Isto sugere que os processos de governana de TI tm mais a ver com o comportamento das pessoas envolvidas e os processos que elas executam (capital intelectual) do que com o uso de caras ferramentas de gesto e governana de TI. 189. Alm disso, foi feita uma anlise de correlao entre as dimenses utilizadas no clculo do ndice de governana, que resultou nos dados apresentados na Tabela 1:
Tabela 1. Anlise de correlao entre as dimenses avaliadas Dimenso Liderana Estratgias e Gesto de Planos Pessoas Liderana ------Estratgias e Planos 0,48 ----Gesto de Pessoas 0,32 0,23 --0,60 Processos 0,46 0,29
190. Pode-se observar que h uma razovel correlao estatstica entre a governana em Liderana e a governana em Processos. A Figura 23 representa bem essa correlao: h uma tendncia de que quanto maior a governana em Liderana, maior seja a governana em Processos. Isto considerando que a liderana precede a existncia de processos.
Correlao entre governana em liderana e governana em processos de TI

100% 90%
governana em processos de TI
80%
70%
60% 50% 40% 30% 20%

10%
0% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
governana em liderana de TI
Figura 23. Correlao da governana em liderana e com a governana em processos
191. Isto sugere que o esforo de controle deve focalizar principalmente a estrutura da liderana em governana de TI, porque esta parece ter maior efeito sobre todas as demais dimenses de governana de TI. Isto est de acordo com o preconizado pelo Cobit no objetivo de controle ME1 (ITGI, 2007). 3.5.3 Concluses e propostas
192. Do exposto nesta seo, conclui-se que: a adoo dos conceitos de governana de TI pela APF ainda incipiente, pois a maioria das instituies respondentes encontra-se em estgio inicial;
35
h instituies que gerem recursos oramentrios substanciais e no demonstraram boa governana de TI no presente levantamento, o que sugere maior risco na gesto do dinheiro pblico; parece haver uma correlao entre a liderana da alta administrao na governana de TI em relao s outras dimenses, especialmente com relao dimenso processos de TI. 193. Por essas razes, prope-se que a Sefti: mantenha aes que estimulem a conscientizao da alta administrao das instituies da APF acerca dos conceitos, objetivos, indicadores, aes e estruturas de governana de TI; defina e mantenha processo permanente e sustentvel de acompanhamento da governana de TI na APF de modo a subsidiar os processos de fiscalizao do TCU em TI, bem como subsidiar os processos de planejamento e controle da prpria APF; remeta, para cada uma das instituies integrantes da lista disponvel no Apndice IV deste relatrio, relatrio contendo sua avaliao individualizada de governana de TI e a comparao com os resultados consolidados do respectivo segmento de atuao, como forma de subsidiar o planejamento dessas instituies.
Concluses Finais
194. Os dados coletados no deixam margem dvida de que a situao da governana de TI na APF ainda se encontra em estado precrio. Como a maioria das instituies respondentes encontrase em estgio inicial (seo 3.5.2), pode-se inferir que a adoo dos conceitos de governana de TI pela APF ainda incipiente. 195. Alm disso, h instituies que gerem recursos oramentrios substanciais e que no demonstraram boa governana de TI no presente levantamento, o que sugere maior risco na gesto do dinheiro pblico. 196. No que se refere aos instrumentos bsicos para a alta administrao governar a TI de forma minimamente efetiva (por exemplo, pela designao de um comit de TI, pela definio de objetivos de desempenho e pelo monitoramento desse desempenho), o quadro tambm no bom. Aparentemente, ainda uma novidade o conceito de que governar a TI, por se tratar de uma rea crtica para o alcance dos objetivos da instituio, responsabilidade da alta administrao. Causa espcie que aproximadamente metade dos respondentes tenha declarado que no se enxerga como responsvel pelas polticas corporativas de TI. Ressalte-se que as respostas foram dadas, na grande maioria dos casos, pelo dirigente mximo da instituio (seo 3.2.2). 197. Essa lacuna demanda ao especfica do TCU, pois os dados levantados sugerem que h correlao entre a liderana da alta administrao na governana de TI em relao s outras dimenses, especialmente com relao dimenso processos de TI. Assim, como j preconizado pelo objetivo de controle ME1 do Cobit (ITGI, 2007), a melhor forma para alcanar boa governana de TI seria atuar fortemente sobre o comportamento da alta administrao (seo 3.2.2). 198. Na comparao com o levantamento de 2007, preocupante a falta de evoluo perceptvel na rea de segurana da informao, que continua com ndices de no conformidade muito altos (seo 2.3). Alm disso, o nmero de instituies que declararam possuir processo de planejamento da contratao e de gesto de contratos foi muito baixo (seo 2.6), revelando que a situao real em 2007 era, na realidade, ainda mais crtica que o quadro apontado no levantamento daquele ano. 199. Por outro lado, h sinais de iniciativas no sentido de reverter essa realidade. Houve evoluo significativa no ndice referente a planejamento estratgico institucional (seo 2.1), o qual prrequisito para um planejamento estratgico de TI alinhado com o negcio, alm de ser essencial
36
SEFTI Fls. 68
para a definio de objetivos de desempenho. Alm disso, o nmero de instituies que declararam possuir carreira prpria de TI praticamente dobrou, alcanando 78% (seo 2.2). 200. Uma melhora sensvel nesses dois aspectos estruturantes (planejamento estratgico institucional e carreira de TI) abre a possibilidade de que haja reflexo positivo em outros indicadores de governana e gesto de TI no futuro. No entanto, ainda cedo para se aferir qualquer tendncia. 201. Tendo em vista esses primeiros resultados de evoluo da governana de TI no setor pblico federal, mas reconhecendo que a tarefa est somente comeando, importante que o TCU permanea no seu papel como indutor desse processo, como j tem feito por meio de fiscalizaes, dilogos pblicos, notas tcnicas etc. 202. O presente levantamento confere ao TCU mais uma oportunidade para atuar nesse papel, considerando que as informaes agregadas neste trabalho podem ser uma ferramenta relevante no esforo de amadurecimento e de evoluo da governana e da gesto de TI na APF. Dessa forma, prope-se: remeter relatrio individualizado contendo a posio de cada instituio e do seu segmento de atuao aos integrantes da lista disponvel no Apndice IV deste relatrio; autorizar, a partir da data do acrdo que vier a ser proferido, a divulgao das informaes consolidadas constantes deste levantamento em informativo, na forma do Apndice VIII, e sumrios executivos; autorizar a divulgao dos dados coletados no presente levantamento, sem a identificao individual dos respondentes. 203. Nessa linha, sem esquecer da importncia da disseminao das informaes contidas neste levantamento a rgos de relevncia estratgica para o Estado, prope-se tambm remeter cpia do Acrdo que vier a ser adotado nesses autos, acompanhado pelos respectivos relatrio e voto, Controladoria Geral da Unio, Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica do Senado Federal, Subcomisso Permanente de Servios de Informtica do Senado Federal, Comisso de Cincia e Tecnologia, Comunicao e Informtica da Cmara dos Deputados, Subcomisso Permanente de Cincia e Tecnologia e Informtica da Cmara dos Deputados, Secretaria de Logstica e Tecnologia de Informao, ao Departamento de Coordenao e Controle das Empresas Estatais (Dest) da Secretaria-Executiva do Ministrio do Planejamento, Oramento e Gesto, ao Conselho Nacional de Justia, ao Tribunal de Contras da Unio, Diretoria-Geral da Cmara dos Deputados, Diretoria-Geral do Senado Federal, ao Conselho Nacional de Justia, ao Conselho Nacional do Ministrio Pblico e ao Gabinete de Segurana Institucional da Presidncia da Repblica; 204. Com relao s instituies que no responderam ao questionrio (item 23), prope-se assinar prazo, com fulcro no art. 42, 1, da Lei n 8.443/1992 c/c art. 245, 1, do RI TCU, para que, no prazo de quinze dias, as instituies listadas no Apndice V encaminhem, em meio eletrnico e em papel, a resposta ao questionrio utilizado neste levantamento. 205. Por fim, as deficincias apontadas neste levantamento sero aprofundadas e tratadas no mbito do TMS Gesto e Uso de TI. O cumprimento das recomendaes mencionadas na seo 2, referentes ao Acrdo n 1.603/2008-TCU-Plenrio, ser tratado em processo especfico de monitoramento. Optou-se por essa forma de encaminhamento tendo em vista que se trata de uma pesquisa integrada a um esforo mais abrangente de fiscalizao, o j citado TMS Gesto e Uso de TI (TC n 011.772/2010-7).
37
Proposta de encaminhamento
206. Ante o exposto, submetem-se os autos considerao superior, com as seguintes propostas: Irecomendar, com fulcro na Lei n 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, e do 4 do art. 103-B da Constituio Federal, ao Conselho Nacional de Justia (CNJ), que: a) oriente as instituies sob sua jurisdio, com base no princpio da eficincia, do planejamento e do controle, sobre a necessidade de a respectiva alta administrao estabelecer formalmente: v) objetivos institucionais de TI alinhados s estratgias de negcio; vi) indicadores para cada objetivo definido na forma acima, preferencialmente em termos de benefcios para o negcio da instituio; vii) metas para cada indicador definido na forma acima; viii) mecanismos que ela (alta administrao) adotar para acompanhar o desempenho da TI da instituio. b) promova, mediante orientao normativa, a obrigatoriedade de a alta administrao de cada instituio sob sua jurisdio estabelecer os itens acima. II recomendar, com fulcro no art. 43, inciso I, da Lei n 8.443/1992 e no inciso IX do art. 6 do Decreto 6.081/2007, ao Departamento de Coordenao e Controle das Empresas Estatais que adote as providncias contidas no item I acima no mbito das empresas estatais; III - recomendar, com fulcro no art. 43, I, da Lei n 8.443/1992 c/c art. 4, I, do Decreto n 1.048/1994, Secretaria de Logstica e Tecnologia da Informao que adote as providncias contidas no item I acima no mbito do Sistema de Administrao dos Recursos de Informao e Informtica (Sisp); IV - recomendar, com fulcro no art. 43, inciso I, da Lei n 8.443/1992 e no 2 do art. 130-A da Constituio Federal, ao Conselho Nacional do Ministrio Pblico que adote as providncias contidas no item I acima no mbito do Ministrio Pblico; Vrecomendar, com fulcro no art. 43, inciso I, da Lei n 8.443/1992, Secretaria-Geral da Presidncia do Tribunal de Contas da Unio, que adote as providncias contidas no item I acima no mbito do TCU; VI - recomendar, com fulcro no art. 43, inciso I, da Lei n 8.443/1992, DiretoriaGeral da Cmara dos Deputados, que adote as providncias contidas no item I acima no mbito da Cmara dos Deputados; VII - recomendar, com fulcro no art. 43, inciso I, da Lei n 8.443/1992, DiretoriaGeral do Senado Federal, que adote as providncias contidas no item I acima no mbito do Senado Federal; VIII - assinar prazo de quinze dias, com fulcro no art. 42, 1, da Lei n 8.443/1992 c/c art. 245, 1, do RI TCU, para que as instituies listadas no Apndice V encaminhem, em meio eletrnico e em papel, a resposta ao questionrio utilizado neste levantamento; IX - remeter cpias do Acrdo que vier a ser adotado nestes autos, acompanhado dos respectivos Relatrio e Voto: a) Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica do Senado Federal; SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI 38
SEFTI Fls. 69
b) Subcomisso Permanente de Servios de Informtica do Senado Federal; c) Comisso de Cincia e Tecnologia, Comunicao e Informtica da Cmara dos Deputados; d) Subcomisso Permanente de Cincia e Tecnologia e Informtica da Cmara dos Deputados; e) ao Gabinete de Segurana Institucional da Presidncia da Repblica; f) Controladoria-Geral da Unio; g) ao Departamento de Coordenao e Controle das Empresas Estatais (Dest) da Secretaria-Executiva do Ministrio do Planejamento, Oramento e Gesto; h) Secretaria de Logstica Tecnologia da Informao (SLTI) do Ministrio do Planejamento, Oramento e Gesto; i) Diretoria-Geral da Cmara dos Deputados; j) Diretoria-Geral do Senado Federal; k) ao Conselho Nacional de Justia; l) ao Conselho Nacional do Ministrio Pblico; m) ao Gabinete de Segurana Institucional da Presidncia da Repblica. Xdeterminar Secretaria de Fiscalizao de Tecnologia da Informao (Sefti) que: a) promova o monitoramento das providncias previstas nos itens I a VII; b) mantenha aes que estimulem a conscientizao da alta administrao das instituies da APF acerca dos conceitos, objetivos, indicadores, aes e estruturas de governana de TI; c) defina e mantenha processo de trabalho permanente e sustentvel de acompanhamento da governana de TI na APF de modo a subsidiar os processos de fiscalizao do TCU em TI, bem como subsidiar os processos de planejamento e controle da prpria Administrao Pblica Federal; d) remeta, para cada uma das instituies integrantes da lista disponvel no Apndice IV, relatrio contendo sua avaliao individualizada de governana de TI e a comparao com os resultados consolidados do respectivo segmento de atuao, como forma de subsidiar o planejamento dessas instituies; e) divulgue as informaes consolidadas constantes deste levantamento em informativo, na forma do Apndice VIII, e em sumrios executivos; f) divulgue os dados coletados no presente levantamento, sem a identificao individual dos respondentes. Sefti, 16 de julho de 2010
Daniel Jezini Netto Matr. 4586-1 Coordenador
Cludio Silva da Cruz Matr. 3164-0
Gelson Heindrickson Matr. 6502-1
39
De acordo. considerao superior. Sefti, 16 de julho de 2010
Carlos Renato Araujo Braga Gerente De acordo. Encaminhe-se o presente processo ao Gabinete do Exmo. Ministro Aroldo Cedraz. Sefti, 16 de julho de 2010
Cludio Souza Castello Branco Secretrio
40
SEFTI Fls. 70
Referncias
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS - ABNT. ABNT NBR ISO/IEC-27002:2005 - Tecnologia da informao - Tcnicas de segurana - Cdigo de pratica para a gesto de segurana da informao. Estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto de segurana da informao. Disponvel em: <http://www.abntcatalogo.com.br/norma.aspx?ID=1532>. Acesso em: 16 jul. 2010. _____. ABNT NBR ISO/IEC 38500:2009 - Governana corporativa de tecnologia da informao. Esta Norma oferece princpios para orientar os dirigentes das organizaes (incluindo proprietrios, membros do conselho de administrao, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz, eficiente e aceitvel da Tecnologia de Informao (TI) dentro de suas organizaes. Disponvel em: <http://www.abntcatalogo.com.br/norma.aspx?ID=40015>. Acesso em: 16 jul. 2010. BRASIL. Tribunal de Contas da Unio. Portflio de indicadores de desempenho da gesto. 2005. Disponvel em: <http://www.tcu.gov.br/PortfolioIndicadores/>. Acesso em: 16 jul. 2010. _____. Decreto n 5.707, de 23 de fevereiro de 2006. Institui a Poltica e as Diretrizes para o Desenvolvimento de Pessoal da administrao pblica federal direta, autrquica e fundacional, e regulamenta dispositivos da Lei no 8.112, de 11 de dezembro de 2006. Disponvel em: <http://www.planalto.gov.br/CCIVIL_03/_Ato20042006/2006/Decreto/D5707.htm>. Acesso em: 16 jul. 2010. _____. Ministrio do Planejamento, Oramento e Gesto. Produto 1 - Indicadores. Projeto: Melhoria da gesto pblica por meio da definio de um guia referencial para medio do desempenho da gesto, e controle para o gerenciamento dos indicadores de eficincia, eficcia e de resultados do programa nacional de gesto pblica e desburocratizao. Braslia: MP, Agosto de 2009a. Disponvel em: <https://conteudo.gespublica.gov.br/folder_publicacoes/pasta.2009-0423.1308768764/produto_1_indicadores_versao_final_110809.pdf>. Acesso em: 16 jul. 2010. _____. Tribunal de Contas da Unio. Critrios Gerais de Controle Interno na Administrao Pblica: Um estudo dos modelos e das normas disciplinadoras em diversos pases O estudo explora os modelos de referncia em gesto de riscos e controles. 2009b. Disponvel em: <http://www.qsp.org.br/pdf/Estudo_Anteprojeto_PL_GR.pdf>. Acesso em: 19 jun. 2006. _____. Ministrio do Planejamento, Oramento e Gesto. Instrumento para avaliao da gesto pblica - ciclo 2010. Programa Nacional de Gesto Pblica e Desburocratizao - GESPBLICA, Braslia: MP, 2010. Disponvel em: <https://www.gespublica.gov.br/folder_premio/pasta.2010-04-26.8934490474/Instrumento_ciclo_2010_22mar.pdf>. Acesso em: 16 jul. 2010. GULDENTOPS, Erik. Maturity measurement - first the purpose, then the method. Information Systems Control Journal, v. 4, 2003. Disponvel em: <http://www.itgi.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentID =15950>. Acesso em: 16 jul. 2010. INFORMATION TECHNOLOGY GOVERNANCE INSTITUTE - ITGI. COBIT - Control Objectives for Information and related Technology. 4.1. ed. (em portugus). Rolling Meadows: ITGI, 2007. Disponvel em: <http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf>. Acesso em: 16 jul. 2010. INSTITUTO BRASILEIRO DE GOVERNANA CORPORATIVA - IBGC. Cdigo das melhores prticas de governana corporativa. 4.ed. So Paulo, SP : IBGC, 2009. Disponvel em: <http://www.ibgc.org.br/Download.aspx?Ref=Codigos&CodCodigo=47>. Acesso em: 28 mai. 2010.
41
Apndice I
Critrios adotados como referncia de requisitos legais ou de boas prticas
A seguir so apresentados os critrios adotados na anlise de cada questo (sees 2 e 3) e uma breve explicao sobre esses critrios. Critrios adotados por questo Planejamento Estratgico Institucional e de TI Cobit 4.1 PO1 Definir um Plano Estratgico de TI (O planejamento estratgico de TI necessrio para gerenciar todos os recursos de TI em alinhamento com as prioridades e estratgias); Cobit 4.1 PO4.2 (Comit estratgico de TI) e PO 4.3 (Comit executivo de TI); Acrdo n 1.521/2003-TCU-Plenrio, item 9.2.2.3; Acrdo n 1.558/2003-TCU-Plenrio, item 9.3.9; Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1; Acrdo n 140/2005-TCU-Plenrio, item 9.4; Instruo Normativa SLTI/MP n 4/2008, art. 3. Estrutura de Pessoal de TI Decreto n 5.707, de 23 de fevereiro de 2006; Cobit 4.1 PO7.1 Recrutamento e Reteno de Pessoal. Segurana da informao Poltica de Segurana da Informao: NBR ISO/IEC 27002:2005, item 5.1; Cobit 4.1 DS5.2 Plano de Segurana de TI. Continuidade de Negcios: Cobit 4.1 DS4 Assegurar a Continuidade dos Servios; NBR ISO/IEC 27002:2005, item 14.1.3. Classificao das Informaes: Cobit 4.1 PO2.3 Esquema de Classificao de Dados; NBR ISO/IEC 27002:2005, item 7.2. Gesto de Incidentes: Cobit 4.1 DS5.5 Teste de Segurana, Vigilncia e Monitoramento; Cobit 4.1 DS5.6 Definio de Incidente de Segurana; NBR ISO/IEC 27002:2005, item 13.2. Gesto de Mudanas: Cobit 4.1 AI6 Gerenciar de Mudanas; NBR ISO/IEC 27002:2005, item 10.1.2 Gesto de mudanas; NBR ISO/IEC 27002:2005, item 12.5.1 Procedimentos para controle de mudanas. Gesto de Capacidade: Cobit 4.1 DS3 Gerenciar o Desempenho e a Capacidade; NBR ISO/IEC 27002:2005, item 10.3.1 Gesto de capacidade. Anlise de Riscos: Cobit 4.1 PO9.4 Avaliao de Risco; NBR ISO/IEC 17799:2005, item 4.1 Analisando/avaliando os riscos de segurana da informao. rea especfica para tratar de Segurana da Informao: Cobit 4.1 DS5.1 Gesto da Segurana de TI; NBR ISO/IEC 17799:2005, item 6.1 Infraestrutura da segurana da informao. Processo de Software Cobit 4.1 AI2.7 Desenvolvimento de Software Aplicativo; ABNT NBR ISO/IEC 15.504.
42
SEFTI Fls. 71
Gesto de nveis de servio Cobit 4.1 DS1 Definir e Gerenciar Nveis de Servio; Decreto n 2.271/1997, Art. 6. Processos de contratao e gesto de contratos de TI Processo formal de contratao: Cobit 4.1 AI5.1 Controle de Aquisio. Anlise de viabilidade: Cobit 4.1 AI1.3 Estudo de Viabilidade e Formulao de Aes Alternativas. Explicitao dos benefcios de negcio: Cobit 4.1 AI1.3 Estudo de Viabilidade e Formulao de Aes Alternativas; Acrdo n 1.558/2003-TCU-Plenrio, item 9.3.11; Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1. Pesquisa de preos em mais de uma fonte: Acrdo n 2.170/2007-TCU-Plenrio, Voto do Relator, itens 32-34. Anlise do processo de gesto de contratos de TI Processo de gesto de contratos: Cobit 4.1 AI5.1 Controle de aquisies. Designao formal de gestor ou fiscal de contrato: Lei n 8.666/1993, art. 67. Monitorao de contratos de TI: Lei n 8.666/1993, art. 29 e art. 55, inciso XIII; AI5.2 Gerenciamento de Contratos de Fornecedores; DS2.2 Gesto do Relacionamento com Fornecedores; DS2.4 Monitoramento de Desempenho do Fornecedor. Processo oramentrio de TI Cobit 4.1 PO5.3 Processo de Oramento de TI. Auditoria de TI Cobit 4.1 ME2 Monitorar e Avaliar os Controles Internos; NBR ISO/IEC 27002:2005, item 15.2 Conformidade com normas e polticas de segurana da informao e conformidade tcnica; NBR ISO/IEC 27002:2005, item 6.1.8 Anlise crtica independente de segurana da informao. Liderana Estrutura de Governana de TI: Cobit 4.1 ME4 Prover Governana de TI; Cobit 4.1 PO4.3 Comit Executivo de TI. Desempenho organizacional na gesto e no uso de TI: Cobit 4.1 ME4.6 Medio de Desempenho; Princpio da eficincia (CF, art. 37); Princpio do planejamento e controle (DL200). Gestores de tecnologia da informao Breve explicao de cada critrio 1. Processos do Cobit 4.1 referenciados no presente relatrio PO1 Definir um Plano Estratgico de TI O planejamento estratgico de TI necessrio para gerenciar todos os recursos de TI em alinhamento com as prioridades e estratgias de negcio. PO2.3 Esquema de Classificao de Dados Estabelecer um esquema de classificao de dados aplicvel a toda a organizao com base na importncia e na confidencialidade dos dados corporativos (por exemplo: pblico, confidencial, altamente secreto). Esse esquema inclui
43
detalhes sobre os proprietrios dos dados, definio de nveis apropriados de segurana, controle de proteo, uma breve descrio dos requisitos de reteno e destruio dos dados, importncia e confidencialidade. utilizado como base para aplicao de controles, tais como controles de acesso, arquivamento ou criptografia; PO4.2 Comit Estratgico de TI Estabelecer um comit estratgico de TI em nvel de Diretoria. Esse comit assegura que a governana de TI seja devidamente considerada como parte da governana corporativa, aconselha sobre o direcionamento estratgico e analisa os principais investimentos, em nome de toda a Direo. PO4.3 Comit Executivo de TI Estabelecer um comit executivo (ou equivalente) composto pelas Diretorias Executiva, Negcios e TI para: Determinar prioridades dos programas de investimentos em TI em linha com as estratgias e prioridades do negcio; Monitorar o estado atual dos projetos e resolver conflitos de recursos; e Monitorar nveis de servio e suas melhorias PO5.3 Processo de Oramento de TI Estabelecer um processo para preparar e controlar um oramento que reflita as prioridades estabelecidas pelo portflio de programas de investimentos de TI da organizao, incluindo os custos contnuos de operao e manuteno da infraestrutura atual. O processo deve sustentar o desenvolvimento do oramento de TI total, bem como o desenvolvimento de oramentos para programas individuais, com nfase especial nos componentes de TI de tais programas. O processo deve permitir reviso, refinao e aprovao contnuas do oramento de TI total e de todos os oramentos de programas individuais. PO7.1 Recrutamento e Reteno de Pessoal Assegurar que os processos de recrutamento de pessoal estejam alinhados com as polticas e os procedimentos de pessoal da organizao (por exemplo, admisso, ambiente de trabalho positivo e orientao). Implementar processos para assegurar que a organizao tenha uma fora de trabalho de TI apropriada e com as habilidades necessrias para atingir os objetivos da organizao. PO9.4 Avaliao de Risco Avaliar regularmente a probabilidade e o impacto de todos os riscos identificados, utilizando mtodos qualitativos e quantitativos. A probabilidade e o impacto associado ao risco inerente e residual devem ser determinados individualmente, por categoria e com base no portflio da organizao. AI1.3 Estudo de Viabilidade e Formulao de Aes Alternativas Desenvolver um estudo de viabilidade que examine a possibilidade de implementar os requisitos. O gerenciamento de negcios, suportado pela rea de TI, deve avaliar a viabilidade e as aes alternativas e fazer recomendaes ao patrocinador do negcio. AI2.7 Desenvolvimento de Software Aplicativo Assegurar que as funcionalidades automatizadas sejam desenvolvidas em conformidade com as especificaes de projeto, padres de desenvolvimento e documentao e requisitos de qualidade e de autorizao. Assegurar que todos os aspectos contratuais e legais sejam identificados e considerados nos Softwares aplicativos desenvolvidos por terceiros. AI5.1 Controle de Aquisio Desenvolver e acompanhar um conjunto de procedimentos e padres consistentes com o processo e a estratgia corporativa de aquisio para assegurar que a aquisio de infraestrutura, instalaes, hardware, Software e servios satisfaa aos requisitos de negcio. AI5.2 Gerenciamento de Contratos de Fornecedores Instituir um procedimento para estabelecer, modificar e rescindir contratos com todos os fornecedores. O procedimento deve contemplar no mnimo as formalidades legais, financeiras, organizacionais, documentais, de desempenho, de segurana e de propriedade intelectual e as responsabilidades e obrigaes legais em casos de cancelamento (incluindo clusulas de penalidades).
44
SEFTI Fls. 72
AI6 Gerenciar Mudanas Todas as mudanas, incluindo manuteno e correes de emergncia, relativas a infraestrutura e aplicativos do ambiente de produo, devem ser formalmente geridas de maneira controlada; DS1 Definir e Gerenciar Nveis de Servio A comunicao eficaz entre a Direo de TI e os clientes de negcio sobre os servios necessrios possibilitada por um acordo definido e documentado que aborda os servios de TI e os nveis de servio esperados. Este processo tambm inclui monitoramento e relatrio oportuno s partes interessadas quanto ao atendimento dos nveis de servio. Este processo permite o alinhamento entre os servios de TI e os respectivos requisitos do negcio. DS2.2 Gesto do Relacionamento com Fornecedores Formalizar o processo de gesto do relacionamento com cada fornecedor. Os proprietrios dos relacionamentos devem estabelecer ligao entre os clientes e os negcios dos fornecedores e garantir a qualidade do relacionamento com base na confiana e na transparncia (por exemplo, atravs dos acordos de nvel de servio). DS2.4 Monitoramento de Desempenho do Fornecedor Estabelecer um processo para monitorar a prestao do servio de modo a assegurar que o fornecedor atenda aos requisitos atuais do negcio, obedecendo os contratos e acordos de nvel de servio firmados, e que seu desempenho seja competitivo com outros prestadores e condies do mercado. DS3 Gerenciar o Desempenho e a Capacidade A necessidade de gerir a capacidade e o desempenho dos recursos de TI requer um processo de avaliao peridica do desempenho atual e da capacidade desses recursos. Esse processo inclui prever futuras necessidades com base na carga de trabalho e nos requisitos de armazenamento e de contingncia. Esse processo garante que as fontes de informao que suportam os requisitos de negcio estejam continuamente disponveis DS4 Assegurar a Continuidade dos Servios A necessidade de prover servios contnuos de TI requer desenvolvimento, manuteno e teste de planos de continuidade de TI, armazenamento de cpias de segurana em local alternativo e treinamento peridico de planejamento de continuidade. DS5.1 Gesto da Segurana de TI Gerenciar a segurana de TI no mais alto nvel organizacional da empresa de modo que a gesto das aes de segurana esteja em alinhamento com os requisitos de negcio; DS5.2 Plano de Segurana de TI Traduzir os requisitos de negcio, de risco e conformidade, em um plano abrangente de segurana de TI, que leve em considerao a infraestrutura de TI e a cultura de segurana. O plano deve ser implementado em polticas e procedimentos de segurana, juntamente com investimentos adequados em servios, pessoal, Software e hardware. Polticas e procedimentos de segurana devem ser comunicados aos usurios e partes interessadas. DS5.5 Teste de Segurana, Vigilncia e Monitoramento Garantir que a implementao de segurana de TI seja testada e monitorada proativamente. A segurana de TI deve ser revalidada periodicamente para garantir que o nvel de segurana aprovado seja mantido. A funo de monitoramento e registro de eventos (logging) deve possibilitar a preveno e/ou deteco prematura de atividades anormais e incomuns que precisem ser tratadas, bem como a subsequente gerao de relatrios no tempo apropriado; DS5.6 Definio de Incidente de Segurana Definir e comunicar claramente as caractersticas de incidentes de segurana em potencial para que possam ser tratados adequadamente pelos processos de gesto de incidentes ou gesto de problemas. ME2 Monitorar e Avaliar os Controles Internos Estabelecer um programa eficaz de controles internos de TI requer um processo de monitoramento bem definido. Esse processo inclui o monitoramento e reporte das excees de controle, dos resultados de autoavaliao e avaliao SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI 45
de terceiros. Um benefcio importante do monitoramento dos controles internos assegurar uma operao eficaz e eficiente e a conformidade com as leis e os regulamentos aplicveis. ME4 Prover Governana de TI O estabelecimento de uma efetiva estrutura de governana envolve a definio das estruturas organizacionais, dos processos, da liderana, dos papis e respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratgias e os objetivos da organizao. ME4.6 Medio de Desempenho Confirmar se os objetivos acordados de TI foram atingidos ou excedidos ou se o progresso na direo dos objetivos de TI atende as expectativas. Quando os objetivos acordados no foram atingidos ou o progresso no foi como esperado, revisar as aes de remediao da gerncia. Reportar para a Alta Direo os portflios, programas e desempenho de TI relevantes, suportados por relatrios que permitam Alta Direo revisar o progresso da organizao no que diz respeito aos objetivos definidos. 2. Itens da NBR ISO/IEC 27002:2005 referenciados no presente relatrio Poltica de Segurana da Informao NBR ISO/IEC 27002:2005, item 5.1 Poltica de segurana da informao: convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de segurana da informao para toda a organizao; Continuidade de Negcios NBR ISO/IEC 27002:2005, item 14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana da informao: convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio. Classificao das Informaes NBR ISO/IEC 27002:2005, item 7.2 Classificao da informao: convm que a informao seja classificada para indicar a necessidade, prioridades e o nvel esperado de proteo quando do tratamento da informao. Gesto de Incidentes NBR ISO/IEC 27002:2005, item 13.2 Gesto de incidentes de segurana da informao e melhorias: convm que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurana da informao e fragilidades, uma vez que estes tenham sido notificados. Convm que um processo de melhoria contnua seja aplicado s respostas, monitoramento, avaliao e gesto total de incidentes de segurana da informao. Gesto de Mudanas NBR ISO/IEC 27002:2005, item 10.1.2 Gesto de mudanas: convm que modificaes nos recursos de processamento da informao e sistemas sejam controladas; NBR ISO/IEC 27002:2005, item 12.5.1 Procedimentos para controle de mudanas: convm que a implementao de mudanas seja controlada utilizando procedimentos formais de controle de mudanas. Gesto de Capacidade NBR ISO/IEC 27002:2005, item 10.3.1 Gesto de capacidade: convm que a utilizao dos recursos seja monitorada e sincronizada e as projees feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema. Anlise de Riscos NBR ISO/IEC 27002:2005, item 4.1 Analisando/avaliando os riscos de segurana da informao: convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critrios relevantes para a organizao, e que os resultados orientem e
46
SEFTI Fls. 73
determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra estes riscos. rea especfica para tratar de Segurana da Informao NBR ISO/IEC 27002:2005, item 6.1 Infraestrutura da segurana da informao: convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da informao dentro da organizao. Auditoria de TI NBR ISO/IEC 27002:2005, item 15.2 Conformidade com normas e polticas de segurana da informao e conformidade tcnica: convm que a segurana dos sistemas de informao seja analisada criticamente a intervalos regulares; NBR ISO/IEC 27002:2005, item 6.1.8 Anlise crtica independente de segurana da informao: convm que o enfoque da organizao para gerenciar a segurana da informao e a sua implementao [...] seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanas significativas relativas implementao da segurana da informao.
47
Apndice II
Quadros comparativos com dados de 2007 e de 2010
Os dados abaixo consideram apenas as instituies que participaram dos dois levantamentos (223 instituies).
48
SEFTI Fls. 74
Radar - Comparativo 2007/2010

Plan-R1-Planej. Estrat. Institucional Audit-R39-Executaram auditoria de TI Plan-R2-Planej. Estratgico de TI 100,0%
Ora-R37-Controle gastos e disp. or.

Ora-R35-Oramento TI com base aes planejadas
75,0%
Plan-R3-Comit de TI
Pess-R4-Servidores do quadro em TI
Contr-R33-Realiza monitorao tcnica
Pess-R5-Funes comissionadas em TI
Contr-R32-Monitorao adm. contratos pela TI
50,0%
Pess-R7-Carreira de TI
Contr-R29-Designao formal gestor contrato
25,0%
Pess-R8-Competncia p/ sel. Gestores TI
Contr-R28-Processo de gesto contratos

0,0%
Segur-R9-rea segurana informao
Contr-R26-Estima preos em mais de uma fonte
Segur-R10-Plano continuidade negcio
Contr-R25-Explicita benefcios de negcio
Segur-R11-Poltica segurana informao
Contr-R24-Anlise de viabilidade
Segur-R12-Classificao informao
Contr-R23-Processo formal de contratao Nv-R22-Gesto nveis serv. Contratados Nv-R21-Gesto nveis serv. Internos Soft-R19-Processo de software (>=2)
Segur-R13-Anlise de riscos de TI Segur-R15-Gesto de incidentes Seg. Inf. Segur-R17-Gesto de mudanas Segur-R18-Gesto de capacidade
2007
2010
Radar Comparativo 2007 e 2010

49
Apndice III
Tabelas com os resultados consolidados do levantamento 2010
1. As tabelas a seguir consolidam as informaes de todas as organizaes que responderam pesquisa do Perfil de Governana de TI 2010 at a data do fechamento deste relatrio, perfazendo um total de 265 instituies. H, portanto, pequenas diferenas entre os valores aqui informados e aqueles utilizados nos comparativos com o levantamento de 2007, haja vista que, naquelas comparaes, somente foram consideradas as instituies que responderam aos dois levantamentos (223 organizaes). 2. Para as questes formuladas no levantamento de 2010, os quadros apresentam o percentual de respostas positivas de todos os respondentes e tambm separadamente nos segmentos com maior representatividade numrica: Poder Judicirio; EXE-Dest, abrangendo as empresas pblicas federais e as sociedades de economia mista; EXE-Sisp, com instituies que fazem parte do Sistema de Administrao dos Recursos de Informao e Informtica (Sisp). 3. Abaixo, resumo de como se distribuem as instituies respondentes, por segmento:
Levantamento 2010 - distribuio por segmento (n=265) EXE-Dest EXE-Sisp Judicirio Legislativo MPU Outros Total: 49 142 61 3 5 5 265
4. Para algumas questes consideradas relevantes, as informaes dos quadros tambm so apresentadas na forma de grficos, com o objetivo de facilitar a visualizao e interpretao pelo leitor.
50
SEFTI Fls. 75
Questo 1.1
Em relao estrutura de governana de TI, a Alta Administrao da instituio: Se responsabiliza pelo estabelecimento e pelo cumprimento das polticas de gesto e uso corporativos de TI. Designou formalmente um Comit de TI para auxili-la nas decises relativas gesto e ao uso corporativos de TI. Designou representantes de todas as reas relevantes para o negcio institucional para compor o Comit de TI. Monitora regularmente o funcionamento do Comit de TI. Nenhuma das opes anteriores descreve a situao desta instituio.
TODOS
Respostas = sim
EXE-Dest EXE-Sisp Judicirio
49% 52% 39% 23% 17%
59% 47% 41% 20% 20%
48% 54% 38% 21% 16%
43% 54% 41% 30% 15%
Questo 1.2
Em relao ao desempenho organizacional na gesto e no uso de TI, a Alta Administrao da instituio: Estabeleceu indicadores de desempenho de gesto e de uso corporativos de TI. Recebe e avalia regularmente informaes sobre o desempenho relativo gesto e ao uso corporativos de TI. Acompanha os indicadores de benefcio dos principais sistemas de informao e toma decises a respeito quando as metas de benefcio no so atingidas. Estabeleceu objetivos (diretrizes) desempenho de gesto e de corporativos de TI. de uso
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
43%
47%
36%
61%
24%
20%
16%
48%
29%
31%
31%
23%
13%
12%
16%
7%
Nenhuma das opes anteriores descreve a situao desta instituio.
34%
37%
36%
26%
51
Questo 1.3
Em relao ao desenvolvimento interno de gestores de TI, a Alta Administrao da instituio:
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
Prov poltica gestores de TI.
de
desenvolvimento
de
25%
41%
18%
28%
Prioriza (pelo menos 75%) o preenchimento das funes gerenciais com pessoas do quadro efetivo permanente da prpria instituio. Implementa programa de acompanhamento de desempenho gerencial. Escolhe os gestores de TI fundamentalmente com base em suas competncias (p.ex. desempenho profissional, experincia, formao acadmica etc.). Nenhuma das opes anteriores descreve a situao desta instituio.
65%
80%
48%
90%
17%
33%
9%
20%
80%
82%
77%
80%
8%
2%
13%
0%
Questo 1.4
Foi realizada alguma auditoria de TI por iniciativa da prpria instituio nos ltimos trs anos? Em que reas? No foi realizada auditoria de TI de iniciativa da prpria instituio nos ltimos trs anos. Auditoria de dados.
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
54% 14% 24% 29% 20% 10% 8%
27% 39% 57% 59% 55% 35% 14%
65% 9% 15% 18% 11% 4% 4%
52% 5% 20% 25% 15% 7% 8%
Auditoria de segurana da informao.
Auditoria de contratos de TI.
Auditoria de sistemas de informao.
Auditoria de governana de TI.
Outra(s).
52
SEFTI Fls. 76
Questo 2.1
Em relao ao processo de planejamento estratgico institucional, marque a opo que melhor descreve a sua instituio: I) A instituio no executa um processo de planejamento estratgico institucional. II) A instituio desenvolve planos estratgicos, mas no de maneira peridica. III) A instituio executa um processo peridico de planejamento, embora este no esteja formalmente institudo. IV) O processo de planejamento estratgico institucional formalmente (aprovado e publicado) institudo. V) O processo de planejamento estratgico institucional formal acompanhado segundo indicadores e metas estabelecidos. VI) O processo de planejamento estratgico institucional formal aperfeioado continuamente com base na anlise de seus indicadores.
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
9% 12% 17% 26% 24%
8% 22% 4% 22% 20%
12% 15% 27% 23% 14%
2% 2% 0% 38% 48%
12%
22%
9%
11%
Grfico Q21
53
Questo 2.2
Em relao ao processo de planejamento estratgico de TI, marque a opo que melhor descreve a sua instituio: I) A instituio no executa um processo de planejamento estratgico de TI. II) A instituio desenvolve alguns planos estratgicos de TI, mas no de maneira peridica. III) A instituio executa um processo peridico de planejamento, embora este no esteja formalmente institudo. IV) O processo de planejamento estratgico de TI formalmente (aprovado e publicado) institudo. V) O processo de planejamento estratgico de TI formal acompanhado segundo indicadores e metas estabelecidos. VI) O processo de planejamento estratgico de TI formal aperfeioado continuamente com base na anlise de seus indicadores.
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
17%
18%
18%
13%
16%
22%
20%
5%
28%
27%
32%
15%
27%
18%
20%
52%
8%
6%
8%
11%
3%
8%
2%
3%
Grfico Q22
54
SEFTI Fls. 77
Questo 2.3
Em relao ao PDTI (Plano Diretor de Tecnologia da Informao): A instituio no aprovou e nem publicou PDTI interna ou externamente. O PDTI vincula as aes de TI a indicadores e metas de negcio. O PDTI vincula os custos de TI a atividades e projetos de TI. O PDTI publicado na internet para acesso livre. O PDTI vincula as aes de TI a indicadores e metas de servios ao cidado.
TODOS
Respostas = sim
63% 25% 23% 7% 2%
59% 29% 16% 6% 0%
56% 28% 31% 10% 2%
79% 20% 13% 3% 5%
Questo 2.4
Em relao ao processo decisrio de priorizao das aes e gastos de TI, assinale a opo que melhor descreve sua instituio: I) As decises acerca da priorizao das aes e gastos de TI so tomadas pela rea de TI.
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
14%
16%
13%
13%
II) As decises acerca da priorizao das aes e gastos de TI so tomadas pelo Comit de TI. III) As decises acerca da priorizao das aes e gastos de TI so tomadas pela Alta Administrao da instituio, sem apoio de Comit de TI ou da rea de TI. IV) As decises acerca da priorizao das aes e gastos de TI so tomadas pela Alta Administrao da instituio, com apoio da rea de TI como instncia consultiva. V) As decises acerca da priorizao das aes e gastos de TI so tomadas pela Alta Administrao da instituio, com apoio do Comit de TI como instncia consultiva.
13%
12%
15%
11%
2%
0%
4%
0%
54%
57%
54%
54%
17%
14%
14%
21%
55
Questo 3.1
Em relao ao atendimento ao Decreto n 6.932/2009:
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
I) No aplicvel a esta instituio.
57%
88%
30%
89%
II) A instituio ainda no publicou a sua Carta de Servios ao Cidado. III) A instituio est providenciando a publicao da sua Carta de Servios ao Cidado para 2010, sem incluir servios de TI. IV) A instituio est providenciando a publicao da sua Carta de Servios ao Cidado para 2010 e incluir servios de TI. V) A instituio j publicou a sua Carta de Servios ao Cidado, mas no incluiu servios de TI. VI) A instituio j publicou a sua Carta de Servios ao Cidado e incluiu servios de TI.
25%
10%
41%
7%
3%
0%
5%
0%
13%
2%
23%
2%
1%
0%
1%
2%
1%
0%
1%
2%
56
SEFTI Fls. 78
Questo 4.1
Em relao ao atendimento aos interesses da sociedade, a instituio: Adota poltica formal de TI para conservao de recursos no renovveis, preservao dos ecossistemas e a otimizao do uso dos recursos renovveis (p. ex. economia de insumos fsicos, de energia eltrica etc.).
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
36%
29%
33%
48%
4.1. Em relao ao atendimento aos interesses da sociedade, a instituio:
TODOS
48% 36% 29% 33%
EXE-Dest EXE-Sisp Jud.
adota poltica formal de TI para conservao de recursos no renovveis, preservao dos ecossistemas e a otimizao do uso dos recursos renovveis ...
Grfico Q41
57
Questo 6.1
Qual o quantitativo de funes comissionadas voltadas gesto de TI? ________ quantitativo total de funes comissionadas de gerenciamento e assessoramento especficas para gesto de TI. ________ funes preenchidas por servidores pblicos efetivos oriundos de outras instituies. ________ funes preenchidas por servidores efetivos da instituio. ________ funes preenchidas por pessoas que no so servidores efetivos. ________ outra(s) situao(es).
Respostas
Respostas especficas de cada instituio (os grficos abaixo mostram alguns resultados consolidados)
Possui Equipe de Gestores de TI (>1)

100%
90% 86% 85%

Todos EXE-Sisp EXE-Dest Jud
Grfico Q61.I
58
SEFTI Fls. 79
Grfico Q61.II
Questo 6.2
Qual o quantitativo de pessoas que compem a fora de trabalho em TI? ________ quantitativo total da fora de trabalho em TI. ________ servidores pblicos efetivos da carreira de TI da prpria instituio. ________ servidores pblicos efetivos de outras carreiras (que no TI) da prpria instituio. ________ servidores pblicos cedidos de outras instituies pblicas. ________ servidores pblicos no efetivos em cargos de livre nomeao. ________ estagirios. ________ terceirizados que trabalham regularmente no ambiente da instituio (contratos de servios continuados com cesso de mo de obra). ________ terceirizados que trabalham no ambiente da instituio para execuo de projetos de tempo determinado. ________ outro(s).
Respostas
59
Grfico Q62.I
Grfico Q62.II
60
SEFTI Fls. 80
Questo 6.3
Em relao ao plano de capacitao de pessoal para gesto de TI, assinale a opo que melhor descreve sua instituio: I) No h critrio definido para avaliao e atendimento aos pedidos de capacitao em gesto de TI. II) realizada capacitao em gesto de TI do pessoal recm-ingresso, e a partir de ento somente quando necessrio. III) A instituio elabora e executa um plano de capacitao para atender s necessidades de capacitao em gesto de TI. IV) A instituio mede o cumprimento do plano de capacitao e consegue identificar e corrigir desvios na sua execuo. V) A instituio avalia e melhora o plano da capacitao dos gestores de TI de acordo com as melhores prticas da Administrao Pblica e da iniciativa privada.
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
45%
37%
47%
48%
15%
12%
18%
10%
33%
35%
27%
39%
3%
8%
2%
2%
5%
8%
5%
2%
Grfico Q63
61
Questo 6.4
Em relao qualificao do atual principal dirigente responsvel pela gesto de TI na instituio, quais dos elementos abaixo ele possui: Experincia em gesto de TI. Quantos anos?
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
76%
76%
69%
87%
Curso superior (em qualquer rea no relacionada TI).
54%
67%
47%
62%
Curso superior relacionada TI).
(em
qualquer
rea
45%
41%
44%
46%
Ps-graduao lato sensu (especializao) no relacionada TI.
29%
39%
23%
34%
Ps-graduao lato sensu (especializao) em TI, exceto gesto ou governana de TI.
31%
29%
29%
31%
Ps-graduao lato sensu (especializao) em gesto ou governana de TI. Ps-graduao stricto sensu (mestrado/doutorado/ps-doutorado) no relacionada TI. Ps-graduao stricto sensu (mestrado/doutorado/ps-doutorado) em TI, exceto gesto ou governana de TI. Ps-graduao stricto sensu (mestrado/doutorado/ps-doutorado) em gesto ou governana de TI. Certificados profissionais (CGEIT, CobiT, PMP, ITIL, CISM, CISA etc.). Quais? outros elementos de qualificao considerados relevantes. Outros elementos de qualificao considerados relevantes.
19%
22%
13%
20%
7%
8%
9%
2%
14%
8%
19%
7%
5%
2%
4%
5%
12%
14%
10%
13%
25%
20%
23%
34%
62
SEFTI Fls. 81
Questo 7.1
A instituio implementou formalmente (aprovou e publicou) os processos corporativos de segurana da informao abaixo relacionados? Inventariar todos os ativos de informao (dados, hardware, software e instalaes).
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
26%
37%
29%
10%
Classificar a informao para o negcio (p.ex. divulgao ostensiva ou restrita). Analisar os riscos aos quais a informao crtica para o negcio est submetida, considerando, pelo menos, confidencialidade, integridade e disponibilidade. Gerenciar os incidentes de segurana da informao.
11%
24%
11%
3%
17%
31%
13%
15%
25%
41%
25%
11%
63
Questo 7.2
A instituio formalizou (aprovou e publicou):
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
A poltica corporativa de segurana da informao. A designao de responsvel(is) por implantar e acompanhar a poltica corporativa de segurana da informao.
35%
57%
20%
51%
40%
51%
27%
62%
A instituio formalizou (aprovou e publicou):

100%
62% 57% 50% 35% 20%

51%
51% 40% 27%
TODOS
EXE-Dest EXE-Sisp Jud.
0%
A poltica corporativa de segurana da informao
A designao de responsvel(is) por implantar e acompanhar a poltica corporativa de segurana da informao

Grfico Q72
64
SEFTI Fls. 82
Questo 7.3
Em que nvel de capacidade/maturidade melhor se enquadra o seu atual processo de software? Obs.: com base na ABNT NBR ISO/IEC 15.504. 0 - Ad hoc (no h processo e nem conceito de qualidade do processo). 1 - Inicial (no h processo nem seu controle, mas j h conceitos de qualidade de processo em implantao). 2 - Gerenciado (h um processo informal repetido vrias vezes e que implementa conceitos de qualidade de processo). 3 - Definido (h um processo formal aprovado e publicado e obrigatrio). 4 - Mensurado (o processo controlado por meio de mensuraes e h metas de processo a cumprir). 5 - Em otimizao (o processo periodicamente revisado e melhorado com base nas suas mensuraes).
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
18% 34% 27%
16% 22% 29%
20% 32% 26%
18% 49% 26%
17%
27%
18%
7%
2%
2%
3%
0%
1%
4%
1%
0%
Grfico Q73
65
Questo 7.4
Em relao ao processo gerenciamento de projetos: de
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
I) A instituio no pratica o gerenciamento de projetos. II) A instituio pratica o gerenciamento de projetos, mas no adota qualquer padro interno ou de mercado. III) A instituio formalizou (aprovou e publicou) um padro interno ou de mercado para gerenciamento de projetos. IV) A instituio acompanha e mede o processo de gerenciamento de projetos. V) A instituio melhora o processo de gerenciamento de projetos com base nas mensuraes internas e nas melhores prticas de mercado.
21%
12%
26%
21%
48%
47%
49%
46%
20%
27%
15%
23%
3%
6%
2%
2%
8%
8%
8%
8%
Grfico Q74
66
SEFTI Fls. 83
Questo 7.5
Respostas
Quais os cinco projetos de TI de maior valor oramentrio alocado em 2010?
Respostas especficas de cada instituio
Questo 7.6
A instituio corporativamente os gesto de servios relacionados? implementou processos de de TI abaixo
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
Obs.: conceitos baseados na biblioteca ITIL v.3.
Gesto de mudanas Constituiu um comit tcnico de gesto de mudanas Gesto de capacidade Gesto de nvel de servio Gesto de problemas Tem base de conhecimento de apoio gesto de problemas e incidentes Gesto de incidentes Gesto de configurao Tem base de dados de gesto da configurao do ambiente computacional Gesto financeira Gesto de disponibilidade Gesto de continuidade Tem plano de continuidade de negcio em vigor (aprovado e publicado) Gesto de liberao
18% 9% 6% 16% 18% 12% 26% 16% 11% 11% 12% 6% 3% 8%
35% 16% 16% 18% 22% 16% 35% 22% 16% 14% 12% 10% 8% 20%
18% 9% 5% 20% 19% 12% 22% 20% 13% 11% 13% 6% 1% 6%
5% 2% 3% 5% 15% 13% 30% 5% 3% 8% 8% 5% 3% 5%
67
7.6. A instituio implementou os processos de gesto de servios de TI abaixo?

(baseados na biblioteca ITIL v.3)
50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0%
TODOS EXE-Dest EXE-Sisp Jud.
an a s
nf ig ur a o
ad e
Ca pa cid
Se rv i
cid e
na n
ud
ilid
Pr ob
in u
In
Fi
Di sp on
N ve ld
nt
de
Co
t o
de
de
de
Co
t o
t o
Ge s
t o
t o
de
de
Ge s
Ge s
Ge s
Ge s
t o
Ge s
t o
Ge s
Grfico Q76-ITIL por segmento
Ge s
Ge s
t o
Ge s
de
t o
t o
de
de
Lib
ib
er a o
ce ira
as
es
ad e
le m
id ad e
nt
68
SEFTI Fls. 84
DEFICINCIAS EM GESTO DE TI RELATIVAS AOS PROCESSOS ITIL

NO implementou processo de gesto de nvel dos servios prestados NO implementou processo de gesto de mudanas NO implementou processo de gesto de capacidade NO implementou processo de gesto de problemas
NO implementou processo de gesto de incidentes
74% 84% 89% 88% 94% 92% 0% 20% 40% 60% 80% 100% 82% 84% 82% 94%
NO implementou processo de gesto de configurao

NO implementou processo de gesto de financeira
NO implementou processo de gesto de disponibilidade

NO implementou processo de gesto de continuidade
NO implementou processo de gesto de liberao
Grfico Q76-ITIL
69
Questo 7.7
Em relao gesto de nvel de servio de TI:
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
I) No h um portflio formal (aprovado e publicado) dos servios oferecidos aos clientes. II) H um portflio formal e atualizado dos servios oferecidos aos clientes. III) Alm do item anterior, os nveis dos servios oferecidos nesse portflio so monitorados pela rea de TI. IV) Alm do item anterior, so feitos Acordos de Nvel de Servio (ANS) formais com as reas de negcio clientes. V) Alm do item anterior, os ANS so monitorados formalmente e seus resultados relatados periodicamente aos clientes. VI) Alm do item anterior, os resultados do monitoramento so usados para melhorar os ANS.
78%
71%
77%
89%
13%
14%
13%
10%
6%
4%
8%
2%
2%
4%
3%
0%
1%
0%
0%
0%
0%
0%
0%
0%
Grfico Q77
70
SEFTI Fls. 85
Questo 7.8
Em relao s contrataes de servios de TI: (usualmente ou sempre) Nos autos so explicitadas as necessidades de negcio que se pretende atender com a contratao. Nos autos so explicitados os indicadores dos benefcios de negcio que sero alcanados. Nos autos so feitos estudos tcnicos preliminares para avaliar a viabilidade da contratao. A anlise dos benefcios reais j obtidos usada como critrio para prorrogar, ou no, o contrato.
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
89%
90%
87%
93%
43%
45%
46%
36%
62%
57%
63%
56%
72%
78%
70%
77%
71
Questo 7.9
Em relao s licitaes de TI publicadas em 2009: Houve licitao em que a empresa mais bem classificada era estrangeira e veio a perder o certame por causa do exerccio do direito de preferncia em favor de licitante concorrente (art. 5 do Decreto n 1.070/1994)? ________ nmero total de licitaes de TI. ________ nmero de licitaes por prego presencial. ________ nmero de licitaes por prego eletrnico. ________ nmero de adeses (em 2009) a atas de registro de preo licitadas (em 2009 ou 2008) e gerenciadas por outras instituies (carona). ________ nmero de participaes (desde o planejamento) em registro de preo licitadas (em 2009) e gerenciados por outras instituies (participante). ________ nmero de licitaes para registro de preo que licitou (em 2009) e gerenciou e nas quais havia outras instituies participantes desde o planejamento da licitao (RP conjunto). ________ nmero de licitaes para registro de preo que licitou (em 2009) e gerenciou e nas quais NO havia outras instituies participantes desde o planejamento da licitao (RP solitrio), com ou sem caronas.
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
Leg.
MPU
0%
0%
1%
0%
0%
0%
72
SEFTI Fls. 86
Grfico Q79-IUP
Grfico Q79-IARP
73
Questo 7.10
Em relao fase de planejamento da contratao em TI, em qual das descries abaixo a instituio se encaixa melhor? I) As contrataes de TI so feitas conforme os procedimentos legais e medida que as demandas vo surgindo. II) Alm dos procedimentos legais, h procedimentos internos que auxiliam na padronizao do processo de planejamento das contrataes. III) Alm dos procedimentos legais, h processo de trabalho para planejar as contrataes de TI, publicado como norma prpria e de cumprimento obrigatrio. IV) Alm do item anterior, o cumprimento do processo de planejamento da contratao medido e controlado. V) Alm do item anterior, o processo de planejamento melhorado com base nas mensuraes obtidas.
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
38%
39%
44%
30%
46%
33%
43%
57%
10%
16%
8%
10%
4%
8%
4%
0%
2%
4%
1%
3%
Grfico Q710
74
SEFTI Fls. 87
Questo 7.11
Em relao fase de gesto dos contratos de TI, em qual das descries abaixo a instituio se encaixa melhor? I) As diretrizes legais so observadas, mas h grande variao nos procedimentos adotados. II) As diretrizes legais so observadas e os procedimentos reconhecidos como boas prticas so disseminados internamente e praticados. III) Alm do item anterior, o processo de gesto de contratos formalizado (aprovado e publicado) em norma prpria e de cumprimento obrigatrio. IV) Alm do item anterior, o cumprimento do processo de gesto de contratos publicado medido e controlado. V) Alm do item anterior, o processo de gesto de contratos melhorado com base nas mensuraes obtidas.
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
32%
35%
32%
31%
36%
20%
45%
31%
22%
33%
13%
30%
6%
6%
6%
7%
3%
6%
4%
2%
Grfico Q711
75
Questo 7.12
Em relao aos papis gestor de contrato e fiscal de contrato de servios de TI: Esses papis so considerados distintos um do outro
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
52%
49%
60%
41%
Esses papis equivalentes
so
considerados
48%
51%
40%
59%
H norma interna que defina as atribuies do papel?
45%
78%
31%
49%
designado formalmente?
63%
84%
57%
64%
GESTOR
So designadas somente pessoas treinadas para o papel?
25%
37%
21%
21%
H programa de capacitao especfico para o exerccio do papel? H algum tipo de compensao financeira adicional pelo exerccio do papel? H norma interna que defina as atribuies do papel?
24%
29%
22%
20%
3%
4%
5%
0%
41%
55%
35%
49%
designado formalmente?
66%
65%
68%
69%
FISCAL
So designadas somente pessoas treinadas para o papel?
23%
33%
22%
18%
H programa de capacitao especfico para o exerccio do papel? H algum tipo de compensao financeira adicional pelo exerccio do papel?
20%
18%
20%
20%
1%
2%
1%
0%
76
SEFTI Fls. 88
Questo 7.13
Em relao gesto de contratos de servios de TI, de quem a responsabilidade por: Monitorar a execuo contratual do ponto de vista de resultados de negcio?
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
35% 5% 6% 10% 10% 10%
43% 6% 8% 6% 10% 8%
39% 3% 8% 14% 11% 11%
16% 7% 3% 7% 5% 11%
rea de negcio ra administrativa
Monitorar o cumprimento das clusulas contratuais e das obrigaes fiscais, comerciais, trabalhistas e previdencirias? Monitorar a execuo tcnica dos servios contratados? Gerir o contrato com base em resultados (Decreto n 2.271/1997, art. 6)? Acompanhar e fiscalizar o contrato (Lei n 8.666/1993, art. 67)? Monitorar a execuo contratual do ponto de vista de resultados de negcio? Monitorar o cumprimento das clusulas contratuais e das obrigaes fiscais, comerciais, trabalhistas e previdencirias? Monitorar a execuo tcnica dos servios contratados? Gerir o contrato com base em resultados (Decreto n 2.271/1997, art. 6)? Acompanhar e fiscalizar o contrato (Lei n 8.666/1993, art. 67)? Monitorar a execuo contratual do ponto de vista de resultados de negcio? Monitorar o cumprimento das clusulas contratuais e das obrigaes fiscais, comerciais, trabalhistas e previdencirias? Monitorar a execuo tcnica dos servios contratados? Gerir o contrato com base em resultados (Decreto n 2.271/1997, art. 6)? Acompanhar e fiscalizar o contrato (Lei n 8.666/1993, art. 67)?
75% 3% 19%
65% 4% 12%
73% 5% 26%
80% 0% 11%
38% 65% 52% 93% 61% 83%
37% 61% 61% 96% 61% 92%
46% 60% 46% 89% 60% 75%
23% 80% 56% 100% 64% 95%
rea de TI
77
Questo 7.14
Em contrataes de TI, quais fontes de informao sobre preos so usadas em cada caso? (usualmente ou sempre) Cotao de fornecedores preos junto a
TODOS
Respostas = sim
93% 56% 33% 53% 63% 64%
96% 37% 27% 27% 37% 51% 69% 33% 20% 22% 22% 39% 63% 31% 18% 20% 16% 39%
89% 56% 36% 58% 68% 65% 74% 46% 29% 44% 46% 46% 65%
42%
97% 64% 31% 59% 70% 70% 85% 54% 23% 51% 57% 54% 77% 48% 26% 52% 54% 54%
Preos em contrataes similares de outras instituies pblicas
Contrataes
Tabelas de preos divulgadas na mdia especializada Pesquisa em stios de eletrnicas governamentais compras
Atas de registro de preo em vigor Consulta a stios de fornecedores na Internet Cotao de fornecedores preos junto a
77% 46% 26% 42% 45% 48%
Prorrogaes
Atas de registro de preo em vigor Consulta a stios de fornecedores na Internet Cotao de fornecedores preos junto a
68% 42% 26% 40% 41% 45%
Repactuaes
29% 40% 42% 41%
Atas de registro de preo em vigor Consulta a stios de fornecedores na Internet
78
SEFTI Fls. 89
Questo 7.15
Em relao oramentao e execuo da despesa de TI: A solicitao de oramento de TI feita com base na estimativa dos custos das contrataes previstas. H alocao de custos de TI por rea de negcio.
Respostas = sim
TODOS
EXE-Dest
EXE-Sisp
Judicirio
81%
88%
72%
93%
14%
24%
15%
7%
A execuo da despesa acompanhada pela rea de TI.
de
TI
70%
84%
58%
89%
A execuo da despesa de TI acompanhada pela Alta Administrao da instituio. A classificao das despesas de TI de responsabilidade da rea TI. A classificao das despesas de TI de responsabilidade da rea contbil/oramentria da instituio. A gesto do oramento de TI centralizada na rea de TI.
70%
80%
62%
84%
17%
22%
16%
13%
72%
80%
63%
84%
25%
49%
14%
28%
79
DEFICINCIAS RELEVANTES EM GOVERNANA E GESTO DE TI

A Alta Adm. NO se responsabiliza pelas polticas de TI A Alta Adm. NO designou formalmente um comit de TI A Alta Adm. NO monitora o funcionamento do comit de TI A Alta Adm. NO estabeleceu objetivos de desempenho de gesto e uso de TI
57% 76% 71% 83% 87% 63%
53% 74% 89% 83% 75% 51% 48% 77%
A Alta Adm. NO definiu indicadores de desempenho de gesto e uso de TI A Alta Adm. NO avalia regularmente o desempenho da gesto e uso de TI A Alta Adm. NO acompanha o desempenho dos gestores de TI A Alta Adm. NO acompanha os indicadores de benefcios dos principais sist. de informao NO aprovou e nem publicou PDTI interna ou externamente NO h processo de software ao menos "gerenciado" NO inventaria todos os ativos de informao (dados, hardware, software e instalaes)
NO classifica a informao para o negcio NO analisa os riscos aos quais a informao crtica para o negcio est submetida NO gerencia os incidentes de segurana da informao NO h poltica corporativa de segurana da informao
65%
NO h plano de continuidade de negcio em vigor NO h processo de contratao formalizado NO h processo de gesto de contratos formalizado NO explicita benefcios de negcios nas contrataes
0% 20% 40%
97% 84% 69% 57%

60% 80% 100%
Grfico Deficincias Relevantes

80
SEFTI Fls. 90
Apndice IV
Lista de instituies que responderam o questionrio at 16/07/2010 Nome da Instituio
ADVOCACIA-GERAL DA UNIO AGNCIA BRASILEIRA DE COOPERAO AGNCIA BRASILEIRA DE INTELIGNCIA AGNCIA NACIONAL DE GUAS AGNCIA NACIONAL DE AVIAO CIVIL AGNCIA NACIONAL DE ENERGIA ELTRICA AGNCIA NACIONAL DE SADE SUPLEMENTAR AGNCIA NACIONAL DE TELECOMUNICAES AGNCIA NACIONAL DE TRANSPORTES AQUAVIRIOS AGNCIA NACIONAL DE TRANSPORTES TERRESTRES AGNCIA NACIONAL DE VIGILNCIA SANITRIA AGNCIA NACIONAL DO CINEMA AGNCIA NACIONAL DO PETRLEO AMAZONAS DISTRIBUIDORA DE ENERGIA S/A ARQUIVO NACIONAL ASSOCIAO BRASILEIRA DE TECNOLOGIA DE LUZ SNCROTRON ASSOCIAO DAS PIONEIRAS SOCIAIS ASSOCIAO DE COMUNICAO EDUCATIVA ROQUETTE PINTO BANCO CENTRAL DO BRASIL BANCO DA AMAZNIA S.A. BANCO DO BRASIL S.A. BANCO DO NORDESTE DO BRASIL S.A. BANCO NACIONAL DE DESENVOLVIMENTO ECNOMICO E SOCIAL CAIXA ECONMICA FEDERAL CMARA DOS DEPUTADOS CASA CIVIL DA PRESIDNCIA DA REPBLICA CASA DA MOEDA DO BRASIL CENTRAIS ELTRICAS BRASILEIRAS S.A. CENTRAIS ELTRICAS DE RONDNIA S.A. CENTRAIS ELTRICAS DO NORTE DO BRASIL S.A. COBRA TECNOLOGIA S.A. COMISSO DE VALORES MOBILIRIOS COMISSO EXECUTIVA DO PLANO DA LAVOURA CACAUEIRA COMPANHIA BRASILEIRA DE TRENS URBANOS COMPANHIA DE DESENVOLVIMENTO DOS VALES DO SO FRANCISCO E DO PARNABA COMPANHIA DE ENTREPOSTOS E ARMAZNS GERAIS DE SO PAULO COMPANHIA DE GERAO TRMICA DE ENERGIA ELTRICA COMPANHIA DE PESQUISA DE RECURSOS MINERAIS COMPANHIA DOCAS DO CEAR S.A. COMPANHIA DOCAS DO ESPRITO SANTO S.A. COMPANHIA DOCAS DO ESTADO DA BAHIA S.A. COMPANHIA DOCAS DO ESTADO DE SO PAULO S.A.
81
Nome da Instituio
COMPANHIA DOCAS DO MARANHO S.A. COMPANHIA DOCAS DO PAR S.A. COMPANHIA DOCAS DO RIO GRANDE DO NORTE S.A. COMPANHIA HIDROELTRICA DO SO FRANCISCO COMPANHIA NACIONAL DE ABASTECIMENTO CONSELHO DA JUSTIA FEDERAL CONSELHO NACIONAL DE DESENVOLVIMENTO CIENTFICO E TECNOLGICO CONSELHO NACIONAL DE JUSTIA CONSELHO NACIONAL DO MINISTRIO PBLICO CONSELHO SUPERIOR DA JUSTIA DO TRABALHO CONTROLADORIA-GERAL DA UNIO COORDENAO DE APERFEIOAMENTO DE PESSOAL DE NVEL SUPERIOR DEPARTAMENTO DE POLCIA FEDERAL DEPARTAMENTO DE POLCIA RODOVIRIA FEDERAL DEPARTAMENTO NACIONAL DE INFRA-ESTRUTURA DE TRANSPORTES DEPARTAMENTO NACIONAL DE OBRAS CONTRA AS SECAS DEPARTAMENTO NACIONAL DE PRODUO MINERAL DEPARTAMENTO NACIONAL DE REGISTRO DO COMRCIO DEPARTAMENTO NACIONAL DE TRNSITO ELETROBRAS DISTRIBUIO PIAU ELETROBRS TERMONUCLEAR S.A. ELETROSUL CENTRAIS ELETRICAS S.A. EMPRESA BRASILEIRA DE COMUNICACO S.A. EMPRESA BRASILEIRA DE CORREIOS E TELGRAFOS EMPRESA BRASILEIRA DE INFRA-ESTRUTURA AEROPORTURIA EMPRESA BRASILEIRA DE PESQUISA AGROPECURIA EMPRESA DE PESQUISA ENERGTICA EMPRESA DE TECNOLOGIA E INFORMAES DA PREVIDNCIA SOCIAL EMPRESA DE TRENS URBANOS DE PORTO ALEGRE S.A. EMPRESA GERENCIAL DE PROJETOS NAVAIS EMPRESA GESTORA DE ATIVOS ESCOLA DE ADMINISTRAO FAZENDRIA FINANCIADORA DE ESTUDOS E PROJETOS FUNDAO ALEXANDRE DE GUSMO FUNDAO BANCO DO BRASIL FUNDAO BIBLIOTECA NACIONAL FUNDAO CASA DE RUI BARBOSA FUNDAO CULTURAL PALMARES FUNDAO ESCOLA NACIONAL DE ADMINISTRAO PBLICA FUNDAO INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATSTICA FUNDAO NACIONAL DE ARTES FUNDAO NACIONAL DE SADE FUNDAO OSRIO FUNDAO OSWALDO CRUZ
82
SEFTI Fls. 91
Nome da Instituio
FUNDAO UNIVERSIDADE DE BRASLIA FUNDAO UNIVERSIDADE DO AMAZONAS FUNDAO UNIVERSIDADE FEDERAL DE MATO GROSSO FUNDAO UNIVERSIDADE FEDERAL DE MATO GROSSO DO SUL FUNDAO UNIVERSIDADE FEDERAL DE OURO PRETO FUNDAO UNIVERSIDADE FEDERAL DE PELOTAS FUNDAO UNIVERSIDADE FEDERAL DE RONDNIA FUNDAO UNIVERSIDADE FEDERAL DE RORAIMA FUNDAO UNIVERSIDADE FEDERAL DE SERGIPE FUNDAO UNIVERSIDADE FEDERAL DE UBERLNDIA FUNDAO UNIVERSIDADE FEDERAL DO PIAU FUNDAO UNIVERSIDADE FEDERAL DO RIO GRANDE FUNDAO UNIVERSIDADE FEDERAL DO TOCANTINS FUNDAO UNIVERSIDADE FEDERAL DO VALE DO SO FRANCISCO FUNDO NACIONAL DE DESENVOLVIMENTO DA EDUCAO FURNAS CENTRAIS ELTRICAS S.A. GRUPO HOSPITALAR CONCEIO HOSPITAL DE CLNICAS DE PORTO ALEGRE HOSPITAL DOS SERVIDORES DO ESTADO/RJ IMPRENSA NACIONAL INDSTRIA DE MATERIAL BLICO DO BRASIL INDSTRIAS NUCLEARES DO BRASIL S.A. INSTITUTO BENJAMIN CONSTANT INSTITUTO BRASILEIRO DE TURISMO INSTITUTO BRASILEIRO DO MEIO AMBIENTE E DOS RECURSOS NATURAIS RENOVVEIS INSTITUTO DE PESQUISA ECONMICA APLICADA INSTITUTO DE PESQUISAS JARDIM BOTNICO DO RIO DE JANEIRO INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL INSTITUTO EVANDRO CHAGAS INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL INSTITUTO NACIONAL DE CARDIOLOGIA LARANJEIRAS/RJ INSTITUTO NACIONAL DE COLONIZAO E REFORMA AGRRIA INSTITUTO NACIONAL DE EDUCAO DE SURDOS INSTITUTO NACIONAL DE METEOROLOGIA INSTITUTO NACIONAL DE METROLOGIA, NORMALIZAO E QUALIDADE INDUSTRIAL INSTITUTO NACIONAL DE PESQUISAS DA AMAZNIA INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAO INSTITUTO NACIONAL DE TRAUMATO-ORTOPEDIA INSTITUTO NACIONAL DO CNCER IRB-BRASIL RESSEGUROS S.A. MINISTRIO DA AGRICULTURA, PECURIA E ABASTECIMENTO MINISTRIO DA CINCIA E TECNOLOGIA MINISTRIO DA CULTURA MINISTRIO DA DEFESA
83
Nome da Instituio
MINISTRIO DA DEFESA / COMANDO DA AERONUTICA MINISTRIO DA DEFESA / COMANDO DA MARINHA MINISTRIO DA DEFESA / COMANDO DO EXRCITO MINISTRIO DA EDUCAO MINISTRIO DA FAZENDA MINISTRIO DA INTEGRAO NACIONAL MINISTRIO DA JUSTIA MINISTRIO DA PESCA E AQUICULTURA MINISTRIO DA PREVIDNCIA SOCIAL MINISTRIO DA SADE MINISTRIO DAS CIDADES MINISTRIO DAS COMUNICAES MINISTRIO DAS MINAS E ENERGIA MINISTRIO DAS RELAES EXTERIORES MINISTRIO DO DESENVOLVIMENTO AGRRIO MINISTRIO DO DESENVOLVIMENTO SOCIAL MINISTRIO DO DESENVOLVIMENTO, INDSTRIA E COMRCIO MINISTRIO DO ESPORTE MINISTRIO DO MEIO AMBIENTE MINISTRIO DO PLANEJAMENTO, ORAMENTO E GESTO MINISTRIO DO TRABALHO E EMPREGO MINISTRIO DO TURISMO MINISTRIO DOS TRANSPORTES MINISTRIO PBLICO DO DISTRITO FEDERAL E DOS TERRITRIOS MINISTRIO PBLICO DO TRABALHO MINISTRIO PBLICO FEDERAL MINISTRIO PBLICO MILITAR NUCLEBRAS EQUIPAMENTOS PESADOS S.A. PETROBRAS DISTRIBUIDORA S.A. PETROBRAS TRANSPORTE S.A. PETRLEO BRASILEIRO S.A. PROCURADORIA GERAL DA FAZENDA NACIONAL REDE NACIONAL DE ENSINO E PESQUISA REFINARIA ALBERTO PASQUALINI S.A. SECRETARIA DA RECEITA FEDERAL DO BRASIL SECRETARIA DE ACOMPANHAMENTO ECONMICO SECRETARIA DO TESOURO NACIONAL SECRETARIA ESPECIAL DE POLTICAS DE PROMOO DA IGUALDADE RACIAL SECRETARIA ESPECIAL DE POLTICAS PARA AS MULHERES SENADO FEDERAL SUPERINTENDNCIA DA ZONA FRANCA DE MANAUS SUPERINTENDNCIA DE DESENVOLVIMENTO DA AMAZNIA SUPERINTENDNCIA DE DESENVOLVIMENTO DO NORDESTE SUPERINTENDNCIA DE SEGUROS PRIVADOS
84
SEFTI Fls. 92
Nome da Instituio
SUPERIOR TRIBUNAL MILITAR SUPREMO TRIBUNAL FEDERAL TRANSPORTADORA BRAS. GASODUTO BOLVIA-BRASIL S.A. TRIBUNAL DE CONTAS DA UNIO TRIBUNAL DE JUSTIA DO DISTRITO FEDERAL E TERRITRIOS TRIBUNAL REGIONAL DO TRABALHO 10 REGIO/DF TRIBUNAL REGIONAL DO TRABALHO 12 REGIO/SC TRIBUNAL REGIONAL DO TRABALHO 13 REGIO/PB TRIBUNAL REGIONAL DO TRABALHO 14 REGIO/AC-RO TRIBUNAL REGIONAL DO TRABALHO 15 REGIO/CAMPINAS/SP TRIBUNAL REGIONAL DO TRABALHO 16 REGIO/MA TRIBUNAL REGIONAL DO TRABALHO 17 REGIO/ES TRIBUNAL REGIONAL DO TRABALHO 18 REGIO/GO TRIBUNAL REGIONAL DO TRABALHO 19 REGIO/AL TRIBUNAL REGIONAL DO TRABALHO 1 REGIO/RJ TRIBUNAL REGIONAL DO TRABALHO 20 REGIO/SE TRIBUNAL REGIONAL DO TRABALHO 21 REGIO/RN TRIBUNAL REGIONAL DO TRABALHO 22 REGIO/PI TRIBUNAL REGIONAL DO TRABALHO 23 REGIO/MT TRIBUNAL REGIONAL DO TRABALHO 24 REGIO/MS TRIBUNAL REGIONAL DO TRABALHO 2 REGIO/SP TRIBUNAL REGIONAL DO TRABALHO 3 REGIO/MG TRIBUNAL REGIONAL DO TRABALHO 4 REGIO/RS TRIBUNAL REGIONAL DO TRABALHO 5 REGIO/BA TRIBUNAL REGIONAL DO TRABALHO 6 REGIO/PE TRIBUNAL REGIONAL DO TRABALHO 7 REGIO/CE TRIBUNAL REGIONAL DO TRABALHO 8 REGIO/PA TRIBUNAL REGIONAL DO TRABALHO 9 REGIO/PR TRIBUNAL REGIONAL ELEITORAL/AC TRIBUNAL REGIONAL ELEITORAL/AL TRIBUNAL REGIONAL ELEITORAL/AM TRIBUNAL REGIONAL ELEITORAL/AP TRIBUNAL REGIONAL ELEITORAL/BA TRIBUNAL REGIONAL ELEITORAL/CE TRIBUNAL REGIONAL ELEITORAL/ES TRIBUNAL REGIONAL ELEITORAL/GO TRIBUNAL REGIONAL ELEITORAL/MA TRIBUNAL REGIONAL ELEITORAL/MG TRIBUNAL REGIONAL ELEITORAL/MS TRIBUNAL REGIONAL ELEITORAL/MT TRIBUNAL REGIONAL ELEITORAL/PA TRIBUNAL REGIONAL ELEITORAL/PE TRIBUNAL REGIONAL ELEITORAL/PI TRIBUNAL REGIONAL ELEITORAL/PR
85
Nome da Instituio
TRIBUNAL REGIONAL ELEITORAL/RJ TRIBUNAL REGIONAL ELEITORAL/RN TRIBUNAL REGIONAL ELEITORAL/RO TRIBUNAL REGIONAL ELEITORAL/RR TRIBUNAL REGIONAL ELEITORAL/RS TRIBUNAL REGIONAL ELEITORAL/SC TRIBUNAL REGIONAL ELEITORAL/SE TRIBUNAL REGIONAL ELEITORAL/SP TRIBUNAL REGIONAL ELEITORAL/TO TRIBUNAL REGIONAL FEDERAL 1 REGIO TRIBUNAL REGIONAL FEDERAL 2 REGIO TRIBUNAL REGIONAL FEDERAL 3 REGIO TRIBUNAL REGIONAL FEDERAL 4 REGIO TRIBUNAL REGIONAL FEDERAL 5 REGIO TRIBUNAL SUPERIOR DO TRABALHO TRIBUNAL SUPERIOR ELEITORAL UNIVERSIDADE FEDERAL DA BAHIA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS UNIVERSIDADE FEDERAL DA PARABA UNIVERSIDADE FEDERAL DE ALFENAS UNIVERSIDADE FEDERAL DE GOIS UNIVERSIDADE FEDERAL DE LAVRAS UNIVERSIDADE FEDERAL DE MINAS GERAIS UNIVERSIDADE FEDERAL DE PERNAMBUCO UNIVERSIDADE FEDERAL DE RORAIMA UNIVERSIDADE FEDERAL DE SANTA MARIA UNIVERSIDADE FEDERAL DE SO PAULO UNIVERSIDADE FEDERAL DE VIOSA UNIVERSIDADE FEDERAL DO ABC UNIVERSIDADE FEDERAL DO ACRE UNIVERSIDADE FEDERAL DO CEAR UNIVERSIDADE FEDERAL DO ESTADO DO RIO DE JANEIRO UNIVERSIDADE FEDERAL DO MARANHO UNIVERSIDADE FEDERAL DO OESTE DO PAR UNIVERSIDADE FEDERAL DO PAMPA UNIVERSIDADE FEDERAL DO PAR UNIVERSIDADE FEDERAL DO PARAN UNIVERSIDADE FEDERAL DO RIO DE JANEIRO UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL UNIVERSIDADE FEDERAL DOS VALES DO JEQUITINHONHA E MUCURI UNIVERSIDADE FEDERAL FLUMINENSE UNIVERSIDADE FEDERAL RURAL DA AMAZNIA UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO
86
SEFTI Fls. 93
Nome da Instituio
UNIVERSIDADE FEDERAL RURAL DO SEMI-RIDO UNIVERSIDADE TECNOLGICA FEDERAL DO PARAN VALEC ENGENHARIA, CONSTRUES E FERROVIAS S.A. SUPERINTENDNCIA NACIONAL DE PREVIDNCIA COMPLEMENTAR (*) * Resposta encaminhada aps encerramento do relatrio no dia 16/07/2010.
87
Apndice V
Lista de instituies que NO responderam at 16/07/2010
Vinculao: Justia Eleitoral Ofcio Sefti n 151/2010 TRIBUNAL REGIONAL ELEITORAL/DF (TRE-DF) Ofcio Sefti n 326/2010 TRIBUNAL REGIONAL ELEITORAL/PB (TRE-PB) Vinculao: Justia Federal Aviso PRESI n 211/2010 SUPERIOR TRIBUNAL DE JUSTIA (STJ) Vinculao: Justia do Trabalho Ofcio Sefti n 292/2010 TRIBUNAL REGIONAL DO TRABALHO 11 REGIO/AM (TRT-11-AM) Vinculao: MCT Ofcio Sefti n 166/2010 Ofcio Sefti n 106/2010 Ofcio Sefti n 265/2010 Ofcio Sefti n 136/2010 Ofcio Sefti n 276/2010 Ofcio Sefti n 283/2010
AGNCIA ESPACIAL BRASILEIRA (AEB) ASSOCIAO INSTITUTO NACIONAL DE MATEMTICA PURA E APLICADA (IMPA) INSTITUTO BRASILEIRO DE INFORMAO EM CINCIA E TECNOLOGIA (IBICT) INSTITUTO NACIONAL DE PESQUISAS ESPACIAIS (INPE) INSTITUTO NACIONAL DE TECNOLOGIA (INT) OBSERVATRIO NACIONAL (ON)
Vinculao: Ministrio da Defesa/Comando do Exrcito Ofcio Sefti n 118/2010 FUNDAO HABITACIONAL DO EXRCITO (FHEX) Vinculao: MDIC Ofcio Sefti n 102/2010 Vinculao: MEC Ofcio Sefti n 119/2010 Ofcio Sefti n 123/2010 Ofcio Sefti n 235/2010 Ofcio Sefti n 248/2010 Ofcio Sefti n 249/2010 Ofcio Sefti n 254/2010 Ofcio Sefti n 128/2010 Ofcio Sefti n 272/2010 Ofcio Sefti n 153/2010 Ofcio Sefti n 155/2010 Ofcio Sefti n 346/2010 Ofcio Sefti n 347/2010 Ofcio Sefti n 349/2010 Ofcio Sefti n 350/2010 Ofcio Sefti n 354/2010 Ofcio Sefti n 358/2010 Ofcio Sefti n 160/2010 Ofcio Sefti n 161/2010 Vinculao: MF Ofcio Sefti n 429/2010 Vinculao: MJ Ofcio Sefti n 212/2010 Ofcio Sefti n 122/2010 Vinculao: MMA Ofcio Sefti n 104/2010 (BIOAMAZONIA) Ofcio Sefti n 108/2010 Ofcio Sefti n 131/2010
AGNCIA ESPECIAL DE FINANCIAMENTO INDUSTRIAL (FINAME)
FUNDAO JOAQUIM NABUCO (FUNDAJ) FUNDAO UNIVERSIDADE DO TOCANTINS (UNITINS) FUNDAO UNIVERSIDADE FEDERAL DE CINCIAS MDICAS DE PORTO ALEGRE (UFCSPA) FUNDAO UNIVERSIDADE FEDERAL DE SO CARLOS (UFSCAR-SP) FUNDAO UNIVERSIDADE FEDERAL DE SO JOO DEL REI (FUNREI) FUNDAO UNIVERSIDADE FEDERAL DO AMAP (UNIFAP) HOSPITAL UNIVERSITRIO JOO DE BARROS BARRETO (HUJBB-UFPA) INSTITUTO NACIONAL DE ESTUDOS E PESQUISAS EDUCACIONAIS ANSIO TEIXEIRA (INEP) UNIVERSIDADE FEDERAL DA FRONTEIRA SUL (UFFS) UNIVERSIDADE FEDERAL DA INTEGRAO LATINO-AMERICANA (UNILA) UNIVERSIDADE FEDERAL DE ALAGOAS (UFAL) UNIVERSIDADE FEDERAL DE CAMPINA GRANDE (UFCG-PB) UNIVERSIDADE FEDERAL DE ITAJUB (UNIFEI-MG) UNIVERSIDADE FEDERAL DE JUIZ DE FORA (UFJF-MG) UNIVERSIDADE FEDERAL DE SANTA CATARINA (UFSC) UNIVERSIDADE FEDERAL DO ESPRITO SANTO (UFES) UNIVERSIDADE FEDERAL DO TRINGULO MINEIRO (UFTM) UNIVERSIDADE FEDERAL RURAL DO RIO DE JANEIRO (UFRRJ)
SERVIO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO)
DEFENSORIA PBLICA DA UNIO (DPU) FUNDAO NACIONAL DO NDIO (FUNAI)
ASSOCIAO BRAS. PARA O USO SUSTENTVEL DA BIODIVERSIDADE DA AMAZNIA COMPANHIA DE DESENVOLVIMENTO DE BARCARENA (CODEBAR) INSTITUTO DE DESENVOLVIMENTO SUSTENTVEL MAMIRAU (IDSM)
Vinculao: MME/ELETROBRAS Ofcio Sefti n 195/2010 COMPANHIA DE ELETRICIDADE DO ACRE (ELETROACRE) Ofcio Sefti n 206/2010 COMPANHIA ENERGTICA DE ALAGOAS (CEAL) Ofcio Sefti n 138/2010 LIGHT PARTICIPAES S.A. (LIGHTPAR) Vinculao: MME/ELETRONORTE
88
Ofcio Sefti n 183/2010 Vinculao: MPS Ofcio Sefti n 279/2010 Vinculao: MS Ofcio Sefti n 127/2010 Ofcio Sefti n 262/2010 Vinculao: MT Ofcio Sefti n 204/2010 Ofcio Sefti n 114/2010 Vinculao: MTE Ofcio Sefti n 238/2010 Vinculao: PR Ofcio Sefti n 430/2010 Ofcio Sefti n 144/2010 Ofcio Sefti n 145/2010 BOA VISTA ENERGIA S.A. (BV-ENERGIA)
SEFTI Fls. 94
INSTITUTO NACIONAL DO SEGURO SOCIAL (INSS)
HOSPITAL FEMINA S.A. (HF-MS) HOSPITAL NOSSA SENHORA DA CONCEIO S.A. (HNSC-RS)
COMPANHIA DOCAS DO RIO DE JANEIRO S.A. (CDRJ) EMPRESA DE NAVEGAO DA AMAZNIA (ENASA)
FUNDAO JORGE DUPRAT FIGUEIREDO DE SEG. E MEDICINA DO TRABALHO (FUNDACENTRO)
GABINETE DE SEGURANA INSTITUCIONAL DA PRESIDNCIA DA REPBLICA (GSI-PR) SECRETARIA ESPECIAL DOS DIREITOS HUMANOS (SEDH-PR) SECRETARIA NACIONAL ANTIDROGAS (SENAD-PR)
89
Apndice VI
Instrumentos de apoio aos respondentes
Os documentos abaixo foram publicados na pgina da Sefti, no Portal do TCU.
90
SEFTI Fls. 95
Apndice VII
Tratamento e padronizao dos dados de 2010
1. As respostas ao questionrio foram recebidas de duas formas simultneas: (a) em papel, como documento assinado para fins de formalizao de atendimento a diligncia; e (b) por correio eletrnico, para captura e processamento automtico dos dados, prescindindo de digitao. 2. Foram concebidos pequenos programas de computador que realizavam a leitura automtica de correio eletrnico, a extrao dos arquivos com as respostas, a sua converso em formatos aproveitveis e a insero na base de dados. 3. Aps o aproveitamento dos dados, uma fase de crtica automtica das respostas recebidas era executada com vistas a: padronizar o campo de identificao da instituio para fins de cotejamento com a tabela de instituies adotada; selecionar apenas a ltima remessa de cada instituio, considerada a mais atualizada, completa e correta; padronizar as respostas de alguns campos, cuja despadronizao pudesse comprometer a anlise automtica de dados (p.ex. houve quem lanasse a expresso -zero- em campo numrico intentando dizer que o valor era 0 (zero), ou 75 + 18 quando o certo seria lanar 93); 4. Aps essa etapa de preparao dos dados, a anlise se dividiu em dois momentos: anlise comparativa entre os dados de 2010 e os de 2007; anlise de governana com os dados de 2010. Procedimentos de anlise comparativa entre os dados de 2010 e os de 2007 5. Para comparao entre os dados de 2007 e 2010, foram consideradas apenas as respostas das instituies que responderam a ambos os levantamentos, pois o propsito dessa anlise era responder se houve ou no houve melhoria de governana de TI na APF desde a publicao do Acrdo n 1.603/2008-TCU-Plenrio. 6. Adicionalmente, considerando que a estrutura do questionrio aplicado em 2010 (Apndice IX) difere da estrutura daquele aplicado em 2007 (Apndice II), foi necessria uma compatibilizao por meio das equaes lgicas apresentadas a seguir:
Quadro 1. Como foi calculado no Questionrio 2010 um resultado equivalente a um sim no Questionrio 2007 Questo Clculo no Questionrio 2010 2007 (linguagem Microsoft Visual Basic for Applications) Q1 Q21 >= 3 Q2 Q23a = 0 Q3 Q24 = 2 Or Q24 = 5 Q4 (Nz(Q61c, 0) + Nz(Q62b, 0) + Nz(Q62c, 0)) > 0 Q5 Nz(Q61a, 0) > 0 Q6 questo excluda da comparao Q7 Nz(Q62b, 0) > 0 Q8 Q13d = 1 Q9 Q72b = 1 Q10 Q76i2 = 1 Q11 Q72a = 1 Q12 Q71b = 1 Q13 Q71c = 1 Q14 questo excluda da comparao Q15 Q71d = 1 Q16 questo excluda da comparao Q17 Q76a = 1
91
TRIBUNAL DE CONTAS DA UNIO Secretaria-Geral de Controle Externo - Segecex Secretaria de Fiscalizao de Tecnologia da Informao - Sefti Q18 Q19 Q20 Q21 Q22 Q23 Q24 Q25 Q26 Q27 Q28 Q29 Q30 Q31 Q32 Q33 Q34 Q35 Q36 Q37 Q38 Q39 Q76b = 1 Q73 >= 3 Em 2007, ter "alguma" (qualquer) metodologia j valia um SIM Q71a = 1 Or Q77 > 1 Q76c = 1 Or Q77 >= 4 Q711 >= 4 Or ((Q713d1 = 1 Or Q713d2 = 1 Or Q713d3 = 1 Or Q713d4 = 1) And Q711 >= 3) Q710 >= 3 Q78b >= 2 And Q78c >= 3 Q78b >= 3 ((-1) * (Q714a1 >= 3) + (-1) * (Q714b1 >= 3) + (-1) * (Q714c1 >= 3) + (-1) * (Q714d1 >= 3) + (-1) * (Q714e1 >= 3) + (-1) * (Q714f1 >= 3)) > 1 questo excluda da comparao Q711 >= 3 Q712b1 = 1 Or Q712b2 = 1 questo excluda da comparao questo excluda da comparao Q713b3 = 1 Q713c1 = 1 Or Q713c2 = 1 Or Q713c3 = 1 Or Q713c4 = 1 questo excluda da comparao Q715a = 1 questo excluda da comparao Q715c = 1 Or Q715d questo excluda da comparao Q14b = 1 Or Q14c = 1 Or Q14d = 1 Or Q14e = 1 Or Q14f = 1 Or Q14g = 1
Procedimentos de anlise de governana com os dados de 2010 7. A anlise de governana de TI pressupe a mensurao da aderncia de uma instituio a um conjunto predefinido de boas prticas, por meio de indicadores e mtricas. 8. Os indicadores e as perguntas do questionrio aplicado no presente levantamento tm sua origem em indicadores e mtricas do Cobit, da norma ABNT NBR 15504, do Gespblica e do levantamento realizado em 2007. Alm dessas fontes, alguns indicadores foram escolhidos por focalizarem reas de risco, conforme a percepo da Sefti decorrente dos processos de fiscalizao realizados nos ltimos anos. 9. O nmero total de indicadores selecionados foi de 152, divididos em sete dimenses do Gespblica. O tratamento matemtico desses indicadores detalhados para gerar indicadores de governana por dimenso e geral apresentado no Quadro 2.
Quadro 2. Mtodo completo de clculo do ndice de governana de TI (iGovTI)
Dimenso ndice de Governana de TI Liderana (Q1)
Mtodo de clculo
(linguagem Microsoft Visual Basic for Applications) iGovTI = ([iGov_Q1]*110+[iGov_Q2]*60+[iGov_Q6]*90+[iGov_Q7]*110)/370
Estratgias e Planos (Q2)
Pessoas
iGov_Q1 = [iGov_Q1-1]*0.4 + [iGov_Q1-2]*0.2 + [iGov_Q1-3]*0.1 + [iGov_Q1-4]*0.3 Onde: [iGov_Q1-1] = ([Q11a]*0.2 + [Q11b]*0.2 + [Q11c]*0.2 + [Q11d]*0.4)*IIf([Q11e]="0",1,0) [iGov_Q1-2] = ([Q12a]*0.1 + [Q12b]*0.2 + [Q12c]*0.3 + [Q12d]*0.4)*IIf([Q12e]="0",1,0) [iGov_Q1-3] = ([Q13a]*0.25 + [Q13b]*0.25 + [Q13c]*0.25 + [Q13d]*0.25)*IIf([Q13e]="0",1,0) [iGov_Q1-4] = IIf([Q14a]="0",1,0)*([Q14b]*0.1 + [Q14c]*0.2 + [Q14d]*0.1 + [Q14e]*0.2 + [Q14f]*0.3 + [Q14g]*0.1) iGov_Q2 = ([iGov_Q2-1]*0.1 + [iGov_Q2-2]*0.2 + [iGov_Q2-3]*0.3 + [iGov_Q2-4]*0.4 Onde: [iGov_Q2-1] = [Q21]-1)/6 [iGov_Q2-2] = ([Q22]-1)/6 [iGov_Q2-3] = IIf([Q23a]="0",1,0)*([Q23a]*0.2 + [Q23b]*0.4 + [Q23c]*0.2 + [Q23d]*0.1 + [Q23e]*0.1) [iGov_Q2-4] = ([Q24]-1)/5 iGov_Q6 = [IAG]*0.4 + [IAQP]*0.1 + [iGov_Q63]*0.3 + [iGov_Q64]*0.2
92
SEFTI Fls. 96
(Q6)
Processos (Q7)
Onde: SomaFC = CInt([Q61b]) + CInt([Q61c]) + CInt([Q61d]) + CInt([Q61e]) TotalFC = IIf([SomaFC]>CInt([Q61a]),[SomaFC],CInt([Q61a])) IAG = IIf([TotalFC]=0,0,(CInt([Q61c])/[TotalFC])) SomaQP = CInt([Q62b]) + CInt([Q62c]) + CInt([Q62d]) + CInt([Q62e]) + CInt([Q62f]) + CInt([Q62g]) + CInt([Q62h]) + CInt([Q62i]) TotalQP = IIf([SomaQP]>CInt([Q62a]),[SomaQP],CInt([Q62a])) IAQP = IIf([TotalQP]=0,0,(CInt([Q62b]) + CInt([Q62c]))/[TotalQP]) iGov_Q63 = [Q63]/5 iGov_Q64 = IIf([Q64a]="1" And CInt([Q64a_det])>=4,0.7,0) + IIf([Q64f]="1" Or [Q64i]="1",0.3,IIf([Q64e]="1" Or [Q64h]="1",0.2,IIf([Q64j]="1",0.1,0))) iGov_Q7 = [SEG]*0.2 + [PSW]*0.1 + [PRJ]*0.2 + [SM]*0.25 + [PLC]*0.08 + [GCT]*0.09 + [OTI]*0.08 Onde: SEG = [Q71a]*0.125 + [Q71b]*0.125 + [Q71c]*0.125*[Q71d]*0.125 + [Q72a]*0.25 + [Q72b]*0.25 PSW = [Q73]/6 PRJ = [Q74]*0.8/5 + IIf(IsNull([Q75a2]) Or [Q75a2]="",0,IIf(CCur([Q75a2])<99,0,0.06)) + IIf(IsNull([Q75b2]) Or [Q75b2]="",0,IIf(CCur([Q75b2])<99,0,0.05)) + IIf(IsNull([Q75c2]) Or [Q75c2]="",0,IIf(CCur([Q75c2])<99,0,0.04)) + IIf(IsNull([Q75d2]) Or [Q75d2]="",0,IIf(CCur([Q75d2])<99,0,0.03)) + IIf(IsNull([Q75e2]) Or [Q75e2]="",0,IIf(CCur([Q75e2])<99,0,0.02)) SM = [Q76a2]*0.08 + [Q76b]*0.04 + [Q76c]*0.08 + [Q76d2]*0.08 + [Q76e]*0.04 + [Q76f2]*0.08 + [Q76g]*0.04 + [Q76h]*0.04 + [Q76i2]*0.08 + [Q76j]*0.04 + 0.4*([Q77]-1)/5 TotLic = IIf(CInt([Q79b]) + CInt([Q79c])>CInt([Q79a]),CInt([Q79a]) + CInt([Q79b]) + CInt([Q79c]),CInt([Q79a])) PLC = [Q78a]/4*0.08 + [Q78b]/4*0.08 + [Q78c]/4*0.08 + [Q78d]/4*0.08 + IIf(CInt([Q79a])=0,0,0.28*CInt([Q79c])/[TotLic]) + 0.4*([Q710]-1)/5 GCT = 0.35*([Q711]-1)/5 + IIf([Q712a1]="1" Or [Q712a2]="1",0.07,0) + IIf([Q712b1]="1" Or [Q712b2]="1",0.07,0) + IIf([Q712c1]="1" Or [Q712c2]="1",0.07,0) + IIf([Q712d1]="1" Or [Q712d2]="1",0.07,0) + IIf([Q712e1]="1" Or [Q712e2]="1",0.07,0) + IIf([Q713a1]="1",0.04,IIf([Q713a2]="1",0.03,IIf([Q713a3]="1",0.02,IIf([Q713a4]="1",0.01,0)))) + IIf([Q713b2]="1",0.04,IIf([Q713b3]="1",0.03,IIf([Q713b1]="1",0.02,IIf([Q713b4]="1",0.01,0)))) + IIf([Q713c3]="1",0.04,IIf([Q713c2]="1",0.03,IIf([Q713c1]="1",0.02,IIf([Q713c4]="1",0.01,0)))) + IIf([Q713d2]="1",0.04,IIf([Q713d3]="1",0.03,IIf([Q713d1]="1",0.02,IIf([Q713d4]="1",0.01,0)))) + IIf([Q713e3]="1",0.04,IIf([Q713e2]="1",0.03,IIf([Q713e1]="1",0.02,IIf([Q713e4]="1",0.01,0)))) + (1*([Q714a1]*2 + [Q714a2] + [Q714a3]-4) + 3*([Q714b1]*2 + [Q714b2] + [Q714b3]-4) + 1*([Q714c1]*2 + [Q714c2] + [Q714c3]-4) + 2*([Q714d1]*2 + [Q714d2] + [Q714d3]-4) + 2*([Q714e1]*2 + [Q714e2] + [Q714e3]-4) + 1*([Q714f1]*2 + [Q714f2] + [Q714f3]-4))/1200 OTI = [Q715a]*0.3 + [Q715b]*0.1 + IIf([Q715d]="1",0.2,IIf([Q715c]="1",0.1,0)) + IIf([Q715f]="1",0.2,IIf([Q715e]="1",0.1,0)) + [Q715g]*0.2
10. Optou-se por excluir do clculo do ndice de governana de TI (iGovTI) as dimenses Cidados, Sociedade e Informao e Conhecimento, visto que, essas foram as dimenses menos detalhadas do questionrio, embora bastante importantes. Em ciclos futuros de levantamento, pretende-se desenvolver melhor os indicadores dessas dimenses.
93
Apndice VIII
Proposta de informativo
94
SEFTI Fls. 97
Apndice IX
Questionrio do Levantamento 2010
95
96
SEFTI Fls. 98
97
98
SEFTI Fls. 99
99
100
SEFTI Fls. 100
Apndice X
Glossrio
Acordo de Nvel de Servio (ANS) ou Service Level Agreement (SLA) Define um acordo que, para fins desse levantamento, deve ser necessariamente documentado, entre um prestador de servio interno (no caso, a rea de TI) e o cliente/usurio interno, no qual se define o nvel de prestao do servio necessrio para sustentar adequadamente as operaes do negcio. O acordo pode especificar nveis para quaisquer atributos do servio. So comuns critrios relacionados operao e suporte, tais como: disponibilidade, manutenibilidade, performance, incidncia de erros, prioridades, etc. Um acordo de nvel de servio tpico geralmente contm: a definio dos servios, objetivos, indicadores e mtricas, responsabilidades de ambas as partes (inclusive penalidades), garantias, medidas emergenciais, planos alternativos, definies sobre relatrios de monitoramento, dentre outras informaes. Alta Administrao Equivale ao conceito de dirigente do setor privado. No setor pblico, compem a Alta Administrao os principais dirigentes da organizao. Como exemplos mais conhecidos, h Ministros e Secretrios de Estado, titulares de cargos de natureza especial, secretrios-executivos, secretrios ou autoridades equivalentes ocupantes de cargo do Grupo-Direo e Assessoramento Superiores - DAS, nvel seis, presidentes de tribunais, presidentes e diretores de agncias nacionais, autarquias, fundaes mantidas pelo Poder Pblico, presidentes de empresas pblicas e sociedades de economia mista, bem como a diretoria executiva. Confidencialidade Propriedade de que a informao no esteja disponvel nem seja revelada a pessoas, entidades ou processos no autorizados, conforme definido pelo seu proprietrio. Disponibilidade Propriedade de que a informao esteja acessvel e pronta para ser utilizada por pessoas, processos ou entidades autorizadas, sempre que necessrio, conforme definido pelo seu proprietrio. Governana corporativa o sistema pelo qual as organizaes so dirigidas e controladas. Pode ser entendido como o conjunto de aes e responsabilidades exercidas pela alta administrao da empresa, rgo ou entidade, com o objetivo de oferecer orientao estratgica e garantir que os objetivos sejam alcanados, com simultnea gerncia de riscos e verificao de que os recursos so utilizados de forma responsvel. Governana de TI ou Governana corporativa de TI o sistema pelo qual o uso atual e futuro da TI dirigido e controlado. Significa avaliar e direcionar o uso da TI para dar suporte organizao e monitorar seu uso para realizar os planos. Inclui a estratgia e as polticas de uso da TI dentro da organizao. A governana de TI de responsabilidade dos executivos e da alta direo, consistindo em aspectos de liderana, estrutura organizacional e processos que garantam que a rea de TI da organizao suporte e aprimore as estratgias e objetivos da organizao. Incidente de segurana da informao Um evento ou uma srie de eventos indesejados ou inesperados e que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. Indicador de desempenho Mtrica para medir e monitorar o desempenho havido e compar-lo com o desempenho desejado. Define como ser medido e acompanhado o sucesso do alcance de um objetivo. Normalmente utilizado para avaliar o desempenho de processos, atividades ou servios relacionados a objetivos estabelecidos. Ressalte-se que o termo desempenho aqui utilizado no se limita apenas a velocidade ou produtividade, tendo alcance bastante amplo, podendo incluir metas de qualidade
101
ou o alcance de objetivos de negcio, alm de outras possibilidades. Alguns exemplos de indicadores: satisfao dos usurios com o atendimento do servio de suporte remoto; quantidade de estaes de trabalho com proteo antivrus atualizada; quantidade de casos de uso do sistema XYZ implementados; disponibilidade do acesso Internet em horrio normal de expediente; disponibilidade da infraestrutura de aplicaes e do portal corporativo, em horrio normal de expediente. H tambm indicadores de desempenho que ligam diretamente uma soluo de TI razo negocial para sua existncia, tais como: nmero de usurios atendidos; nmero de transaes eletrnicas corretamente finalizadas dentro do tempo de resposta esperado; retorno sobre o investimento da soluo de TI. Indicadores de benefcio Mtrica para medir quantitativamente o resultado de determinado processo em termos dos objetivos de negcio da organizao. Relaciona-se diretamente com a dimenso EFETIVIDADE e usado na avaliao da ECONOMICIDADE. Integridade Propriedade de que a informao esteja exata e completa para os propsitos definidos pelo seu proprietrio. A informao pode no ser ntegra desde sua origem, ou pode haver perda da integridade durante o uso, ou ainda pela comunicao (de maneira fortuita ou intencional). Nvel de maturidade/capacidade Medida da capacidade de um processo (ou de um macroprocesso) para atingir seu propsito, de acordo com uma escala definida em um modelo de maturidade. Um modelo normalmente define os processos e os atributos que sero medidos, bem como a escala de maturidade. Como exemplos de modelos de maturidade, podem ser citados: CMM, CMMI, MPS.BR, NBR ISO/IEC 15504, Cobit Generic Maturity Model e ITIL Process Maturity Framework. Os Modelos de maturidade podem ser voltados a um domnio especfico de atuao, como a engenharia de software (caso do CMM) ou suportar diferentes domnios (caso do CMMI). No caso dos modelos CMM, CMMI E MPS.BR, quando a avaliao destina-se a medir a capacidade de uma organizao (ou de um departamento ou de um projeto) em executar um macroprocesso, a medida resultante denomina-se Nvel de Maturidade. J quando se utilizam tais modelos para avaliar a eficcia de um processo particular que compe um macroprocesso, o resultado denomina-se Nvel de Capacidade do processo. Diferentemente, o modelo de maturidade genrico previsto no COBIT nomeia a avaliao de um processo particular como Nvel de Maturidade do processo. Para o Process Maturity Framework, da biblioteca ITIL, tanto o macroprocesso de gesto de servios de TI quanto os processos particulares podem ser avaliados por um Nvel de Maturidade. Planejamento estratgico institucional Processo que trata da formulao de objetivos de longo prazo e seleo de programas de ao e para sua execuo, levando em conta as condies internas e externas organizao e sua evoluo esperada. Observe-se que no se trata do documento elaborado ao fim do processo, o qual pode ser chamado, por exemplo, de plano estratgico institucional (PEI). O PEI um exemplo de produto resultante do processo de Planejamento Estratgico. Planejamento Estratgico de TI a parte do processo de planejamento estratgico institucional que enfoca como a gesto e o uso da tecnologia de informao podem gerar valor para a organizao. Observe-se que no se trata do documento elaborado ao fim do processo, o qual pode ser chamado, por exemplo, de plano diretor de tecnologia da informaao institucional (PDTI). O PDTI um exemplo de produto resultante do processo de Planejamento Estratgico de TI. Poltica Instrues claras e mensurveis de direo e comportamento desejado que condicionem as decises tomadas dentro de uma organizao.
102
SEFTI Fls. 101
Poltica corporativa de segurana da informao um documento que declara o comprometimento da alta administrao e seu apoio aos princpios e metas da segurana da informao. Estabelece o enfoque da organizao e as diretrizes para gerenciar a segurana da informao. Esse documento deve conter declaraes relativas a uma definio de segurana da informao, suas metas globais, princpios, escopo e importncia da segurana da informao como um mecanismo que habilita o compartilhamento da informao. Portflio de Servios o conjunto de programas, projetos, servios e ativos de TI selecionados para serem gerenciados e monitorados com vistas a apoiar ou viabilizar a gerao dos resultados e a alcanar os objetivos estratgicos da organizao. Processo de Software Processo de trabalho usado por uma organizao na produo/aquisio de software e na gesto de seu ciclo de vida. Inclui atividades realizadas nas fases de definio, desenvolvimento, operao e retirada do software. TI (Tecnologia da Informao) Engloba todos os recursos necessrios para adquirir, processar, armazenar e disseminar informaes. Inclui Tecnologia da Comunicao (TC) e sinnimo de Tecnologia da Informao e Comunicao (TIC).
103

Relatório Do Levantamento Governança de TI 2010

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Relatório Do Levantamento Governança de TI 2010

Загружено:

Авторское право:

Доступные форматы

TRIBUNAL DE CONTAS DA UNIO Secretaria-Geral de Controle Externo - Segecex Secretaria de Fiscalizao de Tecnologia da Informao - Sefti

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

Governana: uma viso geral

Figura 1. Sistema de governana corporativa (Fonte: IBGC, 2009, p. 16)

Estratgia metodolgica e limitaes

Volume de recursos fiscalizados

Atualizao do perfil traado pelo Levantamento 2007

Respondentes por segmento

Figura 2. Quantitativo de respondentes por segmento que responderam os 2 levantamentos

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

Planejamento Estratgico Institucional e de TI

53% 50% 41% 39% 32% 32%

Figura 3. Evoluo dos indicadores de Planejamento Estratgico

PLANEJAMENTO ESTRAT. INSTITUCIONAL por segmento

100% 74% 67% 63% 54% 50% 42%

0% Dest(46) Sisp(112) Jud(57)

Figura 4. Evoluo dos indicadores de Planejamento Estratgico Institucional por segmento

94% 78% 79%

Figura 5. Evoluo dos indicadores de Estrutura de Pessoal de TI

COMPETNCIA DOS DIRIGENTES DE TI

curso superior (no-TI) experincia em gesto de TI 0% 50%

Figura 6. Competncias dos dirigentes de TI

84% 78% 74%

PLANO CONTINUIDADE NEGCIO

REA SEGURANA INFORMAO

POLTICA SEGURANA INFORMAO

Figura 7. Evoluo dos indicadores de Deficincias em Segurana da Informao

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

0% PROCESSO AO MENOS GERENCIADO

Figura 8. Evoluo dos indicadores de adoo de Processo de Software

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

Gesto de nveis de servio

GESTO DE NVEL DE SERVIO

50% 27% 11% 16% 26%

GESTO NVEL SERV. PRESTADO

GESTO NVEL SERV. CONTRATADO

Figura 9. Evoluo dos indicadores de Gesto de Nvel de Servio

Processos de contratao e gesto de contratos de TI

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

62% 56% 50% 55% 52% 42%

Figura 10. Evoluo dos indicadores de Planejamento de Contrataes

PROCESSO DE GESTO CONTRATUAL

57% 50% 47% 31%

Figura 11. Evoluo dos indicadores de Processo de Gesto Contratual

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

0% ORAMENTO TI COM BASE AES PLANEJADAS CONTROLE DE GASTOS E DISPONIB. ORAMENT.

Figura 12. Evoluo dos indicadores de Processo Oramentrio de TI

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

49% 50% 39%

Figura 13. Evoluo dos indicadores de Auditoria de TI

TIPOS DE AUDITORIA DE TI REALIZADAS

Figura 14. Evoluo dos indicadores de Auditoria de TI

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

ESTRUTURA DE GOVERNANA - DEFICINCIAS A Alta Administrao...

Figura 15. Estrutura de Governana de TI

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

Desempenho institucional na gesto e no uso de TI

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

DESEMPENHO ORGANIZACIONAL NA GESTO E USO DE TI DEFICINCIAS A Alta Administrao...