Governança de TI Na APF Pelo TCU

TRIBUNAL DE CONTAS DA UNIO
Secretaria-Geral de Controle Externo

Secretaria de Fiscalizao de Tecnologia da Informao - Sefti
Nota Tcnica 7/2014 - Sefti/TCU verso 2.8
Braslia, 30 de setembro de 2014

Assunto: Organizao do sistema de
governana de tecnologia da informao (TI),
em rgos e entidades integrantes da
Administrao Pblica Federal (APF).
Processo de aprimoramento contnuo da
governana de TI no mbito da APF.
SUMRIO
I
II
III
IV
V
V.1
V.2
V.2.1
DO OBJETIVO ................................................................................................................. 1
DA MOTIVAO ............................................................................................................ 1
DOS ENTENDIMENTOS PROPOSTOS......................................................................... 3
DA FUNDAMENTAO JURDICA E DA JURISPRUDNCIA DO TCU ................ 4
DA ANLISE ................................................................................................................... 4
Da governana de TI ......................................................................................................... 4
Dos viabilizadores da governana de TI ........................................................................... 5
Princpios, polticas e frameworks..................................................................................... 5
V.2.2
Estruturas organizacionais ................................................................................................. 7
V.2.3
Processos ........................................................................................................................... 9
V.2.4
Cultura, tica e comportamento....................................................................................... 10
V.2.5
Pessoas, habilidades e competncias ............................................................................... 11
V.3
Do Sistema de Governana de TI .................................................................................... 13
V.4
Do aprimoramento contnuo da governana de TI .......................................................... 14
VI
REFERNCIAS .............................................................................................................. 19
HISTRICO DE REVISES ............................................................................................................ 20
Excertos da legislao e da jurisprudncia do TCU ........................................................................... 21
DO OBJETIVO
1.
Apresentar entendimentos da Secretaria de Fiscalizao de Tecnologia da Informao
(Sefti) sobre a organizao do sistema de governana de TI em rgos e entidades integrantes da
Administrao Pblica Federal (APF), bem como sobre o processo de aprimoramento contnuo da
governana de TI nessas instituies, de forma a apoiar as organizaes pblicas na tarefa de dirigir
adequadamente os recursos aplicados na gesto e no uso da TI de acordo com as prioridades do
negcio e considerando os riscos envolvidos, maximizando a gerao de valor para as partes
interessadas.
II
DA MOTIVAO
2.
Desde 2007, o Tribunal de Contas da Unio (TCU), por intermdio da Sefti, vem
promovendo levantamentos peridicos e realizando auditorias com vistas a avaliar a situao da
governana de TI nas instituies pblicas federais. De modo geral, tem-se constatado que parcela
considervel dessas instituies possuem nvel inicial de maturidade em governana de TI.
3.
No segundo levantamento, realizado em 2010 (Acrdo 2.308/2010-TCU-Plenrio),
oportunidade em que foi criado o ndice de governana de TI (iGovTI) do TCU, verificou-se que:
57% das instituies pesquisadas se encontravam em estgio inicial de governana de TI, 38%
apresentavam nvel intermedirio, e apenas 5% dessas instituies estavam em nvel aprimorado. J
1

no levantamento realizado em 2012 (Acrdo 2.585/2012-TCU-Plenrio), embora, conforme

demonstra o grfico abaixo, tenha havido significativa evoluo, constatou-se que boa parte dos
rgos e entidades que integram a APF segue no nvel inicial (34%).
Distribuio por estgio de governana de TI

60%
50%
40%
30%
20%
10%
0%
2010
2012
Inicial
Intermedirio
Aprimorado
Figura 1: Distribuio das organizaes pblicas federais por estgio de governana de TI

Fonte: Informativo do Levantamento do Perfil de Governana de TI na APF de 2012
4.
A reduzida maturidade em governana de TI apresentada por parcela considervel das
instituies pblicas federais pode contribuir para a ocorrncia de situaes indesejadas, tais como
priorizao de investimentos em TI que no estejam alinhados s necessidades do negcio, riscos de
TI que no so adequadamente identificados e tratados, aquisies em desconformidade com a
legislao aplicvel, indisponibilidade de servios pblicos providos com uso de TI, falhas de
segurana da informao, entre outros.
5.
Em reunies e eventos realizados entre a Sefti e gestores pblicos, determinados fatores
so recorrentemente citados para explicar o lento amadurecimento em governana de TI dos rgos
e entidades que integram a APF, tais como baixa sensibilizao e compreenso da alta administrao
a respeito de questes ligadas TI, quantitativo insuficiente de pessoal capacitado em TI e dificuldade
na obteno de recursos destinados a aes de melhoria em governana de TI. Alm disso, no mbito
das fiscalizaes realizadas, a Sefti tem percebido que muitas instituies pblicas federais tm tido
dificuldade em definir quais prticas, controles e processos precisam ser implementados e em que
ordem de prioridade.
6.
Ciente dessas dificuldades, esta Corte de Contas tem demandado maior atuao dos
rgos governantes superiores (OGS) na conduo desse processo. Fazem parte dos OGS, entre
outros rgos, a Secretaria de Logstica de Tecnologia da Informao do Ministrio do Planejamento,
Oramento e Gesto (SLTI/MP), o Conselho Nacional de Justia (CNJ), o Conselho Nacional do
Ministrio Pblico (CNMP), o Departamento de Coordenao e Governana das Estatais (Dest/MP),
o Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR) e o Comit
Interministerial de Governana Corporativa e de Administrao de Participaes Societrias da Unio
(CGPAR). Cabe a esses rgos, entre outras responsabilidades, a funo de normatizar e fiscalizar o
uso e a gesto da tecnologia da informao em seus respectivos segmentos da APF. A esse respeito,
assim disps o voto condutor do Acrdo 2.308/2010-TCU-Plenrio:
2

22.
Considero
relevante,
ainda,
destacar
dois
outros
pontos.
23. O primeiro relativo necessidade de instar os rgos de coordenao, normatizao, superviso e
fiscalizao da APF a assumirem a frente do processo de aprimoramento da governana de TI, com a
adoo de uma postura mais incisiva com respeito ao tema nos rgos e entidades a eles vinculados.
7.
A jurisprudncia recente do TCU tem recomendado aos OGS que emitam orientaes
acerca das prticas de governana de TI a serem adotadas pelas instituies a eles jurisdicionadas, em
especial no que diz respeito ao planejamento estratgico de TI, implantao de comit de TI,
gesto de pessoal de TI, gesto de riscos de TI, gesto oramentria de TI, entre outros temas
relacionados, conforme disposto nos acrdos 1.603/2008i, 2.471/2008ii, 2.308/2010iii e 2.585/2012iv,
todos do Plenrio do TCU.
8.
No entanto, pode-se afirmar que, a despeito dos esforos realizados pelos OGS em
promover aes que contribuam para o aprimoramento da governana de TI em seus respectivos
segmentos de atuao, muitas instituies pblicas federais ainda demonstram dificuldades em
decidir quais caminhos devem trilhar em termos de implementao de processos e controles. De
acordo com dados obtidos do relatrio consolidador da Fiscalizao de Orientao Centralizada
(FOC), que visava avaliao de prticas ligadas entrega de resultados e gesto de riscos de TI,
realizada em 2014 (TC 023.050/2013-6), verificou-se que onze das vinte instituies avaliadas
apresentaram falhas nas aes de melhoria de governana de TI, representando 55% do universo
avaliado, o que sugere a existncia de dificuldades na seleo e na implantao de mecanismos de
governana de TI que atendam s necessidades institucionais.
9.
Nesse contexto, considerando que objetivo estratgico do TCU contribuir para a
melhoria da gesto e do desempenho da Administrao Pblica (Brasil, 2011, p. 56) e que a misso
da Sefti assegurar que a TI agregue valor ao negcio da APF em benefcio da sociedade (Brasil,
2008a, p. 8), esta nota tcnica foi elaborada com o objetivo de propor uma srie de entendimentos
que apoiem as instituies no processo de amadurecimento de suas prticas de governana de TI. Os
entendimentos esto estruturados em torno da necessidade do estabelecimento de um sistema de
governana de TI, de forma a prover uma organizao bsica de estruturas, polticas, princpios,
processos, entre outros elementos necessrios para que as organizaes pblicas dirijam
adequadamente a gesto e o uso atual e futuro da TI na organizao.
III DOS ENTENDIMENTOS PROPOSTOS
Entendimento I: Convm definir pelo menos uma poltica de governana de TI que seja formalmente
instituda pela alta administrao e que contemple, no mnimo, princpios, diretrizes, papis e
responsabilidades necessrios para desempenhar as funes de avaliar, dirigir e monitorar a gesto e
o uso da TI.
Entendimento II: Convm estabelecer as estruturas organizacionais e os papeis necessrios para a
governana, a gesto e o uso de TI na instituio, definindo-se formalmente o modo de organizao
e funcionamento dessas estruturas.
Entendimento III: Convm selecionar e implementar os processos e prticas de governana e de
gesto de TI necessrios para que a TI seja capaz de maximizar a entrega de valor s partes
interessadas com base em fatores que reflitam seu contexto especfico, uma vez que no existe um
nico conjunto possvel de processos que seja aplicvel a todas organizaes pblicas.
Entendimento IV: Convm promover os valores relacionados cultura, tica e comportamento que
favoream as mudanas necessrias em prol da melhoria da governana de TI, a exemplo da adoo,
pela alta administrao, do comportamento que esperado do restante dos colaboradores da
organizao.
Entendimento V: Convm realizar aes de sensibilizao de todas as pessoas da organizao
envolvidas com a governana de TI em todos os nveis e reas, no se restringindo somente ao setor
3

de TI, de forma que a cultura organizacional valorize as iniciativas de amadurecimento da governana

de TI em prol do cumprimento da misso institucional.
Entendimento VI: Convm alocar recursos humanos prprios em nmero suficiente para executar as
funes relacionadas TI, de acordo com a estratgia definida pela organizao com respaldo em
avaliaes objetivas dos quantitativos necessrios, buscando e desenvolvendo as habilidades e
competncias essenciais ao exerccio de suas atribuies.
Entendimento VII: Convm definir o Sistema de Governana de TI da organizao, que seja
formalmente institudo por meio da Poltica de Governana de TI e composto pelo conjunto de
viabilizadores necessrios para avaliar, dirigir e monitorar a gesto e o uso da TI, a exemplo do
definido na ABNT NBR ISO/IEC 38500 e no Cobit 5, de forma a proporcionar o aprimoramento
contnuo e gradual da governana de TI na instituio, considerando seu contexto especfico.
Entendimento VIII: Convm estabelecer um processo formal de aprimoramento contnuo da
governana de TI na organizao, contemplando as responsabilidades das partes envolvidas e, no
mnimo, as seguintes etapas: diagnstico (avaliao da situao atual da governana de TI);
planejamento (definio do estado almejado e planejamento das mudanas necessrias); execuo
(implementao das mudanas e dos aprimoramentos); operao e medio (operao do sistema com
os aprimoramentos incorporados, medio da sua eficincia e eficcia); e avaliao (verificao do
sucesso do plano/ciclo, promovendo a melhoria contnua por meio de um novo ciclo).
IV DA FUNDAMENTAO JURDICA E DA JURISPRUDNCIA DO TCU
1)
2)
3)
4)
5)
6)
7)
8)
V
V.1
Constituio da Repblica Federativa do Brasil, de 5 de outubro de 1988;

Decreto-Lei 200, de 25 de fevereiro de 1967;
Acrdo 1.603/2008-TCU-Plenrio;
Acrdo 1.200/2014-TCU-Plenrio.
DA ANLISE
Da governana de TI
10.
De acordo com a ABNT NBR ISO/IEC 38500, a governana corporativa de TI o sistema
pelo qual o uso atual e futuro da TI dirigido e controlado (ABNT, 2009, p. 3). Segundo o Cobit 5,
que consiste em um conjunto internacional de boas prticas em governana e em gesto de TI, o
objetivo principal da governana de TI criar valor para a organizao com base nas necessidades
das partes interessadas (ISACA, 2012a, p. 17). Ainda segundo o Cobit 5, a criao de valor pela TI
definida em torno de trs eixos, abrangendo a entrega de benefcios por meio do uso otimizado dos
recursos disponveis e gerenciando-se os riscos existentes.
11.
Por sua vez, o TCU entende que a governana de TI consiste no estabelecimento de
mecanismos para assegurar que o uso da TI agregue valor ao negcio das organizaes, com riscos
aceitveisv. Esses mecanismos incluem a definio de polticas, estruturas organizacionais, processos,
controles, entre outros componentes que possibilitam que os recursos investidos em tecnologia da
informao atendam s necessidades no s do negcio da instituio, mas tambm das diversas
partes interessadas que podem ser afetadas pelas decises relacionadas TI.
12.
Para que os dirigentes tenham condies de governar a TI, convm que seja adotado o
ciclo avaliar-dirigir-monitorar (ABNT, 2009, p. 7-8), pelo qual primeiro se realiza a avaliao do
uso atual e futuro da TI com base nas necessidades do negcio. Em seguida deve ser definida a direo
4

da TI na organizao mediante princpios e diretrizes que estabeleam a forma de atuao da gesto

da TI, bem como planos que definam a direo dos investimentos nos projetos e operaes de TI. Por
fim a alta administrao monitora o desempenho obtido pela TI em funo da direo previamente
estabelecida, valendo-se de processos e sistemas de mensurao apropriados.
13.
Nesse sentido tambm aponta o Cobit 5, que possui um domnio especfico de processos
de governana de TI denominado EDM Evaluate, Direct and Monitor (Avaliar, Dirigir e Monitorar
traduo livre) e inclui prticas e atividades direcionadas avaliao de opes estratgicas, ao
estabelecimento da direo da TI e ao monitoramento dos resultados alcanados (ISACA, 2012a,
p. 32, 71).
V.2
Dos viabilizadores da governana de TI
14.
O Cobit 5 prope a implantao da governana de TI por meio da utilizao de
viabilizadores, que so fatores que tm a capacidade de, individualmente ou coletivamente,
influenciar o funcionamento adequado da governana da TI organizacional (ISACA, 2012a, p. 27).
Das sete categorias de viabilizadores propostas nesse modelo, cinco sero abordadas nesta nota
tcnica: princpios, polticas e frameworks; estruturas organizacionais; processos; cultura, tica e
comportamento; pessoas, habilidades e competncias.
15.
A despeito de este documento manifestar entendimentos da Sefti sobre uma abordagem
de aperfeioamento contnuo da governana de TI, no se pretende determinar de que forma os
viabilizadores devero ser implementados em todas as instituies pblicas federais, pois abordagens
ou modelos para construir a governana diferem consideravelmente dependendo do tamanho da
organizao, da complexidade, das estruturas e do contexto normativo (AUSTRLIA, 2007, p. 5).
Nesse sentido, entende-se que a definio do grau de estruturao dos viabilizadores de
responsabilidade da prpria organizao com base no seu contexto especfico, sendo considerado um
fator crtico de sucesso para implementaes bem sucedidas (ISACA, 2009a, p. 35).
V.2.1
Princpios, polticas e frameworks
16.
Os princpios, as polticas e os frameworks so o veculo pelo qual as decises relativas
governana so institucionalizadas e, por essa razo, agem como elementos integradores entre o
estabelecimento da direo e as atividades de gesto (ISACA, 2012a, p. 31).
17.
Os princpios expressam o comportamento preferido para orientar a tomada de deciso e
a sua aplicao deve ser exigida pelos dirigentes (ABNT, 2009, p. 6). Assim sendo, todas as pessoas
da organizao envolvidas no planejamento, gesto, operao ou uso de recursos de TI devero tomar
decises e executar aes observando tais princpios.
18.
Como exemplo de princpios de governana de TI, pode-se citar: a estratgia de negcio
deve considerar as capacidades atuais e futuras de TI; conformidade com leis e regulamentos
aplicveis; aquisies de TI com oportunidades, custos e riscos equilibrados; entre outros contidos na
ABNT NBR ISO 38500:2009 (ABNT, 2009, p. 6).
19.
Nesse contexto, para que a alta administrao das organizaes pblicas consiga governar
a TI de forma a atender as necessidades institucionais, necessrio que ela estabelea um conjunto
de princpios que orientem o comportamento desejado na gesto e no uso da TI institucional. Ressaltese que, no mbito da APF, necessrio que os princpios definidos para a governana de TI estejam
alinhados com os princpios que regem a APF, estabelecidos no caput do art. 37 da Constituio
Federal (legalidade, impessoalidade, moralidade, publicidade e eficincia)vi, bem como no DecretoLei 200/1967 (planejamento, coordenao, descentralizao, delegao de competncia e controle)vii.
20.
Alm dos princpios, o uso de diretrizes constitui uma ferramenta importante para
direcionar a atuao da gesto de TI. Elas representam um conjunto de instrues ou indicaes para
5

se alcanar um determinado objetivo e fixam parmetros bsicos de governana de TI para a

organizao. No levantamento de governana de TI realizado pelo TCU em 2014, as instituies
pblicas federais foram questionadas se possuam diretrizes que orientassem o planejamento de TI, a
gesto de servios, a contratao de bens e servios de TI, a gesto de riscos de TI, a avaliao da
governana de TI, entre outras (BRASIL, 2014a, p. 4-6).
21.
A ttulo de ilustrao, seguem exemplos de diretrizes: o desenvolvimento de solues de
TI deve observar os padres definidos pelo setor de TI da instituio; as aquisies de solues de TI
devem considerar a opo por solues de cdigo aberto e de livre utilizao; os recursos devem ser
alocados prioritariamente para o provimento de solues de TI que sejam estratgicas para a
organizao; o planejamento da TI deve contar com ampla participao das reas de negcio e levar
em considerao os riscos de TI identificados no mbito da gesto de riscos; etc.
22.
A fim de que sejam observados os princpios e as diretrizes, necessrio que esses
elementos sejam adequadamente comunicados a toda a organizao. Para tanto, convm o
estabelecimento de polticas, que so instrues claras e mensurveis de direo e comportamento
desejado de forma a condicionar as decises tomadas no mbito da instituio (ABNT, 2009, p. 4).
No mbito da APF, entende-se que as polticas devem ser formalizadas como normativos internos
institudos pela alta administrao e, alm disso, ser conhecidas e observadas por toda a organizao.
Como exemplo de polticas que contribuem para a governana de TI, pode-se citar, entre outras, a
poltica de gesto de riscos, a poltica de segurana da informao, o cdigo de tica institucional e a
poltica de utilizao dos recursos de TI.
23.
Por sua vez, os frameworks de governana devem prover estrutura, orientao e
ferramentas que possibilitem a governana e o gerenciamento apropriados da TI corporativa (ISACA,
2012a, p. 67). Com efeito, o modo de estruturao dos mecanismos de governana de TI citados no
pargrafo 11 constitui o framework de governana especfico daquela organizao.
24.
Ademais, existem frameworks genricos, que podem apoiar as organizaes pblicas na
tarefa de implementar processos e prticas de governana de TI, tais como o Cobit 5 e os guias
publicados por rgos governantes superiores (ex.: Guia de Comit de TI do Sisp), entre outros.
25.
certo que cada organizao dispe da liberdade de definir como seus princpios,
polticas, diretrizes e frameworks corporativos sero estruturados. No que diz respeito governana
de TI, recomendvel que os rgos e entidades da APF instituam, pelo menos, uma poltica que
contemple os princpios e as principais diretrizes que devem direcionar os rumos da TI no mbito
institucional. No mbito desta nota tcnica, esse instrumento ser denominado Poltica de Governana
de TI (PGTI).
26.
Para que essa poltica alcance a todas as pessoas da organizao, necessrio que ela seja
formalmente instituda pela alta administrao, que haja uma forma de acesso fcil e rpido a ela e
que sejam adotadas medidas de conscientizao e divulgao do seu contedo. Ademais, convm que
a PGTI seja periodicamente revisada de forma a se adequar s mudanas que ocorrem na organizao
com o passar do tempo.
27.
Alm de estabelecer princpios e diretrizes, entende-se que outra funo a ser cumprida
pela PGTI a de esclarecer quais so as estruturas e demais responsveis pelas diversas atividades
relacionadas governana de TI na instituio, tais como a alta administrao, os comits, os gestores
de solues de TI, a rea de TI e a auditoria interna. Sendo assim, espera-se que essa poltica defina,
por exemplo, quem so os responsveis pela elaborao dos planos de TI, pelo acompanhamento da
execuo desses planos, pelo monitoramento e superviso do desempenho da TI e pela avaliao dos
riscos de TI que podem impactar o negcio da instituio, entre outras responsabilidades.
28.
Diante todo o exposto, chega-se ao seguinte entendimento:

6

Entendimento I.
Convm definir pelo menos uma poltica de governana de TI que seja
formalmente instituda pela alta administrao e que contemple, no mnimo, princpios, diretrizes,
papis e responsabilidades necessrios para desempenhar as funes de avaliar, dirigir e monitorar a
gesto e o uso da TI.
V.2.2
Estruturas organizacionais
29.
As estruturas organizacionais desempenham um papel-chave para tomada de deciso em
uma organizao (ISACA, 2012a, p. 27;28). Os nveis de autoridade dessas estruturas para tomada
de deciso e as atividades que elas desempenham so estabelecidos pelas polticas organizacionais, a
exemplo da PGTI.
30.
As decises tomadas no mbito da organizao norteiam a atuao da gesto de TI e
constituem fator essencial para a boa governana de TI. Questes importantes relacionadas alocao
de recursos, realizao de investimentos e priorizao de projetos de TI so tipicamente decididas
por estruturas organizacionais, a exemplo da alta administrao e do comit de TI. Por sua vez, a rea
de TI, a rea de auditoria interna, a rea de gesto de riscos (corporativa ou de TI) e o escritrio de
projetos de TI desempenham um papel importante na produo de informaes que sero utilizadas
pelas instncias tomadoras de deciso.
31.
Para que essas estruturas operem adequadamente, recomendvel a definio de um
conjunto de regras que retratam o modus operandi de cada uma delas, relacionadas, por exemplo,
definio de seu mandato e competncias, s responsabilidades de cada papel contido na estrutura,
frequncia de reunies e s situaes em que a deciso deve ser escalada (ISACA, 2012a, p. 75). Para
que essas regras sejam observadas no mbito da APF, recomendvel que estejam reunidas em um
documento formal que disponha sobre a organizao e o funcionamento das estruturas
organizacionais.
32.
Existem diversas estruturas organizacionais que se relacionam e viabilizam a governana
e a gesto de TI em uma instituio, sendo que a organizao delas, de forma a refletir as necessidades
de negcio e as prioridades de TI, objeto da prtica de gesto APO01.01 Define the organizational
structure (Defina a estrutura organizacional traduo livre) do Cobit 5 (ISACA, 2012b, p. 52).
33.
Ressalte-se que determinadas responsabilidades relacionadas governana de TI podem
ser atribudas no somente a estruturas especializadas no tema, mas tambm a estruturas
organizacionais pr-existentes. Pode-se tambm atribuir responsabilidades a papeis especficos
dentro da organizao. Sendo assim, cabe instituio avaliar a melhor forma de atribuio das
responsabilidades voltadas governana de TI, considerando o seu contexto especfico.
34.
Como exemplo, tem-se o papel de gestor de soluo de TI, cujas responsabilidades podem
ser atribudas a determinadas pessoas ou a uma estrutura organizacional especfica. Entre outras
responsabilidades, o gestor de soluo de TI deve: avaliar, permanentemente, os benefcios obtidos
com a implantao da soluo de TI; avaliar riscos para o negcio relacionados com a soluo de TI;
bem como prover recursos e definir prioridades para a soluo de TI (ITGI, 2003, p. 51). Ao exercer
essas atividades, o gestor de soluo de TI tem condies de atuar como interface entre a gesto e as
instncias de governana de TI, pois ele obtm informaes importantes relacionadas aos benefcios
efetivamente alcanados com o uso das solues de TI e aos riscos de descontinuidade dessas
solues, de forma a subsidiar o direcionamento ou no de recursos para a manuteno das solues
de TI que j esto em operao.
35.
De qualquer forma, importante ressaltar que a escolha das estruturas que sero
institudas e dos papeis que sero definidos para o aprimoramento da governana de TI de
responsabilidade de cada organizao, considerando seu contexto, recursos disponveis e suas
necessidades. Cabe registrar que a governana de TI envolve estruturas de diversas reas da
organizao, no apenas da rea de TI (ISACA, 2012a, p. 23).
7

36.
Sejam quais forem as estruturas organizacionais definidas pela instituio, essencial que
a alta administrao garanta a alocao dos recursos (humanos, materiais e financeiros) necessrios
para que os membros dessas estruturas exeram adequadamente as suas atribuies. Caso contrrio,
corre-se o risco de as estruturas organizacionais serem institudas apenas no campo formal, sem que
os seus membros efetivamente atuem sobre os temas afetos governana e gesto de TI.
Ante o exposto, chega-se ao seguinte entendimento:
Entendimento II.
Convm estabelecer as estruturas organizacionais e os papeis necessrios para
a governana, a gesto e o uso de TI na instituio, definindo-se formalmente o modo de organizao
e funcionamento dessas estruturas.
V.2.2.1
Comit de TI
37.
Entre as estruturas organizacionais normalmente implantadas para viabilizar a
governana de TI, destaca-se uma estrutura especfica cuja implantao vem sendo fomentada pelo
TCU nos acrdos de fiscalizaes de temas ligados governana de TI, qual seja o comit de TI.
38.
A opo pela criao de um comit especfico que atue em questes associadas TI
decorre de dificuldades que usualmente no so tratadas pelas demais estruturas organizacionais
tipicamente encontradas nas organizaes pblicas federais. Conflitos na alocao de recursos para
desenvolvimento de solues de TI, tomada de decises unilaterais pelo setor de TI da organizao,
seleo e priorizao de investimentos que no contemplam as necessidades da instituio e ausncia
de monitoramento das aes e decises de TI pela alta administrao so apenas alguns exemplos de
situaes que podem ser melhor tratadas pelo comit de TI.
39.
Por seu turno, a Secretaria de Logstica e Tecnologia da Informao do Ministrio do
Planejamento, Oramento e Gesto (SLTI/MP), na qualidade de OGS do Sistema de Administrao
dos Recursos de Tecnologia da Informao (Sisp), elaborou o Guia de Comit de TI do Sisp,
visando facilitar a implantao dos comits de TI nos rgos integrantes do sistema (Brasil, 2013,
p. 6).
40.
O referido guia dispe que os comits de TI podem ter natureza consultiva, que no tm
poder de deciso e limitam-se a aconselhar a alta administrao em assuntos relativos TI, ou
natureza deliberativa, que detm o poder de decidir sobre esses assuntos. A definio da natureza
(consultiva ou deliberativa) do comit de TI depende da cultura e da estrutura organizacional, bem
como das diretrizes e expectativas dos dirigentes (Brasil, 2013, p. 24), no havendo um modelo nico
que seja perfeitamente adaptvel a todas as organizaes.
41.
Em sntese, espera-se que o comit de TI seja composto por representantes das principais
reas da organizao e do setor de TI, recebendo, periodicamente, informaes gerenciais de outras
estruturas organizacionais (ex.: rea de gesto de riscos e rea de TI), tendo entre suas
responsabilidades, atuar:
a)
na aprovao e na alocao de recursos destinados TI;
b)
na priorizao de aes e projetos de TI;
c)
no acompanhamento da execuo das estratgias e planos de TI, de forma a garantir o
alinhamento com as necessidades institucionais;
d)
na comunicao alta administrao de informaes gerenciais de TI, tais como o status
da execuo dos planos de TI e da gesto dos riscos de TI, bem como a evoluo dos indicadores de
desempenho de TI.
42.
A relevncia dessa estrutura organizacional para a governana de TI no setor pblico
reforada pela jurisprudncia deste Tribunal, que recomenda aos rgos governantes superiores que
disseminem a importncia e normatizem a obrigatoriedade de estabelecimento do comit de TI para
8

os entes jurisdicionados (Acrdos 1.603/2008, item 9.1.1 e 1.233/2012viii, itens 9.2.1 e 9.11.1,
ambos do Plenrio do TCU).
43.
Tanto os referidos acrdos do TCU quanto a iniciativa da SLTI/MP em criar o Guia de
Comit de TI do Sisp demonstram o quanto o estabelecimento do comit de TI considerado como
uma ao de cunho estruturante para a governana de TI no setor pblico federal.
44.
Diante do exposto, recomendvel que as organizaes pblicas federais instituam um
comit de TI, de natureza consultiva ou deliberativa, que seja composto por representantes das
principais reas da organizao e do setor de TI da organizao, tendo entre suas responsabilidades
atuar: na aprovao da alocao de recursos destinados TI; na priorizao de aes e de projetos de
TI; no acompanhamento da execuo das estratgias e planos de TI; na comunicao alta
administrao de informaes gerenciais sobre o desempenho de TI.
V.2.3
Processos
45.
No contexto da governana e da gesto de TI, processos descrevem um conjunto
organizado de prticas e atividades para alcanar certos objetivos e produzir um conjunto de sadas
de forma a suportar o alcance das metas de TI de uma organizao (ISACA, 2012a, p. 27). O Cobit 5
estabelece um conjunto de 37 processos, sendo que cinco so relacionados governana de TI e 32
so ligados gesto de TI.
46.
Processos de governana lidam com objetivos associados entrega de benefcio e
otimizao de riscos e de recursos, bem como incluem prticas e atividades direcionadas avaliao
de opes estratgicas, ao fornecimento da direo e ao monitoramento dos resultados (ISACA,
2012a, p. 27). Nesse sentido, entende-se que esses processos, por estarem voltados avaliao,
direo e monitoramento da TI organizacional, esto aderentes ao ciclo avaliar-dirigir-monitorar
da ABNT NBR ISO/IEC 38500 (ABNT, 2009, p. 7-8).
47.
Por sua vez, processos de gesto abrangem responsabilidades relacionadas ao
planejamento, implementao, execuo e monitoramento das atividades desempenhadas pelo setor
de TI da organizao (ISACA, 2012b, p. 23-24). A gesto da estratgia (APO02 Manage strategy),
a gesto dos recursos humanos (APO07 Manage Human Resources), a gesto dos acordos de
servio (APO09 Manage service agrments) e a gesto de riscos (APO12 Manage risk) so
exemplos de processo de gesto definidos pelo Cobit 5 diretamente voltados criao de valor para
a organizao.
48.
Em outras palavras, as organizaes implementam processos de governana de TI com o
objetivo de avaliar, dirigir e monitorar a gesto e o uso da TI. Alm disso, elas executam processos
de gesto de TI para serem capazes de seguir, de maneira organizada, a direo dada pela alta
administrao, bem como alcanar os objetivos e as metas de TI estabelecidos.
49.
No mbito da APF, necessrio que as organizaes busquem implantar os processos de
governana e de gesto de TI que sejam exigidos por leis e demais normativos, de forma a garantir
conformidade com o marco regulatrio aplicvel. Ademais, importante ressaltar que no existe um
nico conjunto possvel de processos e prticas que devam ser implantados por todas as instituies,
em razo da heterogeneidade das instituies em termos de: importncia estratgica da organizao
para o Estado; tamanho da instituio; setor de atuao; recursos disponveis; objetivos de TI e de
negcio; maturidade em governana de TI; riscos existentes etc.
50.
Nesse sentido, razovel esperar que organizaes maiores, mais complexas e,
principalmente, mais dependentes de TI, implementem mais processos e prticas do que instituies
menores e mais simples. Contudo, independentemente da quantidade de processos, todas elas devem
ser capazes de governar e gerenciar adequadamente a sua prpria TI para alcanar seus objetivos
9

institucionais, considerando-se tambm os riscos decorrentes da gesto e do uso de TI que podem

impactar o alcance desses objetivos.
51.
Em vista disso, entende-se que cada organizao pblica deve levar em considerao o
seu contexto especfico para selecionar os processos de governana e de gesto de TI que ir
implementar. Para exemplificar, no seria recomendvel que as organizaes da APF
implementassem e gerenciassem com o mesmo grau de profundidade todos os 37 processos e 210
prticas definidos no mbito do Cobit 5, pois haveria o risco de aplicao de recursos em processos
que no trariam benefcios claros para a organizao.
Chega-se, portanto, ao seguinte entendimento:
Entendimento III.
Convm selecionar e implementar os processos e prticas de governana e de
gesto de TI necessrios para que a TI seja capaz de maximizar a entrega de valor s partes
interessadas com base em fatores que reflitam seu contexto especfico, uma vez que no existe um
nico conjunto possvel de processos que seja aplicvel a todas organizaes pblicas.
V.2.4
Cultura, tica e comportamento
52.
A implementao ou aprimoramento da governana de TI nas instituies depende da
aplicao de boas prticas relacionadas ao tema. Para tanto, necessrio que as pessoas envolvidas
com a governana de TI, sejam elas membros da alta administrao, gestores ou pertencentes aos
setores operacionais de TI, estejam comprometidas com as mudanas implantadas por meio da adoo
de novas polticas, processos e prticas ligadas gesto e ao uso da TI. Dessa forma, pode-se dizer
que o componente humano um fator crtico de sucesso para a governana de TI.
53.
Com efeito, cultura, tica e comportamento se referem ao conjunto de comportamentos
individuais e coletivos em uma organizao (ISACA, 2012a, p. 79) e devem ser levados em
considerao para a formulao dos princpios e diretrizes que direcionaro a gesto e o uso da TI.
Alguns desses comportamentos podem ser influenciados por estruturas organizacionais especficas
da instituio. Como exemplo, a unidade responsvel pela gesto de riscos contribui para que a
organizao dirija a forma como as unidades de negcio devem lidar com os riscos de TI que podem
influenciar o resultado de suas atividades.
54.
A questo cultural representa um importante aspecto da governana de TI, pois possibilita
que outros mecanismos possam cumprir adequadamente sua funo, de forma a proporcionar a
criao de valor para a organizao. Processos de TI, ainda que muito bem definidos, podem no
atingir os resultados esperados caso no haja comprometimento dos atores envolvidos na execuo
das atividades do processo da maneira como foram planejadas. Da mesma forma, a efetividade das
estruturas organizacionais na melhoria da governana e da gesto da TI depende da adequada
implementao das decises que elas tomam, o que pode no ocorrer caso as pessoas responsveis
no estejam suficientemente motivadas ou comprometidas com a organizao.
55.
Para ilustrar a forma como o aspecto cultural pode influenciar negativamente a
governana de TI, pode-se citar algumas situaes, tais como: corpo tcnico que no adota as
diretrizes de governana de TI estabelecidas pela alta administrao; pessoas influentes na
organizao que determinam a priorizao de projetos de TI com base em critrios eminentemente
polticos, abstendo-se de observar os parmetros tcnicos previamente definidos para a realizao
desse trabalho; alta administrao que no monitora os indicadores de desempenho da rea de TI e
no toma decises a respeito por entender, equivocadamente, que essa atividade no de sua
competncia, mas somente do setor de TI.
56.
Diante disso, entende-se que os esforos relacionados governana e gesto de TI
podem no ser efetivos caso o envolvimento e o comprometimento das pessoas sejam insuficientes
10

para promover as mudanas pretendidas. necessrio que a alta administrao defina e incentive o
comportamento esperado, bem como acompanhe a sua adoo pelo restante da organizao.
57.
Nesse sentido, torna-se recomendvel a adoo de aes de sensibilizao, tais como a
realizao de workshops e treinamentos, para que as pessoas responsveis pela tomada de decises e
pelo cumprimento de polticas, planos e prticas de TI tenham a percepo de que o engajamento de
todos na melhoria da governana de TI na organizao componente essencial para o alcance dos
objetivos de negcio e, assim, para o cumprimento da misso institucional. O prprio Cobit 5, no
mbito atividade 4 da prtica de gesto APO07.3 Maintain the skills and competencies of personnel
(Manter habilidades e competncias de pessoal traduo livre), recomenda o aprimoramento de
habilidades comportamentais como parte das aes de capacitao do pessoal da organizao
(ISACA, 2012b, p. 85).
58.
Outra boa prtica relacionada ao componente cultural consiste na adoo, por lderes
responsveis pela governana de TI, do comportamento a ser seguido pelos demais colaboradores da
organizao, exercendo, assim, a liderana pelo exemplo. Essa uma forma eficaz de transmitir os
valores e princpios de governana que devem ser observados na instituio. Nesse sentido, a fim de
encorajar as pessoas a se engajarem com as iniciativas de melhoria da governana de TI, a prpria
alta administrao da organizao deve mostrar envolvimento com o assunto por meio de suas aes,
tais como efetivamente monitorar as polticas que trazem princpios e diretrizes sobre o tema, bem
como comprometer-se com a alocao de recursos para o adequado funcionamento das estruturas
organizacionais que atuam na governana de TI.
Diante do exposto, chega-se aos seguintes entendimentos:
Entendimento IV.
Convm promover os valores relacionados cultura, tica e comportamento
que favoream as mudanas necessrias em prol da melhoria da governana de TI, a exemplo da
adoo, pela alta administrao, do comportamento que esperado do restante dos colaboradores da
organizao.
Entendimento V.
Convm realizar aes de sensibilizao de todas as pessoas da organizao
envolvidas com a governana de TI em todos os nveis e reas, no se restringindo somente ao setor
de TI, de forma que a cultura organizacional valorize as iniciativas de amadurecimento da governana
de TI em prol do cumprimento da misso institucional.
V.2.5
Pessoas, habilidades e competncias
59.
Pessoas representam o ativo mais importante de uma organizao. So elas que, mediante
uso de suas habilidades e competncias, executam um conjunto de atividades que visam a atender as
necessidades do negcio, de forma a dar cumprimento misso institucional.
60.
No contexto da APF, pessoas em nmero suficiente para atender s demandas de TI da
instituio que sejam detentoras de habilidades e competncias necessrias constituem tema perante
o qual o TCU tem se debruado nos ltimos anos. Exemplo recente de avaliao abrangente da
estrutura de recursos humanos alocados na rea de TI, o Acrdo 1.200/2014-TCU-Plenrio revela
diversos problemas de gesto do pessoal que desempenha funes de TI no setor pblico federal,
entre eles a ausncia de planejamento para o preenchimento contnuo de vagas de TI, bem como a
execuo da poltica de qualificao sem o devido planejamento, conforme consta do item 5 do Voto
Condutor do referido acrdoix.
61.
No que tange governana de TI, pessoas, habilidades e competncias so necessrias
para a correta tomada de decises (ISACA, 2012a, p. 27). Para que os papis sejam corretamente
desempenhados no mbito das estruturas organizacionais, bem como para que os processos de
governana e de gesto de TI sejam executados com sucesso, necessrio que as pessoas envolvidas
11

estejam adequadamente qualificadas, dotadas das habilidades tcnicas e comportamentais requeridas

para o trabalho.
62.
Diante disso, a fim de que os recursos humanos envolvidos com aes de TI estejam
comprometidos e adequadamente capacitados para exercerem suas funes, as organizaes pblicas
podem recorrer s prticas descritas no processo APO07 Manage Human Resources (Gerenciar
Recursos Humanos traduo livre) do Cobit 5, que abrange atividades relacionadas manuteno
de pessoal apropriado, ao planejamento e acompanhamento do uso de recursos humanos de TI e de
negcio, entre outras prticas (ISACA, 2012b, p. 83-84).
63.
Nesse contexto, convm que a organizao planeje a estratgia de obteno do
conhecimento que ainda no detm internamente a partir do levantamento das habilidades e
competncias necessrias para o exerccio das atribuies das pessoas responsveis por executar
aes de TI em todos os nveis, sejam de governana, de gesto ou de execuo. Com base nesse
levantamento, a organizao tem melhores condies de decidir se deve investir em aes internas de
capacitao ou promover o recrutamento de pessoal.
64.
Registre-se, por oportuno, que a capacitao permanente de pessoal que exerce funes
de TI no mbito da APF objeto de constantes deliberaes desta Corte de Contas (Acrdos
1.233/2012, itens 9.9.2, 9.13.11 e 9.15.15x; 2.585/2012, item 9.1.2xi; 1.200/2014, item 9.1.4xii; todos
do Plenrio do TCU).
65.
Alm do aspecto de qualificao dos profissionais, as instituies precisam dispor de
quantitativo de pessoal compatvel com o adequado desempenho de funes relacionadas TI, que
incluem, entre outras, atribuies intrnsecas governana e gesto de TI, execuo de atividades
operacionais de TI, bem como aquelas ligadas gesto das solues de TI exercidas por unidades de
negcio.
66.
Assim sendo, convm que a organizao pblica defina a estratgia de provimento de
pessoal para exercer essas funes, seja mediante redistribuio interna ou por meio da realizao de
concurso pblico, entre outras possibilidades.
67.
Cabe ressaltar que a opo pela execuo indireta de servios influencia diretamente o
quantitativo de pessoal prprio de TI a ser alocado na instituio. Por um lado, a contratao de
fornecedores externos para prestarem servios que so de competncia do setor de TI pode implicar
na reduo da necessidade de pessoal do quadro efetivo da organizao. Por outro, pode demandar o
aumento de pessoal com competncias gerenciais para realizar o planejamento e a gesto dos
contratos celebrados com empresas fornecedoras de solues de TI.
68.
Nesse contexto, surge a necessidade de realizao de estudos peridicos que tenham por
objetivo levantar o quantitativo de pessoal prprio de TI adequado para atender s demandas
institucionais, de acordo com a estratgia definida. A importncia desses estudos no mbito da APF
tem sido enfatizada pelo TCU ao longo dos ltimos anos. Com efeito, esta Corte de Contas tem
emitido recomendaes endereadas aos OGS no sentido de que orientem aos seus jurisdicionados a
realizarem avaliaes sobre a situao de pessoal de TI da respectiva organizao, tanto do ponto de
vista quantitativo quanto de qualificao dos seus profissionais (Acrdo 1.233/2012-TCU-Plenrio,
item 9.2.2xiii). Os resultados dessas avaliaes devem subsidiar a alocao de pessoal de TI em
quantitativo suficiente e dotado de habilidades e competncias necessrias para que a TI seja capaz
de entregar valor instituio, conforme se depreende da leitura do item 9.1.2 do Acrdo
1.603/2008-TCU-Plenrio, transcrito a seguir:
9.1. recomendar ao Conselho Nacional de Justia - CNJ e ao Conselho Nacional do Ministrio Pblico
- CNMP que, nos rgos integrantes da estrutura do Poder Judicirio Federal e do Ministrio Pblico da
Unio, respectivamente:
(...)
12

9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores

efetivos necessrio ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua
capacitao, como forma de evitar o risco de perda de conhecimento organizacional, pela atuao
excessiva de colaboradores externos no comprometidos com a instituio;
69.
Ante o exposto, conclui-se que, tanto o Cobit 5 quanto o TCU ressaltam que pessoas
adequadamente qualificadas so essenciais para a viabilizao da governana de TI no mbito da
APF.
70.
Chega-se, portanto, ao seguinte entendimento:
Entendimento VI.
Convm alocar recursos humanos prprios em nmero suficiente para executar
as funes relacionadas TI, de acordo com a estratgia definida pela organizao com respaldo em
avaliaes objetivas dos quantitativos necessrios, buscando e desenvolvendo as habilidades e
competncias essenciais ao exerccio de suas atribuies.
V.3
Do Sistema de Governana de TI
71.
A definio em mbito institucional de viabilizadores de governana de TI, tais como
polticas, processos e estruturas organizacionais, importante para que a instituio tenha condies
mnimas de governar a TI da organizao. No entanto, nem sempre os mecanismos estabelecidos so
efetivos.
72.
Por meio de auditorias de governana de TI realizadas pela Sefti em rgos e entidades
da APF, foram identificadas situaes em que a instituio formalizava um conjunto de mecanismos,
porm no os colocava plenamente em prtica. Como exemplo, pode-se citar a existncia de planos
de TI em que o alcance dos objetivos e metas no periodicamente acompanhado pela alta
administrao da organizao pblica, bem como a formalizao de polticas que envolvem recursos
de TI, tais como a Poltica de Segurana da Informao (PSI) e a Poltica de Controle de Acesso
(PCA), que no so cumpridas pelos colaboradores da instituio, tampouco so monitoradas pela
alta administrao.
73.
Dessa forma, entende-se que, a definio de mecanismos de governana de TI em mbito
institucional, por si s, no assegura que eles estejam sendo teis para que os recursos investidos em
TI sejam utilizados de acordo com as prioridades do negcio e das demais partes interessadas. Ao
contrrio, pode constituir mero desperdcio de recursos, tempo e energia. Faz-se necessria, portanto,
a utilizao de uma abordagem que seja capaz de promover uma mudana na forma de se dirigir a TI
para a entrega de valor, aprimorando, assim, a percepo sobre o papel e a relevncia da TI para a
organizao, sobretudo no que diz respeito aos membros da alta administrao e aos gestores das
unidades de negcio das organizaes pblicas federais.
74.
Uma possvel abordagem nesse sentido consiste na implantao de um sistema de
governana, que o modo como os diversos atores se organizam, interagem e procedem para obter
boa governana e compreende as instncias internas e externas de governana, fluxo de informaes,
processos de trabalho e atividades relacionadas avaliao, direcionamento e monitoramento (Brasil,
2014b, p. 12).
75.
No contexto desta nota tcnica, sistema de governana de TI (SGTI) compreendido
como o conjunto dos viabilizadores e seus relacionamentos, que interagem com objetivo de entregar
benefcios para a organizao com recursos otimizados e riscos gerenciados. Dessa forma, o SGTI
compreende as polticas, as prticas, os processos, as estruturas organizacionais, entre outros
mecanismos. A implantao desse sistema de forma estruturada pressupe a definio de papis e
responsabilidades pelo uso e pela gesto dos recursos de TI em todos os nveis da organizao, desde
a alta administrao at o pessoal responsvel pelas atividades operacionais de TI.
13

76.
Para que o sistema possa operar adequadamente, de forma a possibilitar que as
instituies pblicas federais detenham governana sobre a TI, recomendvel que os viabilizadores
e o prprio SGTI sejam formalmente institudos, a fim de que sejam conhecidos e aplicados por toda
a organizao. Considerando que as polticas so instrues claras para transmitir o comportamento
esperado e que, no mbito da APF, so materializadas por documento formal de observncia
obrigatria por toda a instituio, convm que o SGTI e seus viabilizadores sejam formalmente
institudos por meio de uma poltica emitida pela alta administrao, possivelmente pela prpria
PGTI, j tratada anteriormente nesta nota tcnica (pargrafos 23 e 27).
77.
Com o objetivo de obter referncias para a implantao do seu SGTI, as organizaes
pblicas federais podem recorrer ao processo EDM01 Ensure Governance Framework Setting and
Maintenance (Garantir a definio e manuteno do framework de governana traduo livre) do
Cobit 5 (ISACA, 2012b, p. 31). Esse processo dividido em prticas de governana voltadas para a
avaliao, para a direo e para o monitoramento desse sistema (EDM 01.01, EDM 01.02 e
EDM 01.03), seguindo o ciclo avaliar-dirigir-monitorar preconizado na ABNT NBR ISO/IEC
38500.
78.
Cabe destacar que a forma de organizao do SGTI em cada rgo e entidade pblica
depende de diversos fatores, tais como necessidades e riscos de negcio, marco regulatrio aplicvel,
recursos disponveis etc. Sendo assim, de se esperar, por exemplo, que o SGTI concebido em uma
grande instituio financeira estatal que dispe de algumas centenas de milhes de reais para
investimento e sustentao da TI seja mais complexo e requeira a implantao de mais mecanismos
de governana de TI do que aqueles necessrios em uma fundao de apoio, que, via de regra, dispe
de menos recursos e necessidades em TI, dada a natureza das suas atividades.
79.
Entendimento VII. Convm definir o Sistema de Governana de TI da organizao, que seja

formalmente institudo por meio da Poltica de Governana de TI e composto pelo conjunto de
viabilizadores necessrios para avaliar, dirigir e monitorar a gesto e o uso da TI, a exemplo do
definido na ABNT NBR ISO/IEC 38500 e no Cobit 5, de forma a proporcionar o aprimoramento
contnuo e gradual da governana de TI na instituio, considerando seu contexto especfico.
V.4
Do aprimoramento contnuo da governana de TI
80.
No mbito da APF, esperado que as necessidades das partes interessadas mudem ao
longo do tempo. A alternncia frequente dos administradores responsveis pelas instituies pblicas
implica, muitas vezes, em redefinio das prioridades de negcio e, por consequncia, dos objetivos
de TI. Alm disso, novas leis e regulamentos so produzidos com frequncia pelas instncias
normatizadoras, alterando ou criando necessidades de negcio que devem ser adequadamente
consideradas pelas organizaes pblicas federais. Esse ambiente de mudanas exige que as
organizaes da APF tenham condies de direcionar adequadamente a gesto e o uso da TI de forma
a atender tempestivamente s demandas que surgem.
81.
Nessa esteira, haver necessidade de alterao dos mecanismos de governana de TI com
o passar do tempo. Os diversos componentes do sistema, tais como polticas, processos, estruturas
organizacionais, recursos alocados, habilidades e competncias eventualmente precisam ser
redefinidos e modificados de acordo com o novo contexto. Em outras palavras, os mecanismos de
governana de TI de uma instituio pblica federal, que compem o SGTI da organizao, devem
ser constantemente reavaliados e aprimorados para que a TI continue sendo capaz de entregar valor.
82.
Em particular, em instituies de menor maturidade em governana e gesto de TI,
esperado que a necessidade de implementao de aprimoramentos no ambiente seja maior. Com
efeito, infere-se que a quantidade de mudanas em processos, prticas, polticas, bem como em outros
14

viabilizadores, tende a se reduzir ao longo do tempo conforme a instituio evolui, gerando maior
estabilidade nos mecanismos implantados e consumindo menos recursos para seu aprimoramento.
83.
Dessa forma, com o propsito de garantir que o SGTI esteja em consonncia com os
objetivos institucionais e em contnuo aperfeioamento, convm o estabelecimento de um processo
formal de aprimoramento contnuo da governana de TI, na organizao. Duas importantes
referncias para um processo dessa natureza so os processos EDM01, j citado, e o APO01
(Gerenciar o Framework de Gerenciamento de TI, traduo livre) do Cobit 5.
84.
No se pretende, no mbito desta nota tcnica, definir um formato especfico para esse
processo com os respectivos insumos, sadas, papis e atividades. No entanto, sero feitas
consideraes sobre as principais etapas que um processo dessa natureza deve contemplar. Tendo por
base boas prticas administrativas como o ciclo Plan-Do-Check-Act (PDCA), os sistemas de gesto
definidos nas normas ISO e o ciclo de implementao do Cobit 5 (ISACA, 2012c, p. 36-38), entendese que o processo deve contemplar pelo menos as seguintes etapas:
a)
diagnstico: avaliao da situao atual da governana de TI;
b)
planejamento: definio do estado almejado e planejamento das mudanas necessrias;
c)
execuo: implementao das mudanas e dos aprimoramentos;
d)
operao e medio: operao do sistema com os aprimoramentos incorporados, medio
da sua eficincia e eficcia;
e)
avaliao: verificao do sucesso do plano/ciclo, promovendo a melhoria contnua por
meio de um novo ciclo.
85.
A figura a seguir apresenta o processo de aprimoramento contnuo da governana de TI
no contexto do SGTI:
Figura 2: Amadurecimento contnuo da governana de TI.
15

86.
A primeira etapa do referido processo consiste na realizao de um diagnstico da
situao de governana de TI na organizao. Nessa etapa, convm que sejam realizadas pelo menos
as seguintes atividades:
86.1.
Avaliao do ambiente de governana e de gesto de TI da organizao: essa atividade
permite analisar o ambiente corporativo no contexto da governana de TI. Convm identificar e
avaliar:
a)
as partes interessadas e estruturas organizacionais que influenciam ou so afetadas pelo
uso e pela gesto da TI na organizao (ex.: alta administrao, gestores de negcio, rgos de
controle, fornecedores de servios de TI etc.), bem como quais das suas necessidades;
b)
as leis e regulamentos que afetam a forma de atuao da TI na instituio e para os quais
a conformidade deve ser garantida;
c)
os processos e prticas de TI atualmente implantados;
d)
os riscos decorrentes da baixa maturidade em governana de TI, tais como a falta de
alinhamento entre TI e o negcio, a realizao de investimentos em TI que no geram o benefcio
esperado, a desconformidade com o marco regulatrio aplicvel, entre outros;
e)
as situaes que esto causando transtornos organizao e podem decorrer de falhas na
governana de TI, tais como: incidentes significativos de TI que podem gerar riscos ao negcio; falhas
de projetos; insatisfao com servios fornecidos; problemas com a entrega de servios contratados;
pessoal com competncias inadequadas e falta de patrocinadores de negcio comprometidos e
satisfeitos com a TI.
86.2.
Avaliao do compromisso da alta administrao com a governana de TI: essa atividade
visa a verificar se a alta administrao da instituio est efetivamente engajada com a governana
de TI. Convm realizar as seguintes tarefas:
a)
identificar as polticas corporativas que contm princpios e diretrizes relacionados
governana de TI;
b)
verificar o estabelecimento dos papis e das responsabilidades ligadas governana de
TI, bem como a alocao de recursos (humanos e financeiros) para o funcionamento do sistema;
c)
avaliar o grau de monitoramento do SGTI pela alta administrao.
87.
A segunda etapa do processo consiste no planejamento das aes necessrias para que a
organizao seja capaz de aprimorar a sua capacidade de governar a TI de forma a entregar valor,
considerando o resultado do diagnstico obtido na etapa anterior. Nesse sentido, convm definir:
a)
os objetivos, os indicadores e as metas de governana de TI. Devem ser aderentes aos
princpios e diretrizes estabelecidos na PGTI, bem como estar alinhados estratgia da organizao
e considerar os riscos que podem afetar negativamente a governana de TI;
b)
as habilidades e competncias que devem ser adquiridas para que os objetivos e metas de
governana de TI sejam atingidos;
c)
as aes (atividades, projetos e contrataes) para alcanar os objetivos e metas de
governana de TI, os recursos necessrios (humanos e financeiros), os responsveis pela execuo
das aes contidas no plano, o prazo para alcance dos objetivos e metas de governana de TI e de que
forma os resultados alcanados sero avaliados, priorizando-se a implementao de solues que
sejam mais rpidas de se implementar (quick wins traduo livre) e que podem gerar maior benefcio
para a organizao.
16

88.
Cabe registrar que o TCU, por meio do Acrdo 2.585/2012-TCU-Plenrio, recomendou
aos OGS que orientassem as instituies sob suas respectivas jurisdies para que definissem e
formalizassem metas de governana baseadas em parmetros de governana, necessidades de negcio
e riscos relevantes como parte do plano diretor de tecnologia da informao (PDTI) da instituioxiv.
Nesse sentido, possvel que o planejamento da governana de TI seja integrado ao prprio
planejamento da tecnologia da informao.
89.
A terceira etapa do processo consiste na execuo do plano propriamente dito, na qual
sero executadas as aes definidas durante a etapa de planejamento para aprimorar o SGTI, de forma
a alcanar os objetivos e metas de governana de TI previamente estabelecidos. Em sntese, nessa
etapa sero estabelecidas as polticas que dispem sobre a governana de TI na instituio e
direcionam a atuao da gesto. Tambm sero implantados os processos e criadas as estruturas
organizacionais, bem como sero executadas as aes de capacitao do pessoal nas competncias e
habilidades de TI consideradas como necessrias para apoiar o alcance dos objetivos organizacionais.
Nessa etapa, tambm so colocadas em prtica aes de sensibilizao do pessoal quanto ao
comportamento esperado pela instituio.
90.
Aps a execuo do plano, tem-se a etapa de operao e medio do SGTI. Nesta etapa,
os viabilizadores criados e implantados operam em prol da governana da TI na instituio, isto , as
estruturas organizacionais tomam decises sobre assuntos ligados governana e gesto de TI, os
processos que foram implantados so executados e produzem resultados, as pessoas usam as
competncias e habilidades adquiridas para exercerem adequadamente as suas atribuies observando
os princpios contidos nas polticas e adotando o comportamento esperado pela instituio. Ao mesmo
tempo, a operao do SGTI constantemente monitorada pela instncia responsvel e os resultados
desse acompanhamento so comunicados alta administrao.
91.
Por fim, executa-se a avaliao do desempenho do SGTI com base na medio realizada
na etapa anterior. Espera-se que o responsvel por essa avaliao, que pode ser uma unidade
organizacional com atribuies ligadas implantao e aprimoramento da governana de TI ou o
prprio comit de TI, verifique o grau de alcance dos objetivos e das metas de governana de TI
previamente estabelecidas, identificando, tambm, as causas que eventualmente levaram a eventuais
descumprimentos. Ademais, so identificadas e documentadas as aes necessrias para correo de
desvios ocorridos no ciclo anterior, de forma a possibilitar as mudanas necessrias para que o SGTI
continue a cumprir com o seu objetivo, bem como apoiar a etapa de diagnstico do ciclo seguinte.
92.
Entendimento VIII. Convm estabelecer um processo formal de aprimoramento contnuo da

governana de TI na organizao, contemplando as responsabilidades das partes envolvidas e, no
mnimo, as seguintes etapas: diagnstico (avaliao da situao atual da governana de TI);
planejamento (definio do estado almejado e planejamento das mudanas necessrias); execuo
(implementao das mudanas e dos aprimoramentos); operao e medio (operao do sistema com
os aprimoramentos incorporados, medio da sua eficincia e eficcia); e avaliao (verificao do
sucesso do plano/ciclo, promovendo a melhoria contnua por meio de um novo ciclo).
(assinado eletronicamente)
Rafael Albuquerque da Silva
AUFC Matrcula TCU 7658-9
17

De acordo.
Mrcio Rodrigo Braz
Supervisor
De acordo.
Daniel Jezini Netto
Secretrio de Fiscalizao de Tecnologia da Informao
18

VI REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS - ABNT. ABNT NBR ISO/IEC 38500:2009 Governana
corporativa de tecnologia da informao. Objetivo: Fornecer uma estrutura de princpios para os dirigentes usarem na
avaliao, gerenciamento e monitoramento do uso da tecnologia da informao em suas organizaes. 2009.
AUSTRLIA. Australian Public Service Commission. Building Better Governance. 2007. Disponvel em:
<http://www.apsc.gov.au/__data/assets/pdf_file/0010/7597/bettergovernance.pdf >. Acesso em: 1 set. 2014.
BRASIL. Constituio da Repblica Federativa do Brasil, de 5 de outubro de 1988. 1988. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/Constituicao/Constituiao.htm>. Acesso em: 4 set. 2014.
_____. Tribunal de Contas da Unio TCU. Levantamento do referencial estratgico da Secretaria de Fiscalizao
de
Tecnologia
da
Informao
(Sefti).
2008a.
Disponvel
em:
<http://portal2.tcu.gov.br/portal/pls/portal/docs/2091848.PDF>. Acesso em: 10 set. 2014.
_____._____.
Acrdo
1.603/2008-TCU-Plenrio.
2008b.
Disponvel
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc%5CAcord%5C20080814%5C008-380-2007-1-GP.doc>.
em: 4 set. 2014.
em:
Acesso
_____._____.
Acrdo
2008.
Disponvel
em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc%5CAcord%5C20081110%5C019.230%202007-2-MIN-BZ.rtf>.
Acesso em 4 set. 2014.
_____._____.
Acrdo
2010.
Disponvel
em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc%5CAcord%5C20100913%5CAC_2308_33_10_P.doc>. Acesso em
4 set. 2014.
_____._____.
Plano
Estratgico
2011-2015.
2011.
Disponvel
em
:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/planejamento_gestao/planejamento2011/pet.pdf>. Acesso em 10 set.
2014.
_____._____.
Acrdo
2012.
Disponvel
em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20120528/AC_1233_19_12_P.doc>. Acesso em 4 set. 2014.
_____._____.
Acrdo
2012.
Disponvel
em:
_____._____.
Questionrio
de
Governana
de
TI
2014.
2014a.
Disponvel
em:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/pesquisas_governanca/Perfil%2
0GovTI2014%20-%20Question%C3%A1rio-v1.pdf>. Acesso em: 1 ago. 2014.
_____._____.
10
passos
para
a
boa
governana.
2014b.
Disponvel
em:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/governanca/10%20passos%20para%20a%20boa%20go
vernan%C3%A7a.pdf>. Acesso em: 4 set. 2014.
_____._____.
Acrdo
2014c.
Disponvel
em:
_____. Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento Oramento e Gesto
SLTI/MP.
Guia
de
Comit
de
TI
do
Sisp:
verso
2.0.
2013.
Disponvel
em:
<http://www.sisp.gov.br/kitgestorti/download/file/guia_de_comite_de_TI_do_SISP_v2.pdf>. Acesso em: 13 ago. 2014.
ISACA. Cobit 5 A Business Framework for the Governance and Management of Enterprise IT. 2012a.
_____. Cobit 5 Enabling Processes. 2012b.
_____. Cobit 5 Implementation. 2012c.
ITGI. Board Briefing on IT Governance, 2nd Edition. Rolling Meadows, IL (EUA): IT Governance Institute, 2003.
ISBN 1-893209-64-4. Disponivel em: <http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pages/Board-Briefing-on-IT-Governance-2nd-Edition.aspx>. Acesso em: 24 set.
2014.
19

APNDICE I
HISTRICO DE REVISES
Data
Documento/Evento
12/9/2014 Publicao para consulta interna por servidores do TCU.

24/9/2014 Incluso de sugestes formuladas por servidores da Sefti e da
Assig.
30/9/2014 Incluso de novas sugestes formuladas por servidores da Sefti.
Verso encaminhada para o Gabinete do Relator da FOC de
resultados e riscos de TI (TC 023.050.2013-6)
Verso
2.4
2.6
2.8
20

APNDICE II
Excertos da legislao e da jurisprudncia do TCU
i
Acrdo 1.603/2008-TCU-Plenrio
9.1. recomendar ao Conselho Nacional de Justia - CNJ e ao Conselho Nacional do Ministrio Pblico
- CNMP que, nos rgos integrantes da estrutura do Poder Judicirio Federal e do Ministrio Pblico da
Unio, respectivamente:
9.1.1. promovam aes com o objetivo de disseminar a importncia do planejamento estratgico,
procedendo, inclusive mediante orientao normativa, aes voltadas implantao e/ou
aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit
diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e
prioridades da organizao;
9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores
9.1.3. orientem sobre a importncia do gerenciamento da segurana da informao, promovendo,
inclusive mediante normatizao, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade
do negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de
incidentes, a anlise de riscos de TI, a rea especfica para gerenciamento da segurana da informao,
a poltica de segurana da informao e os procedimentos de controle de acesso;
9.1.4. estimulem a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse
sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana;
9.1.5. promovam aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio de
TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos
servios contratados externamente s necessidades da organizao;
9.1.6. envidem esforos visando implementao de processo de trabalho formalizado de contratao
de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de
procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006-TCU-Plenrio;
9.1.7. adotem providncias com vistas a garantir que as propostas oramentrias para a rea de TI sejam
elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos do
negcio;
9.1.8. introduzam prticas voltadas realizao de Auditorias de TI, que permitam a avaliao regular
da conformidade, da qualidade, da eficcia e da efetividade dos servios prestados;
9.2. recomendar ao Gabinete de Segurana Institucional da Presidncia da Repblica - GSI/PR que
oriente os rgos/entidades da Administrao Pblica Federal sobre a importncia do gerenciamento da
segurana da informao, promovendo, inclusive mediante orientao normativa, aes que visem
estabelecer e/ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de
capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea
especfica para gerenciamento da segurana da informao, a poltica de segurana da informao e os
procedimentos de controle de acesso;
[...]
9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto - MPOG que, nos rgos/entidades
da Administrao Pblica Federal:
9.4.1. promova aes com o objetivo de disseminar a importncia do planejamento estratgico,
procedendo, inclusive mediante orientao normativa, execuo de aes voltadas implantao e/ou
21

aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit

diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e
prioridades da organizao;
9.4.2. atente para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores
9.4.3. estimule a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse
sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana;
9.4.4. promova aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio de TI,
de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos servios
contratados externamente s necessidades da organizao;
9.4.5. adote providncias com vistas a garantir que as propostas oramentrias para a rea de TI sejam
elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos de
negcio;
ii
9.4. recomendar, com fulcro no art. 43, I, da Lei n 8.443/1992, Secretaria-Executiva do Ministrio do
Planejamento, Oramento e Gesto que:
[...]
9.4.4. elabore um modelo de governana de TI para os entes integrantes do Sisp a partir das boas prticas
existentes sobre o tema (Cobit, Itil, NBR ISO/IEC 27002) e promova sua implementao nos diversos
rgos e entidades sob sua coordenao, mediante orientao normativa. Referida orientao deve
conter, no mnimo: o conjunto de processos que devem ser considerados de alta importncia; o processo
de trabalho utilizado para identificar quais processos de TI devem ter sua implementao priorizada; um
guia para implantao dos processos de TI e os nveis de maturidade mnima para os processos
implementados;
9.4.5. adote as medidas necessrias para prover os setores de informtica dos rgos e entidades da
Administrao Pblica Federal da estrutura organizacional e de quadro permanente de pessoal que sejam
suficientes para realizar, de forma independente das empresas prestadoras de servios, o planejamento,
a definio, a coordenao, a superviso e o controle das atividades de informtica, com a finalidade de
garantir a autoridade e o controle da Administrao sobre o funcionamento daqueles setores. Deve ser
avaliada a convenincia e a oportunidade da criao de carreira especfica, semelhante ao ocorrido com
as carreiras de Especialista em Meio Ambiente e a de Analista de Infra-Estrutura;
[...]
9.4.7. em ateno ao Princpio constitucional da Eficincia e s disposies contidas no Decreto-Lei n
200/1967, art. 6, I, implante no Ministrio um processo de planejamento institucional que organize as
estratgias, as aes, os prazos e os recursos financeiros, humanos e materiais, alm de definir os
resultados a alcanar, a fim de minimizar a possibilidade de desperdcio de recursos pblicos e de
prejuzo ao cumprimento dos objetivos institucionais do Ministrio, em especial s funes decorrentes
de ser o rgo central do Sisg e do Sisp. Devem ser observadas as prticas contidas no critrio 2 Estratgias e Planos do Programa Nacional de Gesto Pblica e Desburocratizao (Gespblica);
iii
9.1. recomendar ao Conselho Nacional de Justia - CNJ, ao Departamento de Coordenao e Controle
das Empresas Estatais - Dest, Secretaria de Logstica e Tecnologia da Informao do Ministrio do
Planejamento, Oramento e Gesto - SLTI/MPOG, ao Conselho Nacional do Ministrio Pblico CNMP, Secretaria Geral da Presidncia do Tribunal de Contas da Unio - Segepres/TCU, Diretoria
22

Geral da Cmara dos Deputados e Diretoria Geral do Senado Federal que, no mbito de suas
respectivas reas de atuao:
9.1.1. orientem as unidades sob sua jurisdio, superviso ou estrutura acerca da necessidade de
estabelecer formalmente: (i) objetivos institucionais de TI alinhados s estratgias de negcio; (ii)
indicadores para cada objetivo definido, preferencialmente em termos de benefcios para o negcio da
instituio; (iii) metas para cada indicador definido; (iv) mecanismos para que a alta administrao
acompanhe o desempenho da TI da instituio;
9.1.2. normatizem a obrigatoriedade de a alta administrao de cada instituio sob sua jurisdio,
superviso ou estrutura estabelecer os itens acima;
iv
9.1. recomendar ao Conselho Nacional de Justia, Conselho Nacional do Ministrio Pblico, Secretaria
de Logstica e Tecnologia da Informao e Comisso Interministerial de Governana Corporativa e de
Administrao de Participaes Societrias da Unio, com fundamento na Lei n 8.443/92, art. 43, inciso
I, c/c Regimento Interno do TCU, art. 250, inciso III, que:
9.1.1. orientem as instituies sob sua jurisdio para que:
9.1.1.1. em ateno ao art. 6 da Lei n 12.527/2011 e aos princpios da transparncia e da prestao de
contas, implementem instrumentos de planejamento estratgico institucional e de tecnologia da
informao, dando-lhes ampla divulgao, com exceo das informaes classificadas como no
pblicas, nos termos da lei;
9.1.1.2. identifiquem os processos crticos de negcio e designem formalmente os gestores responsveis
pelos sistemas de informao que do suporte a esses processos, semelhana das orientaes da ABNT
NBR ISO/IEC 38500;
9.1.1.3. definam e formalizem metas de governana, como parte do plano diretor de tecnologia da
informao da instituio, baseadas em parmetros de governana, necessidades de negcio e riscos
relevantes, atentando para as metas legais de cumprimento obrigatrio e as orientaes da ABNT NBR
ISO/IEC 31000;
[...]
9.3. recomendar Secretaria de Logstica e Tecnologia da Informao, do Ministrio do Planejamento,
Oramento e Gesto (MP), com fundamento na Lei n 11.907/2009, arts. 81 e 287, e no princpio do
comportamento humano, previsto na ABNT NBR ISO/IEC 38500, que, em conjunto com a Secretaria
de Gesto Pblica/MP, elabore plano de gesto de recursos humanos para o Sistema de Administrao
dos Recursos de Informao e Informtica;
v
Acrdo 2.585/2012-TCU-Plenrio (Voto Condutor)

Governana de tecnologia da informao faz parte da governana corporativa e consiste no
estabelecimento de mecanismos para assegurar que o uso da tecnologia da informao (TI) agregue
valor ao negcio, com riscos aceitveis.
vi
Constituio Federal da Repblica

Art. 37. A administrao pblica direta e indireta de qualquer dos Poderes da Unio, dos Estados, do
Distrito Federal e dos Municpios obedecer aos princpios de legalidade, impessoalidade, moralidade,
publicidade e eficincia e, tambm, ao seguinte:
vii
Decreto-Lei 200/1967
Art. 6 As atividades da Administrao Federal obedecero aos seguintes princpios fundamentais:
23

I Planejamento.
II Coordenao.
III Descentralizao.
IV Delegao de Competncia.
V Contrle.
viii
9.2. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III,
Secretaria de Logstica e Tecnologia da Informao (SLTI/MP) que:
9.2.1. normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI,
observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 - comit estratgico de TI e
PO4.3 - comit diretor de TI (subitem II.3);
[...]
Comisso Interministerial de Governana Corporativa e de Administrao de Participaes Societrias
da Unio (CGPAR) que:
9.11.1. normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI,
observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 - comit estratgico de TI e
PO4.3 - comit diretor de TI (subitem II.3);
ix
Voto condutor do Acrdo 1.200/2014-TCU-Plenrio

5.
Como resultado do levantamento, constatou-se que a estrutura de recursos humanos de TI da
APF, de forma geral, apresenta problemas, notadamente quanto falta de cargos e carreiras especficas;
carncia de pessoal especializado para gesto de TI; ocupao de cargos de gesto por pessoas
estranhas ao quadro, como requisitados, temporrios e at mesmo terceirizados; ausncia de
planejamento para preenchimento contnuo de vagas de TI; dificuldade de reteno de pessoal
especializado; poltica de qualificao executada sem o devido planejamento e, em alguns casos,
atuao tmida dos OGSs na identificao e soluo dos problemas.
x
9.9. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III,
ao Comit Gestor da Poltica Nacional de Desenvolvimento de Pessoal que, em ateno ao Decreto
5.707/2006, art. 7, II e IV:
[...]
9.9.2. estabelea, aps consulta Secretaria de Logstica e Tecnologia da Informao, um programa de
capacitao em governana e em gesto de tecnologia da informao (subitem II.9).
[...]
9.13. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III,
ao Conselho Nacional da Justia (CNJ) que:
[...]
9.13.11. estabelea um programa de capacitao em governana e em gesto de tecnologia da
informao (subitem II.9);
[...]
ao Conselho Nacional do Ministrio Pblico (CNMP) que:
24

[...]
9.15.15. estabelea um programa de capacitao em governana e em gesto de tecnologia da
informao (subitem II.9);
xi
9.1. recomendar ao Conselho Nacional de Justia, Conselho Nacional do Ministrio Pblico, Secretaria
de Logstica e Tecnologia da Informao e Comisso Interministerial de Governana Corporativa e de
Administrao de Participaes Societrias da Unio, com fundamento na Lei n 8.443/92, art. 43, inciso
I, c/c Regimento Interno do TCU, art. 250, inciso III, que:
[...]
9.1.2. se articulem com a Escola Nacional de Administrao Pblica e outras escolas de governo para
ampliar a oferta de aes de capacitao em planejamento e gesto de contratos de tecnologia da
informao para as instituies sob sua jurisdio;
xii
9.1. informar aos rgos governantes superiores, ou seja, ao Ministrio do Planejamento, Oramento e
Gesto (MPOG), ao Departamento de Coordenao e Governana das Empresas Estatais (Dest), ao
Conselho Nacional de Justia (CNJ) e ao Conselho Nacional do Ministrio Pblico (CNMP), bem como
aos rgos do Poder Legislativo, que as informaes apresentadas no presente relatrio de levantamento,
alm de outros trabalhos desenvolvidos por este Tribunal (e. g. Acrdos 786/2006, 2.471/2008,
2.585/2012, e 1.233/2012, todos do Plenrio), indicam a necessidade de reformulao da poltica de
pessoal de TI no que concerne :
[...]
9.1.4. permanente capacitao dos servidores, incluindo nessas aes o contedo multidisciplinar
necessrio ao exerccio das atribuies inerentes a essas funes, cujas competncias vo alm dos
conhecimentos de Tecnologia da Informao;
xiii
Secretaria de Logstica e Tecnologia da Informao (SLTI/MP) que:
[...]
9.2.2. oriente os rgos e entidades sob sua jurisdio a realizar avaliao quantitativa e qualitativa do
pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessrias para que
estes setores realizem a gesto das atividades de TI da organizao (subitem II.3);
xiv
9.1.
recomendar ao Conselho Nacional de Justia, Conselho Nacional do Ministrio Pblico,
Secretaria de Logstica e Tecnologia da Informao e Comisso Interministerial de Governana
Corporativa e de Administrao de Participaes Societrias da Unio, com fundamento na Lei n
8.443/92, art. 43, inciso I, c/c Regimento Interno do TCU, art. 250, inciso III, que:
[...]
9.1.1.3. definam e formalizem metas de governana, como parte do plano diretor de tecnologia da
informao da instituio, baseadas em parmetros de governana, necessidades de negcio e riscos
relevantes, atentando para as metas legais de cumprimento obrigatrio e as orientaes da ABNT NBR
ISO/IEC 31000;
25

Governança de TI Na APF Pelo TCU

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Governança de TI Na APF Pelo TCU

Încărcat de

Drepturi de autor:

Formate disponibile

TRIBUNAL DE CONTAS DA UNIO

Secretaria-Geral de Controle Externo

Nota Tcnica 7/2014 - Sefti/TCU verso 2.8

Braslia, 30 de setembro de 2014

Estruturas organizacionais ................................................................................................. 7

Cultura, tica e comportamento....................................................................................... 10

Pessoas, habilidades e competncias ............................................................................... 11

TRIBUNAL DE CONTAS DA UNIO

no levantamento realizado em 2012 (Acrdo 2.585/2012-TCU-Plenrio), embora, conforme

Distribuio por estgio de governana de TI

Figura 1: Distribuio das organizaes pblicas federais por estgio de governana de TI

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

de TI, de forma que a cultura organizacional valorize as iniciativas de amadurecimento da governana

Constituio da Repblica Federativa do Brasil, de 5 de outubro de 1988;

TRIBUNAL DE CONTAS DA UNIO

da TI na organizao mediante princpios e diretrizes que estabeleam a forma de atuao da gesto

Dos viabilizadores da governana de TI

Princpios, polticas e frameworks

TRIBUNAL DE CONTAS DA UNIO

se alcanar um determinado objetivo e fixam parmetros bsicos de governana de TI para a

Diante todo o exposto, chega-se ao seguinte entendimento:

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

na aprovao e na alocao de recursos destinados TI;

na priorizao de aes e projetos de TI;

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

institucionais, considerando-se tambm os riscos decorrentes da gesto e do uso de TI que podem

Cultura, tica e comportamento

TRIBUNAL DE CONTAS DA UNIO

Pessoas, habilidades e competncias

TRIBUNAL DE CONTAS DA UNIO

estejam adequadamente qualificadas, dotadas das habilidades tcnicas e comportamentais requeridas

TRIBUNAL DE CONTAS DA UNIO

9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores

Chega-se, portanto, ao seguinte entendimento:

TRIBUNAL DE CONTAS DA UNIO

Ante o exposto, chega-se ao seguinte entendimento:

Entendimento VII. Convm definir o Sistema de Governana de TI da organizao, que seja

Do aprimoramento contnuo da governana de TI

TRIBUNAL DE CONTAS DA UNIO

diagnstico: avaliao da situao atual da governana de TI;

planejamento: definio do estado almejado e planejamento das mudanas necessrias;

execuo: implementao das mudanas e dos aprimoramentos;

Figura 2: Amadurecimento contnuo da governana de TI.

TRIBUNAL DE CONTAS DA UNIO

os processos e prticas de TI atualmente implantados;

avaliar o grau de monitoramento do SGTI pela alta administrao.

TRIBUNAL DE CONTAS DA UNIO

Ante o exposto, chega-se ao seguinte entendimento:

Entendimento VIII. Convm estabelecer um processo formal de aprimoramento contnuo da

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

12/9/2014 Publicao para consulta interna por servidores do TCU.

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit

TRIBUNAL DE CONTAS DA UNIO

Acrdo 2.585/2012-TCU-Plenrio (Voto Condutor)

Constituio Federal da Repblica

TRIBUNAL DE CONTAS DA UNIO

Voto condutor do Acrdo 1.200/2014-TCU-Plenrio