Sunteți pe pagina 1din 70

Auditoria de Governana de TI

Secretaria de Fiscalizao
de Tecnologia da Informao

Andr Luiz Furtado Pacheco, CISA


Novembro
Secretaria de Fiscalizao de 2009 da Informao
de Tecnologia 1
Agenda
Objetivos
Governana? O que ? Para qu? Por qu?
Governana de TI e o Cobit 4.1
Governana de TI e a NBR ISO/IEC 38500
Falta de Governana de TI
Auditoria de Governana de TI
Governana de TI e compras pblicas
Levantamento acerca da Governana de TI na
Administrao Pblica Federal

Secretaria de Fiscalizao de Tecnologia da Informao 22


Objetivos
Conhecer conceitos atinentes governana de TI;
Compreender a importncia da governana de TI
no contexto organizacional e como ela se
relaciona com a prestao de servios
sociedade;
Conhecer o Cobit e como ele utilizado como
critrio de auditoria;
Conhecer formas de atuao da Sefti/TCU em
trabalhos de auditoria de governana de TI;
Discutir algumas questes de auditoria
relacionadas auditoria de governana de TI.
Secretaria de Fiscalizao de Tecnologia da Informao 33
Agenda
Objetivos
Governana? O que ? Para qu? Por qu?
Governana de TI e o Cobit 4.1
Governana de TI e a NBR ISO/IEC 38500
Falta de Governana de TI
Auditoria de Governana de TI
Governana de TI e compras pblicas
Levantamento acerca da Governana de TI na
Administrao Pblica Federal

Secretaria de Fiscalizao de Tecnologia da Informao 44


Governana
a maneira pela qual o poder exercido na
administrao dos recursos sociais e
econmicos de um pas visando o
desenvolvimento. (traduo livre da definio dada
pelo Banco Mundial no documento Governance and
Development, 1992)
Envolve o processo pelo qual a autoridade
exercida na administrao dos recursos de um
pas e influi na capacidade dos governos de
planejar, formular e implementar polticas e
cumprir funes.

Secretaria de Fiscalizao de Tecnologia da Informao 55


Governana Corporativa
Governana Corporativa o sistema pelo qual as
organizaes so dirigidas, monitoradas e incentivadas,
envolvendo os relacionamentos entre proprietrios,
conselho de administrao, diretoria e rgos de
controle. As boas prticas de governana corporativa
convertem princpios em recomendaes objetivas,
alinhando interesses com a finalidade de preservar e
otimizar o valor da organizao, facilitando seu acesso
ao capital e contribuindo para a sua longevidade. (IBGC
- Instituto Brasileiro de Governana Corporativa)

O Sistema pelo qual as organizaes so dirigidas e


controladas (NBR ISO/IEC 38500, item 1.6.2)

Secretaria de Fiscalizao de Tecnologia da Informao 66


Governana Corporativa
Surgiu para superar o conflito de agncia,
decorrente da separao entre a propriedade
(acionistas) e a gesto empresarial (agentes
especializados com poder de deciso sobre a
propriedade). O conflito de agncia ou conflito
agente-principal ocorre quando os interesses do
gestor no esto alinhados com os do
proprietrio. (IBGC - Instituto Brasileiro de
Governana Corporativa)

Trabalho interessante: Acrdo n 1.074/2009-


TCU-Plenrio

Secretaria de Fiscalizao de Tecnologia da Informao 77


Governana de TI
Governana de TI uma estrutura de
relacionamentos e processos para dirigir e
controlar a TI a fim de alcanar as metas da
instituio pela agregao de valor, enquanto se
mantm o equilbrio dos riscos versus retorno
sobre esta funo e seus processos. (traduo
livre de texto do ITGI IT Governance Institute)

O Sistema pelo qual o uso atual e futuro da TI


dirigido e controlado. (NBR ISO/IEC 38500,
item 1.6.3)

Secretaria de Fiscalizao de Tecnologia da Informao 88


Governana x Gesto
Gesto: O sistema de controles e processos
necessrio para alcanar os objetivos
estratgicos estabelecidos pela direo da
organizao (NBR ISO/IEC 38500, item 1.6.9)

Gesto controla tarefas executivas, enquanto


governana controla a gesto.

Governana no controla diretamente tarefas


executivas. Controla se h controles sobre as
tarefas executivas, monitorando-os e adotando
medidas corretivas sob certas situaes de risco
pr-definidas.
Secretaria de Fiscalizao de Tecnologia da Informao 99
Agenda
Objetivos
Governana? O que ? Para qu? Por qu?
Governana de TI e o Cobit 4.1
Governana de TI e a NBR ISO/IEC 38500
Falta de Governana de TI
Auditoria de Governana de TI
Governana de TI e compras pblicas
Levantamento acerca da Governana de TI na
Administrao Pblica Federal

Secretaria de Fiscalizao de Tecnologia da Informao 10


10
Cobit
IT Governance Institute - ITGI - verso 4.1
O Cobit (COntrol, governance and audit for
Business Information and related Technology)
um modelo de governana de TI que auxilia as
organizaes a gerenciarem seus requisitos de
controle, suas demandas tcnicas e seus riscos
de negcio, em consonncia com as exigncias
regulatrias e com os objetivos organizacionais
Recomendado pela Information Systems Audit
and Control Association (Isaca)

Secretaria de Fiscalizao de Tecnologia da Informao 11


11
Cobit
Padro de melhores prticas em controles sobre
o uso e a gesto de recursos de TI (incorpora os
melhores padres mundiais da rea de TI)
Controles induzidos pelos requisitos e
necessidades de negcio
As prticas de gesto recomendadas ajudam a
otimizar os investimentos de TI e fornecem
mtricas para avaliao dos resultados
Independe das plataformas de TI adotadas nas
organizaes

Secretaria de Fiscalizao de Tecnologia da Informao 12


12
Cobit
Acordo do Comit da Basilia II (2004).
Resoluo n 2.554 do Banco Central de 1998
(Dispe sobre a implantao e implementao de
sistema de controles internos).
Lei americana Sarbanes-Oxley de 2002 (Section
404: Assessment of internal control).
Circular n 249 da Susep de 2004 (Dispe sobre
a implantao e implementao de sistema de
controles internos nas sociedades seguradoras,
nas sociedades de capitalizao e nas entidades
abertas de previdncia complementar).

Secretaria de Fiscalizao de Tecnologia da Informao 13


13
Cobit
Pilares da Governana de TI no Cobit:
Alinhamento estratgico
Entrega de valor
Gerncia de recursos
Gerncia de riscos
Avaliao do desempenho

Foco em controle (o qu) e no na execuo


(como)!

Secretaria de Fiscalizao de Tecnologia da Informao 14


14
Cobit

Planejar e
Organizar

Monitorar e Adquirir e
Avaliar Implementar

Entregar e
Dar suporte

Secretaria de Fiscalizao de Tecnologia da Informao 15


15
Cobit
Est dividido em quatro domnios:
Planejamento e Organizao: avalia o alinhamento
estratgico da TI, cobrindo o uso de informao e
tecnologia e como isso pode ser usado para que
organizao atinja seus objetivos e metas.
Aquisio e Implementao: cobre os requisitos de
TI, aquisio de tecnologia e implementao dentro
dos processos de negcios da organizao.
Entrega e Suporte: avalia a entrega de valor ao
negcio, cobrindo aspectos de entrega de servios de
TI.
Monitorao e Avaliao: visa medir o desempenho,
por meio do monitoramento e avaliao do atual
sistema de TI da organizao.

Secretaria de Fiscalizao de Tecnologia da Informao 16


16
Cobit
Como o Cobit utilizado nas auditorias?
Seus objetivos de controle so utilizados como critrios de
auditoria.
Ele referenciado como um guia, uma referncia de boas
prticas de Governana de TI.
No possui o mesmo peso de uma lei ou norma !
Utilizado principalmente para propor recomendaes a
rgos e entidades.
Contudo, ele pode ser utilizado para propor determinaes
quando combinado com os normativos existentes (ex:
Acrdo n 669/2008-TCU-Plenrio) ou caso a equipe de
auditoria considere que a sua no-implementao ocasiona
riscos muito elevados (ex: Acrdo 1033/2009-TCU-
Plenrio, PCN na IN).

Secretaria de Fiscalizao de Tecnologia da Informao 17


17
Agenda
Objetivos
Governana? O que ? Para qu? Por qu?
Governana de TI e o Cobit 4.1
Governana de TI e a NBR ISO/IEC 38500
Falta de Governana de TI
Auditoria de Governana de TI
Governana de TI e compras pblicas
Levantamento acerca da Governana de TI na
Administrao Pblica Federal

Secretaria de Fiscalizao de Tecnologia da Informao 18


18
NBR ISO/IEC 38500
Histrico:
Publicada em 2008 pela ISO;
Recepcionada pela ABNT como NBR
ISO/IEC 38500 em abril de 2009.

Secretaria de Fiscalizao de Tecnologia da Informao 19


19
NBR ISO/IEC 38500
Tecnologia da Informao:
Os recursos necessrios para adquirir,
processar, armazenar e disseminar
informaes. (NBR ISO/IEC 38500, item
1.6.7)
Recursos:
Pessoas, procedimentos, software,
informaes, equipamentos, consumveis,
infraestrutura, capital e tempo (NBR ISO/IEC
38500, item 1.6.13)

Secretaria de Fiscalizao de Tecnologia da Informao 20


20
NBR ISO/IEC 38500
Governar a TI realizar 3 tarefas sobre 6
princpios:
Responsabilidade
Avaliar Estratgia

Aquisio
Dirigir
Desempenho

Conformidade
Monitorar
Procedimentos humanos

Secretaria de Fiscalizao de Tecnologia da Informao 21


21
NBR ISO/IEC 38500
Responsabilidades:
A responsabilidade por aspectos especficos
de TI pode ser delegada aos gerentes da
organizao. No entanto, a responsabilidade
pelo uso e entrega aceitvel, eficaz e eficiente
da TI pela organizao permanece com os
dirigentes e no pode ser delegada. (NBR
ISO/IEC 38500, Nota do item 2.2)
Ex: Acrdo n 2.079/2009-TCU-Plenrio

Secretaria de Fiscalizao de Tecnologia da Informao 22


22
Agenda
Objetivos
Governana? O que ? Para qu? Por qu?
Governana de TI e o Cobit 4.1
Governana de TI e a NBR ISO/IEC 38500
Falta de Governana de TI
Auditoria de Governana de TI
Governana de TI e compras pblicas
Levantamento acerca da Governana de TI na
Administrao Pblica Federal

Secretaria de Fiscalizao de Tecnologia da Informao 23


23
Falta de Governana de TI

Ausncia de posse de seus sistemas e


bases de dados.

Acrdo 2.023/2005-Plenrio

Secretaria de Fiscalizao de Tecnologia da Informao 24


24
Falta de Governana de TI
Acrdo 2.023/2005-Plenrio:
Documentao tcnica e programas fontes no esto
disponveis para a Administrao Pblica e, por mais
absurdo que possa parecer, ela no tem acesso aos
dados gerados por esses sistemas, a no ser da forma
como a dita empresa oferece. Ademais, atualmente
impossvel para a Administrao Pblica auditar esses
dados, para verificar se so fidedignos ou buscar
indcios de fraudes. A [contratada] condiciona sua
entrega, bem como da documentao tcnica dos
sistemas, assinatura de um Termo de Ajuste, objeto
de pendncia judicial que se arrasta h mais de um
ano, numa verdadeira afronta soberania nacional.

Secretaria de Fiscalizao de Tecnologia da Informao 25


Falta de Governana de TI

Completa dependncia tecnolgica.

Acrdo 889/2007-Plenrio

Secretaria de Fiscalizao de Tecnologia da Informao 26


Falta de Governana de TI
Acrdo 889/2007-Plenrio:
Tal providncia, de insero nos contratos de manuteno a
serem celebrados, de clusula que possibilite a migrao dos
dados, de propriedade do [ente pblico] para base de padro
aberto reconhecida por outros softwares, obviamente depende
de negociao junto empresa [contratada] e do seu interesse
em prestar o servio, especialmente se esse processo migratrio
depender dos conhecimentos exclusivos dessa empresa sobre o
sistema, ...
..., no compartilhados por outras empresas ou profissionais de
informtica. Tal providncia, em verdade, deveria ter sido
adotada desde a licitao realizada para a aquisio do sistema,
poca em que ainda no havia qualquer dependncia do [ente
pblico] junto ao fornecedor da soluo pretendida.

Secretaria de Fiscalizao de Tecnologia da Informao 27


Falta de Governana de TI

Aes paralelas, sem coordenao.

TC 022.059/2008-0

Secretaria de Fiscalizao de Tecnologia da Informao 28


Falta de Governana de TI
TC 022.059/2008-0:
A deficincia da rea de governana de TI aparece tambm por
conta do desdobramento do projeto [...], oriundo de aditivo ao
Contrato [...].
De acordo com a [Comisso], existe outro projeto em
desenvolvimento [em outro setor do ente pblico], chamado
Sistema [...], que teria a mesma finalidade do projeto [acima].
Em reunio com a Assessoria [...], levantou-se que, embora haja
certa diferena com relao abrangncia dos dois projetos, h
uma superposio entre os mesmos, com relao a finalidades e
a informaes que devem ser encaminhadas [...].

Secretaria de Fiscalizao de Tecnologia da Informao 29


Falta de Governana de TI
TC 022.059/2008-0 (continuao):
Registra-se que esta equipe de auditoria no chegou a avaliar a
congruncia entre os dois projetos citados e outros atualmente
em desenvolvimento na instituio, e que podem tambm conter
aes paralelas, como o Sistema [...] e o Sistema [...].
A presena de atividades paralelas e superpostas evidencia a
lacuna na governana de TI e a importncia da centralizao, no
mnimo da superviso, das aes de TI, consubstanciadas em
um Plano Estratgico de TI e coordenadas por um Comit Gestor
de TI (Cobit PO4.3).

Secretaria de Fiscalizao de Tecnologia da Informao 30


Falta de Governana de TI

Sistema contratado, pago,


mas inservvel.

TC 031.963/2008-0

Secretaria de Fiscalizao de Tecnologia da Informao 31


Falta de Governana de TI
TC 031.963/2008-0:
O produto entregue pela [contratada] apresentou problemas de
funcionamento, os quais foram identificados desde 2004 e
tambm apontados aps a entrega da soluo completa em
2007. Os problemas de funcionamento foram tambm
identificados no treinamento dos multiplicadores (setembro/2006)
e na implantao piloto (julho/2007).
Apesar de no ter sido possvel a implementao e utilizao do
[Sistema] em sua verso final entregue pela [contratada], o
produto foi homologado e pago, inclusive a ltima parcela
reservada para efetivao aps o aceite final da soluo de TI
contratada.

Secretaria de Fiscalizao de Tecnologia da Informao 32


Falta de Governana de TI

Sistema contratado, pago, desenvolvido,


servvel,
mas no implantado.
Acrdo 2.023/2005-Plenrio

Secretaria de Fiscalizao de Tecnologia da Informao 33


Falta de Governana de TI
Acrdo 2.023/2005-Plenrio:
Um exemplo real constatado nesta auditoria concernente falta
de planejamento foi o desenvolvimento do sistema (...). Trata-se
de sistema desenvolvido entre 2000 e 2001 e que, at os dias
atuais, no foi implantado, embora j tenham sido feitos vrios
testes satisfatrios e o gestor do negcio ache de extrema
relevncia (...) o problema da no implantao do [sistema] est
relacionado falta de infra-estrutura necessria que comporte a
execuo desse sistema: infra-estrutura de rede, servidores ...

Secretaria de Fiscalizao de Tecnologia da Informao 34


Agenda
Objetivos
Governana? O que ? Para qu? Por qu?
Governana de TI e o Cobit 4.1
Governana de TI e a NBR ISO/IEC 38500
Falta de Governana de TI
Auditoria de Governana de TI
Governana de TI e compras pblicas
Levantamento acerca da Governana de TI na
Administrao Pblica Federal

Secretaria de Fiscalizao de Tecnologia da Informao 35


35
Auditoria de Governana de TI

Aborda aspectos gerenciais da rea de TI e visa a


certificar-se de que a gesto dos servios oferecidos,
dos investimentos de TI, das pessoas integrantes, das
polticas, do processo de controle e da prpria estrutura
organizacional concorrem para que a organizao atinja
seus objetivos de forma eficiente.

Governana pressupe gesto contnua dos riscos


tecnolgicos.

Secretaria de Fiscalizao de Tecnologia da Informao 36


Auditoria de Governana de TI

Aspectos abordados:

Organizacionais, estrutura, planejamento, comits diretivos


e deliberativos, polticas e normas, pessoas, terceirizao,
contratao, cargos e funes, segregao de funes,
treinamento, central de servios, compatibilidade, acordos,
nveis de servios, gerncia de projetos, investimentos,
auditoria, conformidade

Secretaria de Fiscalizao de Tecnologia da Informao 37


Auditoria de Governana de TI

Objetivo de controle: assegurar que a organizao


orientada por um plano estratgico adequado
Possveis questes de auditoria:
H planejamento institucional em vigor?

O ente executa a funo de planejamento institucional


segundo as boas prticas?

Secretaria de Fiscalizao de Tecnologia da Informao 38


Auditoria de Governana de TI

Critrios:
Decreto-Lei 200/1967, art. 6, inciso I, e art. 7

CF, art. 37, caput (princpio da eficincia)

Gespblica: Critrio 2 - Planos e Estratgias

Possveis achados:
planejamento estratgico institucional inexistente

processo de planejamento estratgico institucional


informal ou deficiente

Secretaria de Fiscalizao de Tecnologia da Informao 39


Auditoria de Governana de TI

Objetivo de controle: assegurar que a rea de TI


orientada por um plano estratgico adequado
Possveis questes de auditoria:
H planejamento estratgico para a rea de TI em
vigor?
O setor de TI executa a funo de planejamento
estratgico segundo as boas prticas?
O planejamento de TI est em conformidade com a
misso e as metas organizacionais?

Secretaria de Fiscalizao de Tecnologia da Informao 40


Auditoria de Governana de TI

Critrios:
Acrdos nos 1.558/2003, item 9.3.9; 2.094/2004, item
9.1.1; 2.023/2005, item 9.1.9; todos do Plenrio-TCU
Cobit 4.1
PO1.1 Gesto do valor de TI; PO1.2 Alinhamento da TI ao negcio
PO1.4 Plano Estratgico de TI; PO1.5 Planos operacionais de TI

Possveis achados:
planejamento estratgico de TI inexistente

processo de planejamento estratgico de TI informal ou


deficiente

Secretaria de Fiscalizao de Tecnologia da Informao 41


Auditoria de Governana de TI

Objetivo de controle: certificar-se sobre a existncia e o papel exercido


por comits diretivos
Possveis questes de auditoria:
Existe um comit diretivo formalmente constitudo para resolver
questes atinentes TI?
H comit que decida sobre a priorizao das aes e
investimentos de TI?
O comit diretivo de TI composto por gerentes de diferentes
reas, com competncia para decidirem sobre os rumos a serem
seguidos pela rea de TI?
O comit diretivo de TI rene-se periodicamente e suas resolues
so comunicadas?

Secretaria de Fiscalizao de Tecnologia da Informao 42


Auditoria de Governana de TI

Critrios:
CF, art. 37, caput (princpio da eficincia)

Acrdo n 2.023/2005-TCU-Plenrio, item 9.3.1

Cobit 4.1
PO4.2 Comit estratgico de TI; PO4.3 Comit diretor de TI

Possveis achados:
comit diretivo de TI inexistente

comit diretivo de TI existe, porm, informal ou ineficaz

Secretaria de Fiscalizao de Tecnologia da Informao 43


Auditoria de Governana de TI

Objetivo de controle: assegurar que a estrutura


organizacional proporciona independncia da rea de TI
com relao s demais reas usurias

Possveis questes de auditoria:


A posio da rea de TI dentro do organograma geral da
organizao proporciona a ela autoridade, poder de
crtica e independncia diante dos departamentos dos
usurios?

Secretaria de Fiscalizao de Tecnologia da Informao 44


Auditoria de Governana de TI

Critrios:
CF, art. 37, caput (princpio da eficincia)

Acrdo n 2.023/2005-TCU-Plenrio, item 9.3.2.1

Cobit 4.1
PO4.4 Localizao organizacional da rea de TI

Possveis achados:
a localizao da rea de TI na estrutura organizacional
est inadequada com relao alta direo e/ou no
permite atuao de forma independente dos
departamentos usurios

Secretaria de Fiscalizao de Tecnologia da Informao 45


Auditoria de Governana de TI

Objetivo de controle: certificar-se de que as contrataes


para terceirizao de servios de TI so planejadas e se
inserem numa estratgia mais ampla de terceirizao
Possveis questes de auditoria:
A organizao adota processo de trabalho formal na
contratao de bens e servios de TI?
A terceirizao de servios de TI devidamente
controlada e guarda relao com o planejamento
institucional e de TI?

Secretaria de Fiscalizao de Tecnologia da Informao 46


Auditoria de Governana de TI

Critrios:
CF, art. 37, caput (princpio da eficincia)

Decreto-Lei n 200/67, art. 6, I, art. 10, 7 e 8


Acrdos nos 1.558/2003, item 9.3.11 e 2.094/2004, item
9.1.1, todos do Plenrio-TCU
Possveis achados:
Inexistncia de um processo formal para contrataes
de TI
As contrataes de TI so feitas aleatoriamente

Secretaria de Fiscalizao de Tecnologia da Informao 47


Agenda
Objetivos
Governana? O que ? Para qu? Por qu?
Governana de TI e o Cobit 4.1
Governana de TI e a NBR ISO/IEC 38500
Falta de Governana de TI
Auditoria de Governana de TI
Governana de TI e compras pblicas
Levantamento acerca da Governana de TI na
Administrao Pblica Federal

Secretaria de Fiscalizao de Tecnologia da Informao 48


48
Compras Pblicas

A necessidade de estrutura para gerir


contratos bem feitos ...

...decorrente do novo modelo de contratao que no


to simples...

...vamos ver alguns exemplos?

Secretaria de Fiscalizao de Tecnologia da Informao 49


Compras Pblicas
IN 04/08 SLTI:
Art. 3 As contrataes de que trata esta Instruo Normativa
devero ser precedidas de planejamento, elaborado em
harmonia com o Plano Diretor de Tecnologia da Informao -
PDTI, alinhado estratgia do rgo ou entidade.

Corolrio: os entes pblicos s podem contratar se possurem


planejamento de longo prazo institucional e de TI (Cobit 4.1, PO1
Planejamento Estratgico de TI).

Secretaria de Fiscalizao de Tecnologia da Informao 50


Compras Pblicas
LDO 2008/2009 (art. 12) e LOA 2009:
Os gestores devero prever e acompanhar a execuo do seu
oramento de TI.

Corolrio: sem planejamento oramentrio (Cobit 4.1, PO5


Gerenciar investimentos em TI), o oramento de TI pode no ser
aprovado ou sua execuo no ser autorizada!

Secretaria de Fiscalizao de Tecnologia da Informao 51


Compras Pblicas
IN 04/08 SLTI (continuao):
Art. 11. Compete ao Requisitante do Servio definir os seguintes
requisitos, quando aplicveis: ...

Art. 12. Compete rea de Tecnologia da Informao definir,


quando aplicveis, os seguintes requisitos tecnolgicos, em
adequao queles definidos pelo Requisitante do Servio: ...

Corolrio: deve ser implantado um processo de gesto de


requisitos como pr-requisitos s contrataes (Cobit 4.1, AI1.1
definir requisitos funcionais (do negcio) e tcnicos).

Secretaria de Fiscalizao de Tecnologia da Informao 52


Compras Pblicas
E no s para os entes do Sisp, pois...

O modelo conceitual da IN 04/2008-SLTI est baseado em


princpios e a smula TCU n 222 diz...

As Decises do Tribunal de Contas da Unio, relativas aplicao


de normas gerais de licitao,sobre as quais cabe privativamente
Unio legislar, devem ser acatadas pelos administradores dos
Poderes da Unio, dos Estados, do Distrito Federal e dos
Municpios.
Ver tambm Acrdo n 1215/2009-TCU-Plenrio.

Secretaria de Fiscalizao de Tecnologia da Informao 53


Agenda
Objetivos
Governana? O que ? Para qu? Por qu?
Governana de TI e o Cobit 4.1
Governana de TI e a NBR ISO/IEC 38500
Falta de Governana de TI
Auditoria de Governana de TI
Governana de TI e compras pblicas
Levantamento acerca da Governana de TI na
Administrao Pblica Federal

Secretaria de Fiscalizao de Tecnologia da Informao 54


54
Levantamento de Governana da TI

ME3 Assegurar conformidade s normas:


Superviso regulatria eficaz requer o estabelecimento de
um processo de reviso independente para assegurar
conformidade com leis e normas. Este processo inclui a
definio de um grupo de auditoria independente, tica e
padres profissionais, planejamento, desempenho do
trabalho da auditoria, e relatrio e acompanhamento de
atividades da auditoria. O propsito deste processo
fornecer garantia positiva relacionada conformidade da
TI com leis e normas.

Secretaria de Fiscalizao de Tecnologia da Informao 55


Levantamento de Governana da TI

Principais objetivos:
Levantar informaes para elaborao de mapa com a situao
da Governana de TI na Administrao Pblica Federal com
vistas a subsidiar o planejamento das fiscalizaes da Sefti.
Verificar onde a situao da Governana de TI est mais crtica.
Identificar as reas onde o TCU pode atuar como indutor do
processo de aperfeioamento da Governana de TI.
Identificar os principais sistemas e bases de dados da
Administrao Pblica Federal.

Secretaria de Fiscalizao de Tecnologia da Informao 56


Levantamento de Governana da TI

Etapas do trabalho:
Elaborao de questionrio (39 questes).
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_infor
macao/boas_praticas
Identificao do pblico alvo (255 rgos/entidades da APF).
Identificao dos responsveis pela resposta.
Utilizao de software para coleta das respostas.
Resposta pesquisa (respostas declarativas, com anexao
de evidncias).
Suporte ao processo de resposta dos questionrios.
Encerramento da pesquisa.
Avaliao dos dados coletados.

Secretaria de Fiscalizao de Tecnologia da Informao 57


Levantamento de Governana da TI

Critrios utilizados:
Constituio Federal.
Legislao Brasileira.
Jurisprudncia do TCU .
NBR ISO/IEC 27002 ( poca 17799) Segurana da
Informao.
NBR ISO/IEC 15999-1 Gesto de Continuidade de Negcios
Cobit 4.1.

Secretaria de Fiscalizao de Tecnologia da Informao 58


Levantamento de Governana da TI

Alguns resultados...

Secretaria de Fiscalizao de Tecnologia da Informao 59


Levantamento de Governana da TI

Relao entre Plano Estratgico Institucional e Plano


Estratgico de TI (PETI):
Planejamento Estratgico Institucional

Sim No
47%

53%

19% 81% 60%

PETI
40%

Secretaria de Fiscalizao de Tecnologia da Informao 60


Levantamento de Governana da TI
Deficincias em Governana de TI

0% 20% 40% 60% 80% 100%

No aloca gastos de TI de acordo com planejamento (51%)


No adota processo de trabalho p/ contratao de TI (46%)
No h transferncia de conhecimento (57%)
No h planejamento estratgico em vigor (59%)
No segue metodologia de desenvolvimento sistemas (51%)
No efetuada gesto de nveis de servios (74%)
No foi realizada auditoria de TI nos ltimos 5 anos (60%)
No h carreiras especficas para TI (57%)
No h poltica de segurana de informao (64%)
No faz anlise de riscos de TI (75%)
No faz classificao da informao (80%)
No h plano de continuidade de negcios (88%)

Secretaria de Fiscalizao de Tecnologia da Informao 61


Levantamento de Governana da TI
Deficincias na segurana da informao

90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
) ) ) ) ) ) ) ) )
8 % % % % % % 4 % 4 % %
( 8 8 4 0 76 5 6 ( 6 4 8
C N s(
8
e(
8
o (8
es( T I (7 S I( SI s o(
a d t a P s
P
a n a ci d
a a d en s de p ar ce
d r m i o a
mu c ap i nfo e i n c ri sc fi ca tr ole
e c
o d
o de o da cia d e de s pe c on
st .
ge st ca ern nlis rea e c ed
ge ifi g a pr
o
l ass
c 62
Secretaria de Fiscalizao de Tecnologia da Informao
Levantamento de Governana da TI

Resultou no Acrdo n 1.603/2008 TCU - Plenrio


com recomendaes para:
CNJ.
CNMP.
Senado Federal.
Cmara dos Deputados.
TCU.
MP (especialmente SLTI).
GSI/PR.
CGU.

Secretaria de Fiscalizao de Tecnologia da Informao 63


Levantamento de Governana da TI

Algumas recomendaes:
promovam aes com o objetivo de disseminar a importncia do
planejamento estratgico, procedendo, inclusive mediante
orientao normativa, aes voltadas implantao e/ou
aperfeioamento de planejamento estratgico institucional,
planejamento estratgico de TI e comit diretivo de TI, com
vistas a propiciar a alocao dos recursos pblicos conforme as
necessidades e prioridades da organizao;
atentem para a necessidade de dotar a estrutura de pessoal de
TI do quantitativo de servidores efetivos necessrio ao pleno
desempenho das atribuies do setor;

Secretaria de Fiscalizao de Tecnologia da Informao 64


Levantamento de Governana da TI

Algumas recomendaes:
orientem sobre a importncia do gerenciamento da segurana da
informao, promovendo, inclusive mediante normatizao, aes que
visem estabelecer e/ou aperfeioar a gesto da continuidade do
negcio, a gesto de mudanas, a gesto de capacidade, a
classificao da informao, a gerncia de incidentes, a anlise de
riscos de TI, a rea especfica para gerenciamento da segurana da
informao, a poltica de segurana da informao e os procedimentos
de controle de acesso;
estimulem a adoo de metodologia de desenvolvimento de sistemas,
procurando assegurar, nesse sentido, nveis razoveis de padronizao
e bom grau de confiabilidade e segurana;

Secretaria de Fiscalizao de Tecnologia da Informao 65


Levantamento de Governana da TI

Algumas recomendaes:
promovam aes voltadas implantao e/ou aperfeioamento de
gesto de nveis de servio de TI, de forma a garantir a qualidade dos
servios prestados internamente, bem como a adequao dos servios
contratados externamente s necessidades da organizao;
envidem esforos visando implementao de processo de trabalho
formalizado de contratao de bens e servios de TI, bem como de
gesto de contratos de TI;
envidem esforos visando implementao de processo de trabalho
formalizado de contratao de bens e servios de TI, bem como de
gesto de contratos de TI;

Secretaria de Fiscalizao de Tecnologia da Informao 66


Levantamento de Governana da TI

Algumas recomendaes:
adotem providncias com vistas a garantir que as propostas
oramentrias para a rea de TI sejam elaboradas com base nas
atividades que efetivamente pretendam realizar e alinhadas aos
objetivos do negcio;
introduzam prticas voltadas realizao de Auditorias de TI, que
permitam a avaliao regular da conformidade, da qualidade, da eficcia
e da efetividade dos servios prestados.

Secretaria de Fiscalizao de Tecnologia da Informao 67


TMS de Governana da TI
FOC realizada em 2007:
Coordenao da Sefti, participao da 2, 5 e 6 Secex e das
Secex nos estados de Santa Catarina, Piau, Pernambuco,
Rondnia, Paraba e Rio Grande do Sul;
6 ministrios, 2 tribunais, 2 bancos, 1 estatal, 1 universidade
Verificaes in-loco e confronto com as informaes prestadas
de forma declarativa no Levantamento de Governana
Informaes solicitadas aos rgos/entidades:
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_inf
ormacao/boas_praticas -

Secretaria de Fiscalizao de Tecnologia da Informao 68


TMS de Governana da TI
Acrdo n 2.471/2008-TCU-Plenrio:

9.4. recomendar, com fulcro no art. 43, I, da Lei n 8.443/1992,


Secretaria-Executiva do Ministrio do Planejamento, Oramento e
Gesto que:
9.4.4. elabore um modelo de governana de TI para os entes
integrantes do Sisp a partir das boas prticas existentes sobre o tema
(Cobit, Itil, NBR ISO/IEC 27002) e promova sua implementao nos
diversos rgos e entidades sob sua coordenao, mediante orientao
normativa. Referida orientao deve conter, no mnimo: o conjunto de
processos que devem ser considerados de alta importncia; o processo
de trabalho utilizado para identificar quais processos de TI devem ter
sua implementao priorizada; um guia para implantao dos processos
de TI e os nveis de maturidade mnima para os processos
implementados;

Secretaria de Fiscalizao de Tecnologia da Informao 69


Obrigado!

Andr Luiz Furtado Pacheco, CISA


andrefp@tcu.gov.br
Ramal 5900

Secretaria de Fiscalizao de Tecnologia da Informao 70