TCU. Sist de Governança de TI. NT 7-2014 - 2689715 PDF

0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
Sefti/TCU
0100101010101001001010100001010101010
Nota Tcnica 7/2014
0100101010101001001010100001010101010
INFORMAO (TI)
0100101010101001001010100001010101010
TECNOLOGIA DA
0100101010101001001010100001010101010
GOVERNANA DE
DO SISTEMA DE
0100101010101001001010100001010101010
ORGANIZAO
0100101010101001001010100001010101010
Repblica
Repblica Federativa do Brasil
Federativa do Brasil
Tribunal de
Tribunal de Contas
Contas da
da Unio
Unio
Ministros
MINISTROS
Ubiratan Aguiar, Presidente
Benjamin Zymler, Vice-Presidente
Aroldo Cedraz deVinicios
Marcos Oliveira
Vilaa(Presidente)
Raimundo Carreiro (Vice-presidente)
Valmir Campelo
Walton Alencar Rodrigues
Walton Augusto
Alencar Rodrigues
Nardes
Aroldo Cedraz
Benjamin Zymler
Raimundo Carreiro
Augusto Nardes
Jos Jorge
Jos Mcio Monteiro

Auditores
Ana Arraes
Augusto Sherman Cavalcanti
Bruno Dantas
Marcos Bemquerer Costa
Vital do Rgo
Andr Lus de Carvalho
Weder de Oliveira
Ministrio Pblico
MINISTROS-SUBSTITUTOS
Lucas Rocha Furtado, Procurador-Geral
Augusto
Paulo Sherman
Soares Bugarin, Cavalcanti
Subprocurador-Geral
Maria Alzira Ferreira, Subprocuradora-Geral
Marcos Bemquerer Costa
Marinus Eduardo de Vries Marsico, Procurador
CristinaAndr
MachadoLus de eCarvalho
da Costa Silva, Procuradora
Jlio Marcelo de Oliveira, Procurador
WederCosta
Srgio Ricardo de Carib,
OliveiraProcurador
MINISTRIO PBLICO JUNTO AO TCU

Paulo Soares Bugarin (Procurador-Geral)
Lucas Rocha Furtado (Subprocurador-geral)
Cristina Machado da Costa e Silva (Subprocurador-geral)
Marinus Eduardo De Vries Marsico (Procurador)
Jlio Marcelo de Oliveira (Procurador)
Srgio Ricardo Costa Carib (Procurador)
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
Braslia, 2015
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
Sefti/TCU
0100101010101001001010100001010101010
Nota Tcnica 7/2014
0100101010101001001010100001010101010
INFORMAO (TI)
0100101010101001001010100001010101010
TECNOLOGIA DA
0100101010101001001010100001010101010
GOVERNANA DE
DO SISTEMA DE
0100101010101001001010100001010101010
ORGANIZAO
0100101010101001001010100001010101010
Copyright 2014, Tribunal de Contas da Unio
Impresso no Brasil / Printed in Brazil
<www.tcu.gov.br>
Permite-se a reproduo desta publicao,

em parte ou no todo, sem alterao do contedo,
desde que citada a fonte e sem fins comerciais.
Brasil. Tribunal de Contas da Unio.

Organizao do sistema de governana de tecnologia
da informao (TI) : Nota Tcnica 7/2014 Sefti/TCU /
Tribunal de Contas da Unio. Braslia : TCU, Secretaria
de Fiscalizao de Tecnologia da Informao, 2015.
48 p. : il.
Consta na publicao fotografias de Bruno Spada.

1. Tecnologia da informao. 2. Governana. 3. Tribunal de
Contas Gesto - Brasil. I. Ttulo.
Ficha catalogrfica elaborada pela Biblioteca Ministro Ruben Rosa

APRESENTAO
A Secretaria de Fiscalizao de Tecnologia da Informao (Sefti) uma

unidade especializada do Tribunal de Contas da Unio (TCU), criada em
agosto de 2006 para acompanhar o uso dos recursos de Tecnologia
da Informao (TI) na Administrao Pblica Federal (APF). Entre suas
competncias esto: realizar auditorias especficas; dar suporte s demais
secretarias do Tribunal; alm de elaborar e disseminar metodologias,
manuais e procedimentos para planejamento e execuo de fiscalizaes
na rea, visando ao aumento da qualidade desses trabalhos.
Nesse sentido, suas Notas Tcnicas, editadas pelo TCU, tm por objetivo
consolidar entendimentos acerca de importantes questes envolvendo
sua esfera de atuao, de modo a clarificar possveis pontos de dvida,
nortear a atuao dos gestores, dos auditores de controle externo e
demais instncias de controle.
Referidas publicaes abrangem os mais variados assuntos, a exemplo

do contedo mnimo de projeto bsico ou termo de referncia, do uso
do prego como modalidade de licitao, da regularidade da exigncia
de credenciamento dos licitantes pelos fabricantes dos produtos e da
possibilidade da realizao de procedimentos de avaliao de amostras
em preges.
Em cada nota, expe-se o objetivo pretendido com a sua confeco e a

motivao por trs da sua elaborao, bem como realiza-se uma anlise
extensiva e abrangente sobre os mais diversos tpicos afetos ao tema,
visando a fundamentar solidamente os entendimentos que so propostos.
Ademais, citado todo o arcabouo legal e jurisprudencial que embasa as
concluses, colacionando-se os excertos mais significativos.
Pretende-se, a partir da divulgao desses trabalhos, contribuir para a

correta compreenso da legislao e da jurisprudncia vigentes; promover
a padronizao de documentos e processos; orientar os gestores sobre
as posturas deles esperadas; e oferecer aos parlamentares, aos rgos
governamentais, sociedade civil e s organizaes no governamentais
subsdios para que possam exercer o controle das aes do poder estatal
de forma mais esclarecida.
Em ltima anlise, busca-se contribuir para o aperfeioamento contnuo
da gesto pblica, sobretudo no que tange ao amadurecimento da
governana de Tecnologia da Informao, a fim de assegurar que agregue
valor ao negcio da APF em benefcio da coletividade.
Esta edio visa a apresentar entendimentos da Sefti sobre a organizao

do sistema de governana de TI em rgos e entidades integrantes da
Administrao Federal, e sobre o processo de aprimoramento contnuo
da rea, de forma a apoiar os entes governamentais na tarefa de dirigir
adequadamente os recursos aplicados em informtica, conforme as
prioridades do negcio e, considerando os riscos envolvidos, maximizar a
gerao de valor para as partes interessadas.
A publicao da nota tcnica correspondente (NT Sefti 7/2014) foi

autorizada por meio do item 9.7 do Acrdo 3.051/2014-TCU-Plenrio,
resultante do processo TC023.050/2013-6, apreciado em sesso plenria
de 5/11/2014, sob a relatoria do Ministro-Substituto Weder de Oliveira.
AROLDO CEDRAZ
Presidente do TCU
SUMRIO
I DO OBJETIVO 7
II DA MOTIVAO 7
III DOS ENTENDIMENTOS PROPOSTOS 10
IV DA FUNDAMENTAO JURDICA E
DA JURISPRUDNCIA DO TCU 12
V DA ANLISE 12
V.1 Da governana de TI 12
V.2 Dos viabilizadores da governana de TI 13
V.2.1 Princpios, polticas e frameworks 14
V.2.2 Estruturas organizacionais 17
V.2.3 Processos 21
V.2.4 Cultura, tica e comportamento 23
V.2.5 Pessoas, habilidades e competncias 25
V.3 Do Sistema de Governana de TI 28

V.4 Do aprimoramento contnuo
da governana de TI 30
VI REFERNCIAS 37
VII Excertos da legislao e
da jurisprudncia do TCU 39
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
I DO OBJETIVO
1. Apresentar entendimentos da Secretaria de Fiscalizao de Tecnologia da

Informao (Sefti) sobre a organizao do sistema de governana de TI em
rgos e entidades integrantes da Administrao Pblica Federal (APF),
bem como sobre o processo de aprimoramento contnuo da governana
de TI nessas instituies, de forma a apoiar as organizaes pblicas na
tarefa de dirigir adequadamente os recursos aplicados na gesto e no uso
da TI de acordo com as prioridades do negcio e considerando os riscos
envolvidos, maximizando a gerao de valor para as partes interessadas.
II DA MOTIVAO
2. Desde 2007, o Tribunal de Contas da Unio (TCU), por intermdio da Sefti,

vem promovendo levantamentos peridicos e realizando auditorias com
vistas a avaliar a situao da governana de TI nas instituies pblicas
federais. De modo geral, tem-se constatado que parcela considervel dessas
instituies possuem nvel inicial de maturidade em governana de TI.
3. No segundo levantamento, realizado em 2010 (Acrdo 2.308/2010-TCU-

Plenrio), oportunidade em que foi criado o ndice de governana de TI
(iGovTI) do TCU, verificou-se que: 57% das instituies pesquisadas se
encontravam em estgio inicial de governana de TI, 38% apresentavam
nvel intermedirio, e apenas 5% dessas instituies estavam em
nvel aprimorado. J no levantamento realizado em 2012 (Acrdo
2.585/2012-TCU-Plenrio), embora, conforme demonstra o grfico
abaixo, tenha havido significativa evoluo, constatou-se que boa parte
dos rgos e entidades que integram a APF segue no nvel inicial (34%).
Nota Tcnica 7/2014 - Sefti/TCU: Organizao do sistema de governana de tecnologia da informao (TI)
Distribuio por estgio de governana de TI
60%
50%
40%
30%
20%
10%
0%
2010 2012
Inicial Intermedirio Aprimorado
Figura 1: Distribuio das organizaes pblicas federais por estgio de governana de TI

Fonte: Informativo do Levantamento do Perfil de Governana de TI na APF de 2012
4. A reduzida maturidade em governana de TI apresentada por parcela

considervel das instituies pblicas federais pode contribuir para
a ocorrncia de situaes indesejadas, tais como priorizao de
investimentos em TI que no estejam alinhados s necessidades do
negcio, riscos de TI que no so adequadamente identificados e
tratados, aquisies em desconformidade com a legislao aplicvel,
indisponibilidade de servios pblicos providos com uso de TI, falhas de
segurana da informao, entre outros.
5. Em reunies e eventos realizados entre a Sefti e gestores pblicos,

determinados fatores so recorrentemente citados para explicar o lento
amadurecimento em governana de TI dos rgos e entidades que integram
a APF, tais como baixa sensibilizao e compreenso da alta administrao
a respeito de questes ligadas TI, quantitativo insuficiente de pessoal
capacitado em TI e dificuldade na obteno de recursos destinados
a aes de melhoria em governana de TI. Alm disso, no mbito das
fiscalizaes realizadas, a Sefti tem percebido que muitas instituies
pblicas federais tm tido dificuldade em definir quais prticas, controles
e processos precisam ser implementados e em que ordem de prioridade.
Tribunal de Contas da Unio

6. Ciente dessas dificuldades, esta Corte de Contas tem demandado maior
atuao dos rgos governantes superiores (OGS) na conduo desse
processo. Fazem parte dos OGS, entre outros rgos, a Secretaria de
Logstica de Tecnologia da Informao do Ministrio do Planejamento,
Oramento e Gesto (SLTI/MP), o Conselho Nacional de Justia (CNJ),
o Conselho Nacional do Ministrio Pblico (CNMP), o Departamento de
Coordenao e Governana das Estatais (Dest/MP), o Gabinete de Segurana
Institucional da Presidncia da Repblica (GSI/PR) e o Comit Interministerial
de Governana Corporativa e de Administrao de Participaes Societrias
da Unio (CGPAR). Cabe a esses rgos, entre outras responsabilidades,
a funo de normatizar e fiscalizar o uso e a gesto da tecnologia da
informao em seus respectivos segmentos da APF. A esse respeito, assim
disps o voto condutor do Acrdo 2.308/2010-TCU-Plenrio:
22. Considero relevante, ainda, destacar dois outros pontos.

23. O primeiro relativo necessidade de instar os rgos de coordenao,
normatizao, superviso e fiscalizao da APF a assumirem a frente do
processo de aprimoramento da governana de TI, com a adoo de uma
postura mais incisiva com respeito ao tema nos rgos e entidades a eles
vinculados.
7. A jurisprudncia recente do TCU tem recomendado aos OGS que emitam

orientaes acerca das prticas de governana de TI a serem adotadas
pelas instituies a eles jurisdicionadas, em especial no que diz respeito ao
planejamento estratgico de TI, implantao de comit de TI, gesto de
pessoal de TI, gesto de riscos de TI, gesto oramentria de TI, entre
outros temas relacionados, conforme disposto nos acrdos 1.603/20081,
2.471/20082, 2.308/20103 e 2.585/20124, todos do Plenrio do TCU.
8. No entanto, pode-se afirmar que, a despeito dos esforos realizados

pelos OGS em promover aes que contribuam para o aprimoramento
da governana de TI em seus respectivos segmentos de atuao, muitas
instituies pblicas federais ainda demonstram dificuldades em decidir
quais caminhos devem trilhar em termos de implementao de processos
e controles. De acordo com dados obtidos do relatrio consolidador da
Fiscalizao de Orientao Centralizada (FOC), que visava avaliao de
prticas ligadas entrega de resultados e gesto de riscos de TI, realizada
em 2014 (TC 023.050/2013-6), verificou-se que onze das vinte instituies
avaliadas apresentaram falhas nas aes de melhoria de governana de
TI, representando 55% do universo avaliado, o que sugere a existncia de
dificuldades na seleo e na implantao de mecanismos de governana de
TI que atendam s necessidades institucionais.
9. Nesse contexto, considerando que objetivo estratgico do TCU contribuir

para a melhoria da gesto e do desempenho da Administrao Pblica (Brasil,
2011, p. 56) e que a misso da Sefti assegurar que a TI agregue valor ao
negcio da APF em benefcio da sociedade (Brasil, 2008a, p. 8), esta nota
tcnica foi elaborada com o objetivo de propor uma srie de entendimentos
que apoiem as instituies no processo de amadurecimento de suas prticas
de governana de TI. Os entendimentos esto estruturados em torno da
necessidade do estabelecimento de um sistema de governana de TI, de forma
a prover uma organizao bsica de estruturas, polticas, princpios, processos,
entre outros elementos necessrios para que as organizaes pblicas dirijam
adequadamente a gesto e o uso atual e futuro da TI na organizao.
III DOS ENTENDIMENTOS PROPOSTOS
Entendimento I: Convm definir pelo menos uma poltica de governana

de TI que seja formalmente instituda pela alta administrao e que
contemple, no mnimo, princpios, diretrizes, papis e responsabilidades
necessrios para desempenhar as funes de avaliar, dirigir e monitorar a
gesto e o uso da TI.
Entendimento II: Convm estabelecer as estruturas organizacionais e os

papeis necessrios para a governana, a gesto e o uso de TI na instituio,
definindo-se formalmente o modo de organizao e funcionamento
dessas estruturas.
Entendimento III: Convm selecionar e implementar os processos e prticas

de governana e de gesto de TI necessrios para que a TI seja capaz de
maximizar a entrega de valor s partes interessadas com base em fatores que
reflitam seu contexto especfico, uma vez que no existe um nico conjunto
possvel de processos que seja aplicvel a todas organizaes pblicas.
10

Entendimento IV: Convm promover os valores relacionados cultura,
tica e comportamento que favoream as mudanas necessrias em
prol da melhoria da governana de TI, a exemplo da adoo, pela alta
administrao, do comportamento que esperado do restante dos
colaboradores da organizao.
Entendimento V: Convm realizar aes de sensibilizao de todas as

pessoas da organizao envolvidas com a governana de TI em todos os
nveis e reas, no se restringindo somente ao setor de TI, de forma que
a cultura organizacional valorize as iniciativas de amadurecimento da
governana de TI em prol do cumprimento da misso institucional.
Entendimento VI: Convm alocar recursos humanos prprios em nmero

suficiente para executar as funes relacionadas TI, de acordo com a
estratgia definida pela organizao com respaldo em avaliaes objetivas
dos quantitativos necessrios, buscando e desenvolvendo as habilidades e
competncias essenciais ao exerccio de suas atribuies.
Entendimento VII: Convm definir o Sistema de Governana de TI da

organizao, que seja formalmente institudo por meio da Poltica de
Governana de TI e composto pelo conjunto de viabilizadores necessrios
para avaliar, dirigir e monitorar a gesto e o uso da TI, a exemplo do
definido na ABNT NBR ISO/IEC 38500 e no Cobit 5, de forma a proporcionar
o aprimoramento contnuo e gradual da governana de TI na instituio,
considerando seu contexto especfico.
Entendimento VIII: Convm estabelecer um processo formal

de aprimoramento contnuo da governana de TI na organizao,
contemplando as responsabilidades das partes envolvidas e, no mnimo, as
seguintes etapas: diagnstico (avaliao da situao atual da governana
de TI); planejamento (definio do estado almejado e planejamento das
mudanas necessrias); execuo (implementao das mudanas e dos
aprimoramentos); operao e medio (operao do sistema com os
aprimoramentos incorporados, medio da sua eficincia e eficcia); e
avaliao (verificao do sucesso do plano/ciclo, promovendo a melhoria
contnua por meio de um novo ciclo).
11
IV DA FUNDAMENTAO JURDICA
E DA JURISPRUDNCIA DO TCU
1) Constituio da Repblica Federativa do Brasil, de 5 de outubro de 1988;

2) Decreto-Lei 200, de 25 de fevereiro de 1967;
3) Acrdo 1.603/2008-TCU-Plenrio;
8) Acrdo 1.200/2014-TCU-Plenrio.
V DA ANLISE
V.1 Da governana de TI
10. De acordo com a ABNT NBR ISO/IEC 38500, a governana corporativa de

TI o sistema pelo qual o uso atual e futuro da TI dirigido e controlado
(ABNT, 2009, p. 3). Segundo o Cobit 5, que consiste em um conjunto
internacional de boas prticas em governana e em gesto de TI, o objetivo
principal da governana de TI criar valor para a organizao com base
nas necessidades das partes interessadas (ISACA, 2012a, p. 17). Ainda
segundo o Cobit 5, a criao de valor pela TI definida em torno de trs
eixos, abrangendo a entrega de benefcios por meio do uso otimizado dos
recursos disponveis e gerenciando-se os riscos existentes.
11. Por sua vez, o TCU entende que a governana de TI consiste no

estabelecimento de mecanismos para assegurar que o uso da TI agregue
valor ao negcio das organizaes, com riscos aceitveis5. Esses mecanismos
incluem a definio de polticas, estruturas organizacionais, processos,
12

controles, entre outros componentes que possibilitam que os recursos
investidos em tecnologia da informao atendam s necessidades no s
do negcio da instituio, mas tambm das diversas partes interessadas
que podem ser afetadas pelas decises relacionadas TI.
12. Para que os dirigentes tenham condies de governar a TI, convm que
seja adotado o ciclo avaliar-dirigir-monitorar (ABNT, 2009, p. 7-8), pelo
qual primeiro se realiza a avaliao do uso atual e futuro da TI com base
nas necessidades do negcio. Em seguida deve ser definida a direo da TI
na organizao mediante princpios e diretrizes que estabeleam a forma
de atuao da gesto da TI, bem como planos que definam a direo dos
investimentos nos projetos e operaes de TI. Por fim a alta administrao
monitora o desempenho obtido pela TI em funo da direo previamente
estabelecida, valendo-se de processos e sistemas de mensurao apropriados.
13. Nesse sentido tambm aponta o Cobit 5, que possui um domnio

especfico de processos de governana de TI denominado EDM Evaluate,
Direct and Monitor (Avaliar, Dirigir e Monitorar traduo livre) e inclui
prticas e atividades direcionadas avaliao de opes estratgicas, ao
estabelecimento da direo da TI e ao monitoramento dos resultados
alcanados (ISACA, 2012a, p.32, 71).
V.2 Dos viabilizadores da governana de TI
14. O Cobit 5 prope a implantao da governana de TI por meio da

utilizao de viabilizadores, que so fatores que tm a capacidade
de, individualmente ou coletivamente, influenciar o funcionamento
adequado da governana da TI organizacional (ISACA, 2012a, p. 27).
Das sete categorias de viabilizadores propostas nesse modelo, cinco
sero abordadas nesta nota tcnica: princpios, polticas e frameworks;
estruturas organizacionais; processos; cultura, tica e comportamento;
pessoas, habilidades e competncias.
15. A despeito de este documento manifestar entendimentos da Sefti

sobre uma abordagem de aperfeioamento contnuo da governana
13
de TI, no se pretende determinar de que forma os viabilizadores
devero ser implementados em todas as instituies pblicas federais,
pois abordagens ou modelos para construir a governana diferem
consideravelmente dependendo do tamanho da organizao, da
complexidade, das estruturas e do contexto normativo (AUSTRLIA, 2007,
p. 5). Nesse sentido, entende-se que a definio do grau de estruturao
dos viabilizadores de responsabilidade da prpria organizao com
base no seu contexto especfico, sendo considerado um fator crtico de
sucesso para implementaes bem sucedidas (ISACA, 2009a, p. 35).
V.2.1 Princpios, polticas e frameworks
16. Os princpios, as polticas e os frameworks so o veculo pelo qual as

decises relativas governana so institucionalizadas e, por essa razo,
agem como elementos integradores entre o estabelecimento da direo
e as atividades de gesto (ISACA, 2012a, p. 31).
17. Os princpios expressam o comportamento preferido para orientar a

tomada de deciso e a sua aplicao deve ser exigida pelos dirigentes
(ABNT, 2009, p. 6). Assim sendo, todas as pessoas da organizao
envolvidas no planejamento, gesto, operao ou uso de recursos de
TI devero tomar decises e executar aes observando tais princpios.
18. Como exemplo de princpios de governana de TI, pode-se citar: a

estratgia de negcio deve considerar as capacidades atuais e futuras
de TI; conformidade com leis e regulamentos aplicveis; aquisies de TI
com oportunidades, custos e riscos equilibrados; entre outros contidos
na ABNT NBR ISO 38500:2009 (ABNT, 2009, p.6).
19. Nesse contexto, para que a alta administrao das organizaes pblicas
consiga governar a TI de forma a atender as necessidades institucionais,
necessrio que ela estabelea um conjunto de princpios que orientem o
comportamento desejado na gesto e no uso da TI institucional. Ressalte-
se que, no mbito da APF, necessrio que os princpios definidos para a
governana de TI estejam alinhados com os princpios que regem a APF,
14

estabelecidos no caput do art. 37 da Constituio Federal (legalidade,
impessoalidade, moralidade, publicidade e eficincia)6, bem como no
Decreto-Lei 200/1967 (planejamento, coordenao, descentralizao,
delegao de competncia e controle)7.
20. Alm dos princpios, o uso de diretrizes constitui uma ferramenta

importante para direcionar a atuao da gesto de TI. Elas representam
um conjunto de instrues ou indicaes para se alcanar um
determinado objetivo e fixam parmetros bsicos de governana de TI
para a organizao. No levantamento de governana de TI realizado pelo
TCU em 2014, as instituies pblicas federais foram questionadas se
possuam diretrizes que orientassem o planejamento de TI, a gesto de
servios, a contratao de bens e servios de TI, a gesto de riscos de TI,
a avaliao da governana de TI, entre outras (BRASIL, 2014a, p. 4-6).
21. A ttulo de ilustrao, seguem exemplos de diretrizes: o desenvolvimento

de solues de TI deve observar os padres definidos pelo setor de TI da
instituio; as aquisies de solues de TI devem considerar a opo
por solues de cdigo aberto e de livre utilizao; os recursos devem
ser alocados prioritariamente para o provimento de solues de TI que
sejam estratgicas para a organizao; o planejamento da TI deve contar
com ampla participao das reas de negcio e levar em considerao os
riscos de TI identificados no mbito da gesto de riscos; etc.
22. A fim de que sejam observados os princpios e as diretrizes, necessrio

que esses elementos sejam adequadamente comunicados a toda a
organizao. Para tanto, convm o estabelecimento de polticas, que
so instrues claras e mensurveis de direo e comportamento
desejado de forma a condicionar as decises tomadas no mbito da
instituio (ABNT, 2009, p. 4). No mbito da APF, entende-se que as
polticas devem ser formalizadas como normativos internos institudos
pela alta administrao e, alm disso, ser conhecidas e observadas por
toda a organizao. Como exemplo de polticas que contribuem para
a governana de TI, pode-se citar, entre outras, a poltica de gesto
de riscos, a poltica de segurana da informao, o cdigo de tica
institucional e a poltica de utilizao dos recursos de TI.
15
23. Por sua vez, os frameworks de governana devem prover estrutura,
orientao e ferramentas que possibilitem a governana e o
gerenciamento apropriados da TI corporativa (ISACA, 2012a, p. 67).
Com efeito, o modo de estruturao dos mecanismos de governana
de TI citados no pargrafo 11 constitui o framework de governana
especfico daquela organizao.
24. Ademais, existem frameworks genricos, que podem apoiar as

organizaes pblicas na tarefa de implementar processos e prticas de
governana de TI, tais como o Cobit 5 e os guias publicados por rgos
governantes superiores (ex.: Guia de Comit de TI do Sisp), entre outros.
25. certo que cada organizao dispe da liberdade de definir como

seus princpios, polticas, diretrizes e frameworks corporativos sero
estruturados. No que diz respeito governana de TI, recomendvel que
os rgos e entidades da APF instituam, pelo menos, uma poltica que
contemple os princpios e as principais diretrizes que devem direcionar
os rumos da TI no mbito institucional. No mbito desta nota tcnica,
esse instrumento ser denominado Poltica de Governana de TI (PGTI).
26. Para que essa poltica alcance a todas as pessoas da organizao,

necessrio que ela seja formalmente instituda pela alta administrao,
que haja uma forma de acesso fcil e rpido a ela e que sejam adotadas
medidas de conscientizao e divulgao do seu contedo. Ademais,
convm que a PGTI seja periodicamente revisada de forma a se adequar
s mudanas que ocorrem na organizao com o passar do tempo.
27. Alm de estabelecer princpios e diretrizes, entende-se que outra funo a

ser cumprida pela PGTI a de esclarecer quais so as estruturas e demais
responsveis pelas diversas atividades relacionadas governana de TI
na instituio, tais como a alta administrao, os comits, os gestores de
solues de TI, a rea de TI e a auditoria interna. Sendo assim, espera-se
que essa poltica defina, por exemplo, quem so os responsveis pela
elaborao dos planos de TI, pelo acompanhamento da execuo desses
planos, pelo monitoramento e superviso do desempenho da TI e pela
avaliao dos riscos de TI que podem impactar o negcio da instituio,
entre outras responsabilidades.
16

28. Diante todo o exposto, chega-se ao seguinte entendimento:
Entendimento I: Convm definir pelo menos uma poltica de governana

de TI que seja formalmente instituda pela alta administrao e que
contemple, no mnimo, princpios, diretrizes, papis e responsabilidades
necessrios para desempenhar as funes de avaliar, dirigir e monitorar a
gesto e o uso da TI.
V.2.2 Estruturas organizacionais
29. As estruturas organizacionais desempenham um papel-chave para

tomada de deciso em uma organizao (ISACA, 2012a, p. 27;28).
Os nveis de autoridade dessas estruturas para tomada de deciso e
as atividades que elas desempenham so estabelecidos pelas polticas
organizacionais, a exemplo da PGTI.
30. As decises tomadas no mbito da organizao norteiam a atuao da

gesto de TI e constituem fator essencial para a boa governana de TI.
Questes importantes relacionadas alocao de recursos, realizao de
investimentos e priorizao de projetos de TI so tipicamente decididas
por estruturas organizacionais, a exemplo da alta administrao e do
comit de TI. Por sua vez, a rea de TI, a rea de auditoria interna, a rea
de gesto de riscos (corporativa ou de TI) e o escritrio de projetos de TI
desempenham um papel importante na produo de informaes que
sero utilizadas pelas instncias tomadoras de deciso.
31. Para que essas estruturas operem adequadamente, recomendvel a

definio de um conjunto de regras que retratam o modus operandi
de cada uma delas, relacionadas, por exemplo, definio de seu
mandato e competncias, s responsabilidades de cada papel contido
na estrutura, frequncia de reunies e s situaes em que a deciso
deve ser escalada (ISACA, 2012a, p. 75). Para que essas regras sejam
observadas no mbito da APF, recomendvel que estejam reunidas
em um documento formal que disponha sobre a organizao e o
funcionamento das estruturas organizacionais.
17
32. Existem diversas estruturas organizacionais que se relacionam e
viabilizam a governana e a gesto de TI em uma instituio, sendo que
a organizao delas, de forma a refletir as necessidades de negcio e
as prioridades de TI, objeto da prtica de gesto APO01.01 Define
the organizational structure (Defina a estrutura organizacional traduo
livre) do Cobit 5 (ISACA, 2012b, p. 52).
33. Ressalte-se que determinadas responsabilidades relacionadas

governana de TI podem ser atribudas no somente a estruturas
especializadas no tema, mas tambm a estruturas organizacionais
pr-existentes. Pode-se tambm atribuir responsabilidades a papeis
especficos dentro da organizao. Sendo assim, cabe instituio
avaliar a melhor forma de atribuio das responsabilidades voltadas
governana de TI, considerando o seu contexto especfico.
34. Como exemplo, tem-se o papel de gestor de soluo de TI, cujas

responsabilidades podem ser atribudas a determinadas pessoas ou a
uma estrutura organizacional especfica. Entre outras responsabilidades,
o gestor de soluo de TI deve: avaliar, permanentemente, os benefcios
obtidos com a implantao da soluo de TI; avaliar riscos para o negcio
relacionados com a soluo de TI; bem como prover recursos e definir
prioridades para a soluo de TI (ITGI, 2003, p.51). Ao exercer essas
atividades, o gestor de soluo de TI tem condies de atuar como
interface entre a gesto e as instncias de governana de TI, pois ele
obtm informaes importantes relacionadas aos benefcios efetivamente
alcanados com o uso das solues de TI e aos riscos de descontinuidade
dessas solues, de forma a subsidiar o direcionamento ou no de recursos
para a manuteno das solues de TI que j esto em operao.
35. De qualquer forma, importante ressaltar que a escolha das estruturas que
sero institudas e dos papeis que sero definidos para o aprimoramento
da governana de TI de responsabilidade de cada organizao,
considerando seu contexto, recursos disponveis e suas necessidades.
Cabe registrar que a governana de TI envolve estruturas de diversas
reas da organizao, no apenas da rea de TI (ISACA, 2012a, p. 23).
36. Sejam quais forem as estruturas organizacionais definidas pela

instituio, essencial que a alta administrao garanta a alocao dos
18

recursos (humanos, materiais e financeiros) necessrios para que os
membros dessas estruturas exeram adequadamente as suas atribuies.
Caso contrrio, corre-se o risco de as estruturas organizacionais serem
institudas apenas no campo formal, sem que os seus membros
efetivamente atuem sobre os temas afetos governana e gesto de TI.
37. Ante o exposto, chega-se ao seguinte entendimento:
Entendimento II: Convm estabelecer as estruturas organizacionais e os

papeis necessrios para a governana, a gesto e o uso de TI na instituio,
definindo-se formalmente o modo de organizao e funcionamento
dessas estruturas.
V.2.2.1 Comit de TI
38. Entre as estruturas organizacionais normalmente implantadas para viabilizar

a governana de TI, destaca-se uma estrutura especfica cuja implantao
vem sendo fomentada pelo TCU nos acrdos de fiscalizaes de temas
ligados governana de TI, qual seja o comit de TI.
39. A opo pela criao de um comit especfico que atue em questes

associadas TI decorre de dificuldades que usualmente no so tratadas
pelas demais estruturas organizacionais tipicamente encontradas nas
organizaes pblicas federais. Conflitos na alocao de recursos para
desenvolvimento de solues de TI, tomada de decises unilaterais pelo
setor de TI da organizao, seleo e priorizao de investimentos que no
contemplam as necessidades da instituio e ausncia de monitoramento
das aes e decises de TI pela alta administrao so apenas alguns
exemplos de situaes que podem ser melhor tratadas pelo comit de TI.
40. Por seu turno, a Secretaria de Logstica e Tecnologia da Informao do

Ministrio do Planejamento, Oramento e Gesto (SLTI/MP), na qualidade
de OGS do Sistema de Administrao dos Recursos de Tecnologia da
Informao (Sisp), elaborou o Guia de Comit de TI do Sisp, visando
facilitar a implantao dos comits de TI nos rgos integrantes do
sistema (Brasil, 2013, p.6).
19
41. O referido guia dispe que os comits de TI podem ter natureza
consultiva, que no tm poder de deciso e limitam-se a aconselhar a
alta administrao em assuntos relativos TI, ou natureza deliberativa,
que detm o poder de decidir sobre esses assuntos. A definio da
natureza (consultiva ou deliberativa) do comit de TI depende da cultura
e da estrutura organizacional, bem como das diretrizes e expectativas
dos dirigentes (Brasil, 2013, p. 24), no havendo um modelo nico que
seja perfeitamente adaptvel a todas as organizaes.
42. Em sntese, espera-se que o comit de TI seja composto por

representantes das principais reas da organizao e do setor de TI,
recebendo, periodicamente, informaes gerenciais de outras estruturas
organizacionais (ex.: rea de gesto de riscos e rea de TI), tendo entre
suas responsabilidades, atuar:
1) na aprovao e na alocao de recursos destinados TI;
2) na priorizao de aes e projetos de TI;
3) no acompanhamento da execuo das estratgias e planos de TI, de
forma a garantir o alinhamento com as necessidades institucionais;
4) na comunicao alta administrao de informaes gerenciais de TI, tais
como o status da execuo dos planos de TI e da gesto dos riscos de TI,
bem como a evoluo dos indicadores de desempenho de TI.
43. A relevncia dessa estrutura organizacional para a governana de TI

no setor pblico reforada pela jurisprudncia deste Tribunal, que
recomenda aos rgos governantes superiores que disseminem a
importncia e normatizem a obrigatoriedade de estabelecimento do
comit de TI para os entes jurisdicionados (Acrdos 1.603/2008, item
9.1.1 e 1.233/20128, itens 9.2.1 e 9.11.1, ambos do Plenrio do TCU).
44. Tanto os referidos acrdos do TCU quanto a iniciativa da SLTI/MP em criar

o Guia de Comit de TI do Sisp demonstram o quanto o estabelecimento
do comit de TI considerado como uma ao de cunho estruturante
para a governana de TI no setor pblico federal.
45. Diante do exposto, recomendvel que as organizaes pblicas federais

instituam um comit de TI, de natureza consultiva ou deliberativa, que
seja composto por representantes das principais reas da organizao e
do setor de TI da organizao, tendo entre suas responsabilidades atuar:
20

na aprovao da alocao de recursos destinados TI; na priorizao
de aes e de projetos de TI; no acompanhamento da execuo das
estratgias e planos de TI; na comunicao alta administrao de
informaes gerenciais sobre o desempenho de TI.
V.2.3 Processos
46. No contexto da governana e da gesto de TI, processos descrevem

um conjunto organizado de prticas e atividades para alcanar certos
objetivos e produzir um conjunto de sadas de forma a suportar o
alcance das metas de TI de uma organizao (ISACA, 2012a, p. 27). O
Cobit 5 estabelece um conjunto de 37 processos, sendo que cinco so
relacionados governana de TI e 32 so ligados gesto de TI.
47. Processos de governana lidam com objetivos associados entrega de

benefcio e otimizao de riscos e de recursos, bem como incluem
prticas e atividades direcionadas avaliao de opes estratgicas, ao
fornecimento da direo e ao monitoramento dos resultados (ISACA,
2012a, p. 27). Nesse sentido, entende-se que esses processos, por estarem
voltados avaliao, direo e monitoramento da TI organizacional,
esto aderentes ao ciclo avaliar-dirigir-monitorar da ABNT NBR ISO/IEC
38500 (ABNT, 2009, p. 7-8).
48. Por sua vez, processos de gesto abrangem responsabilidades relacionadas

ao planejamento, implementao, execuo e monitoramento das
atividades desempenhadas pelo setor de TI da organizao (ISACA, 2012b,
p. 23-24). A gesto da estratgia (APO02 Manage strategy), a gesto
dos recursos humanos (APO07 Manage Human Resources), a gesto dos
acordos de servio (APO09 Manage service agrments) e a gesto de
riscos (APO12 Manage risk) so exemplos de processo de gesto definidos
pelo Cobit 5 diretamente voltados criao de valor para a organizao.
49. Em outras palavras, as organizaes implementam processos de governana

de TI com o objetivo de avaliar, dirigir e monitorar a gesto e o uso da TI.
Alm disso, elas executam processos de gesto de TI para serem capazes
de seguir, de maneira organizada, a direo dada pela alta administrao,
bem como alcanar os objetivos e as metas de TI estabelecidos.
21
50. No mbito da APF, necessrio que as organizaes busquem implantar
os processos de governana e de gesto de TI que sejam exigidos por leis
e demais normativos, de forma a garantir conformidade com o marco
regulatrio aplicvel. Ademais, importante ressaltar que no existe um
nico conjunto possvel de processos e prticas que devam ser implantados
por todas as instituies, em razo da heterogeneidade das instituies
em termos de: importncia estratgica da organizao para o Estado;
tamanho da instituio; setor de atuao; recursos disponveis; objetivos
de TI e de negcio; maturidade em governana de TI; riscos existentes etc.
51. Nesse sentido, razovel esperar que organizaes maiores, mais

complexas e, principalmente, mais dependentes de TI, implementem
mais processos e prticas do que instituies menores e mais simples.
Contudo, independentemente da quantidade de processos, todas elas
devem ser capazes de governar e gerenciar adequadamente a sua prpria
TI para alcanar seus objetivos institucionais, considerando-se tambm
os riscos decorrentes da gesto e do uso de TI que podem impactar o
alcance desses objetivos.
52. Em vista disso, entende-se que cada organizao pblica deve levar em
considerao o seu contexto especfico para selecionar os processos de
governana e de gesto de TI que ir implementar. Para exemplificar,
no seria recomendvel que as organizaes da APF implementassem e
gerenciassem com o mesmo grau de profundidade todos os 37 processos
e 210 prticas definidos no mbito do Cobit 5, pois haveria o risco de
aplicao de recursos em processos que no trariam benefcios claros
para a organizao.
53. Chega-se, portanto, ao seguinte entendimento:
Entendimento III: Convm selecionar e implementar os processos e prticas

de governana e de gesto de TI necessrios para que a TI seja capaz de
maximizar a entrega de valor s partes interessadas com base em fatores que
reflitam seu contexto especfico, uma vez que no existe um nico conjunto
possvel de processos que seja aplicvel a todas organizaes pblicas.
22

V.2.4 Cultura, tica e comportamento
54. A implementao ou aprimoramento da governana de TI nas instituies

depende da aplicao de boas prticas relacionadas ao tema. Para tanto,
necessrio que as pessoas envolvidas com a governana de TI, sejam
elas membros da alta administrao, gestores ou pertencentes aos setores
operacionais de TI, estejam comprometidas com as mudanas implantadas
por meio da adoo de novas polticas, processos e prticas ligadas
gesto e ao uso da TI. Dessa forma, pode-se dizer que o componente
humano um fator crtico de sucesso para a governana de TI.
55. Com efeito, cultura, tica e comportamento se referem ao conjunto de

comportamentos individuais e coletivos em uma organizao (ISACA,
2012a, p. 79) e devem ser levados em considerao para a formulao
dos princpios e diretrizes que direcionaro a gesto e o uso da TI.
Alguns desses comportamentos podem ser influenciados por estruturas
organizacionais especficas da instituio. Como exemplo, a unidade
responsvel pela gesto de riscos contribui para que a organizao dirija
a forma como as unidades de negcio devem lidar com os riscos de TI
que podem influenciar o resultado de suas atividades.
56. A questo cultural representa um importante aspecto da governana de TI,

pois possibilita que outros mecanismos possam cumprir adequadamente
sua funo, de forma a proporcionar a criao de valor para a
organizao. Processos de TI, ainda que muito bem definidos, podem
no atingir os resultados esperados caso no haja comprometimento
dos atores envolvidos na execuo das atividades do processo da maneira
como foram planejadas. Da mesma forma, a efetividade das estruturas
organizacionais na melhoria da governana e da gesto da TI depende
da adequada implementao das decises que elas tomam, o que pode
no ocorrer caso as pessoas responsveis no estejam suficientemente
motivadas ou comprometidas com a organizao.
23
57. Para ilustrar a forma como o aspecto cultural pode influenciar negativamente
a governana de TI, pode-se citar algumas situaes, tais como: corpo
tcnico que no adota as diretrizes de governana de TI estabelecidas pela
alta administrao; pessoas influentes na organizao que determinam
a priorizao de projetos de TI com base em critrios eminentemente
polticos, abstendo-se de observar os parmetros tcnicos previamente
definidos para a realizao desse trabalho; alta administrao que no
monitora os indicadores de desempenho da rea de TI e no toma decises
a respeito por entender, equivocadamente, que essa atividade no de
sua competncia, mas somente do setor de TI.
58. Diante disso, entende-se que os esforos relacionados governana

e gesto de TI podem no ser efetivos caso o envolvimento e o
comprometimento das pessoas sejam insuficientes para promover as
mudanas pretendidas. necessrio que a alta administrao defina
e incentive o comportamento esperado, bem como acompanhe a sua
adoo pelo restante da organizao.
59. Nesse sentido, torna-se recomendvel a adoo de aes de sensibilizao,

tais como a realizao de workshops e treinamentos, para que as
pessoas responsveis pela tomada de decises e pelo cumprimento
de polticas, planos e prticas de TI tenham a percepo de que o
engajamento de todos na melhoria da governana de TI na organizao
componente essencial para o alcance dos objetivos de negcio e,
assim, para o cumprimento da misso institucional. O prprio Cobit 5,
no mbito atividade 4 da prtica de gesto APO07.3 Maintain the skills
and competencies of personnel (Manter habilidades e competncias de
pessoal traduo livre), recomenda o aprimoramento de habilidades
comportamentais como parte das aes de capacitao do pessoal da
organizao (ISACA, 2012b, p. 85).
60. Outra boa prtica relacionada ao componente cultural consiste na adoo,

por lderes responsveis pela governana de TI, do comportamento a ser
seguido pelos demais colaboradores da organizao, exercendo, assim, a
liderana pelo exemplo. Essa uma forma eficaz de transmitir os valores
e princpios de governana que devem ser observados na instituio.
Nesse sentido, a fim de encorajar as pessoas a se engajarem com as
iniciativas de melhoria da governana de TI, a prpria alta administrao
da organizao deve mostrar envolvimento com o assunto por meio de
24

suas aes, tais como efetivamente monitorar as polticas que trazem
princpios e diretrizes sobre o tema, bem como comprometer-se com
a alocao de recursos para o adequado funcionamento das estruturas
organizacionais que atuam na governana de TI.
61. Diante do exposto, chega-se aos seguintes entendimentos:
Entendimento IV: Convm promover os valores relacionados cultura,

tica e comportamento que favoream as mudanas necessrias em
prol da melhoria da governana de TI, a exemplo da adoo, pela alta
administrao, do comportamento que esperado do restante dos
colaboradores da organizao.
Entendimento V: Convm realizar aes de sensibilizao de todas as

pessoas da organizao envolvidas com a governana de TI em todos os
nveis e reas, no se restringindo somente ao setor de TI, de forma que
a cultura organizacional valorize as iniciativas de amadurecimento da
governana de TI em prol do cumprimento da misso institucional.
V.2.5 Pessoas, habilidades e competncias
62. Pessoas representam o ativo mais importante de uma organizao. So

elas que, mediante uso de suas habilidades e competncias, executam
um conjunto de atividades que visam a atender as necessidades do
negcio, de forma a dar cumprimento misso institucional.
63. No contexto da APF, pessoas em nmero suficiente para atender s

demandas de TI da instituio que sejam detentoras de habilidades e
competncias necessrias constituem tema perante o qual o TCU tem se
debruado nos ltimos anos. Exemplo recente de avaliao abrangente
da estrutura de recursos humanos alocados na rea de TI, o Acrdo
1.200/2014-TCU-Plenrio revela diversos problemas de gesto do
pessoal que desempenha funes de TI no setor pblico federal, entre
eles a ausncia de planejamento para o preenchimento contnuo de
vagas de TI, bem como a execuo da poltica de qualificao sem o
devido planejamento, conforme consta do item 5 do Voto Condutor do
referido acrdo9.
25
64. No que tange governana de TI, pessoas, habilidades e competncias
so necessrias para a correta tomada de decises (ISACA, 2012a, p.
27). Para que os papis sejam corretamente desempenhados no mbito
das estruturas organizacionais, bem como para que os processos de
governana e de gesto de TI sejam executados com sucesso, necessrio
que as pessoas envolvidas estejam adequadamente qualificadas, dotadas
das habilidades tcnicas e comportamentais requeridas para o trabalho.
65. Diante disso, a fim de que os recursos humanos envolvidos com aes de
TI estejam comprometidos e adequadamente capacitados para exercerem
suas funes, as organizaes pblicas podem recorrer s prticas
descritas no processo APO07 Manage Human Resources (Gerenciar
Recursos Humanos traduo livre) do Cobit 5, que abrange atividades
relacionadas manuteno de pessoal apropriado, ao planejamento e
acompanhamento do uso de recursos humanos de TI e de negcio, entre
outras prticas (ISACA, 2012b, p. 83-84).
66. Nesse contexto, convm que a organizao planeje a estratgia de

obteno do conhecimento que ainda no detm internamente a partir
do levantamento das habilidades e competncias necessrias para o
exerccio das atribuies das pessoas responsveis por executar aes de
TI em todos os nveis, sejam de governana, de gesto ou de execuo.
Com base nesse levantamento, a organizao tem melhores condies
de decidir se deve investir em aes internas de capacitao ou promover
o recrutamento de pessoal.
67. Registre-se, por oportuno, que a capacitao permanente de pessoal

que exerce funes de TI no mbito da APF objeto de constantes
deliberaes desta Corte de Contas (Acrdos 1.233/2012, itens 9.9.2,
9.13.11 e 9.15.1510; 2.585/2012, item 9.1.211; 1.200/2014, item 9.1.412;
todos do Plenrio do TCU).
68. Alm do aspecto de qualificao dos profissionais, as instituies

precisam dispor de quantitativo de pessoal compatvel com o adequado
desempenho de funes relacionadas TI, que incluem, entre outras,
atribuies intrnsecas governana e gesto de TI, execuo de
atividades operacionais de TI, bem como aquelas ligadas gesto das
solues de TI exercidas por unidades de negcio.
26

69. Assim sendo, convm que a organizao pblica defina a estratgia
de provimento de pessoal para exercer essas funes, seja mediante
redistribuio interna ou por meio da realizao de concurso pblico,
entre outras possibilidades.
70. Cabe ressaltar que a opo pela execuo indireta de servios influencia
diretamente o quantitativo de pessoal prprio de TI a ser alocado na
instituio. Por um lado, a contratao de fornecedores externos para
prestarem servios que so de competncia do setor de TI pode implicar
na reduo da necessidade de pessoal do quadro efetivo da organizao.
Por outro, pode demandar o aumento de pessoal com competncias
gerenciais para realizar o planejamento e a gesto dos contratos
celebrados com empresas fornecedoras de solues de TI.
71. Nesse contexto, surge a necessidade de realizao de estudos peridicos

que tenham por objetivo levantar o quantitativo de pessoal prprio de
TI adequado para atender s demandas institucionais, de acordo com a
estratgia definida. A importncia desses estudos no mbito da APF tem
sido enfatizada pelo TCU ao longo dos ltimos anos. Com efeito, esta Corte
de Contas tem emitido recomendaes endereadas aos OGS no sentido
de que orientem aos seus jurisdicionados a realizarem avaliaes sobre a
situao de pessoal de TI da respectiva organizao, tanto do ponto de
vista quantitativo quanto de qualificao dos seus profissionais (Acrdo
1.233/2012-TCU-Plenrio, item 9.2.2xIII). Os resultados dessas avaliaes
devem subsidiar a alocao de pessoal de TI em quantitativo suficiente e
dotado de habilidades e competncias necessrias para que a TI seja capaz
de entregar valor instituio, conforme se depreende da leitura do item
9.1.2 do Acrdo 1.603/2008-TCU-Plenrio, transcrito a seguir:
9.1. recomendar ao Conselho Nacional de Justia - CNJ e ao Conselho Nacional

do Ministrio Pblico - CNMP que, nos rgos integrantes da estrutura do
Poder Judicirio Federal e do Ministrio Pblico da Unio, respectivamente:
(...)
9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do
quantitativo de servidores efetivos necessrio ao pleno desempenho das
atribuies do setor, garantindo, outrossim, sua capacitao, como forma de
evitar o risco de perda de conhecimento organizacional, pela atuao excessiva
de colaboradores externos no comprometidos com a instituio;
27
72. Ante o exposto, conclui-se que, tanto o Cobit 5 quanto o TCU ressaltam
que pessoas adequadamente qualificadas so essenciais para a
viabilizao da governana de TI no mbito da APF.
73. Chega-se, portanto, ao seguinte entendimento:
Entendimento VI: Convm alocar recursos humanos prprios em nmero

suficiente para executar as funes relacionadas TI, de acordo com a
estratgia definida pela organizao com respaldo em avaliaes objetivas
dos quantitativos necessrios, buscando e desenvolvendo as habilidades e
competncias essenciais ao exerccio de suas atribuies.
V.3 Do Sistema de Governana de TI
74. A definio em mbito institucional de viabilizadores de governana de TI,

tais como polticas, processos e estruturas organizacionais, importante para
que a instituio tenha condies mnimas de governar a TI da organizao.
No entanto, nem sempre os mecanismos estabelecidos so efetivos.
75. Por meio de auditorias de governana de TI realizadas pela Sefti em

rgos e entidades da APF, foram identificadas situaes em que a
instituio formalizava um conjunto de mecanismos, porm no os
colocava plenamente em prtica. Como exemplo, pode-se citar a
existncia de planos de TI em que o alcance dos objetivos e metas no
periodicamente acompanhado pela alta administrao da organizao
pblica, bem como a formalizao de polticas que envolvem recursos de
TI, tais como a Poltica de Segurana da Informao (PSI) e a Poltica de
Controle de Acesso (PCA), que no so cumpridas pelos colaboradores
da instituio, tampouco so monitoradas pela alta administrao.
76. Dessa forma, entende-se que, a definio de mecanismos de governana de

TI em mbito institucional, por si s, no assegura que eles estejam sendo
teis para que os recursos investidos em TI sejam utilizados de acordo com as
prioridades do negcio e das demais partes interessadas. Ao contrrio, pode
constituir mero desperdcio de recursos, tempo e energia. Faz-se necessria,
portanto, a utilizao de uma abordagem que seja capaz de promover uma
mudana na forma de se dirigir a TI para a entrega de valor, aprimorando,
28

assim, a percepo sobre o papel e a relevncia da TI para a organizao,
sobretudo no que diz respeito aos membros da alta administrao e aos
gestores das unidades de negcio das organizaes pblicas federais.
77. Uma possvel abordagem nesse sentido consiste na implantao de

um sistema de governana, que o modo como os diversos atores
se organizam, interagem e procedem para obter boa governana e
compreende as instncias internas e externas de governana, fluxo de
informaes, processos de trabalho e atividades relacionadas avaliao,
direcionamento e monitoramento (Brasil, 2014b, p. 12).
78. No contexto desta nota tcnica, sistema de governana de TI

(SGTI) compreendido como o conjunto dos viabilizadores e seus
relacionamentos, que interagem com objetivo de entregar benefcios
para a organizao com recursos otimizados e riscos gerenciados. Dessa
forma, o SGTI compreende as polticas, as prticas, os processos, as
estruturas organizacionais, entre outros mecanismos. A implantao
desse sistema de forma estruturada pressupe a definio de papis e
responsabilidades pelo uso e pela gesto dos recursos de TI em todos
os nveis da organizao, desde a alta administrao at o pessoal
responsvel pelas atividades operacionais de TI.
79. Para que o sistema possa operar adequadamente, de forma a possibilitar

que as instituies pblicas federais detenham governana sobre a TI,
recomendvel que os viabilizadores e o prprio SGTI sejam formalmente
institudos, a fim de que sejam conhecidos e aplicados por toda a
organizao. Considerando que as polticas so instrues claras para
transmitir o comportamento esperado e que, no mbito da APF, so
materializadas por documento formal de observncia obrigatria
por toda a instituio, convm que o SGTI e seus viabilizadores sejam
formalmente institudos por meio de uma poltica emitida pela alta
administrao, possivelmente pela prpria PGTI, j tratada anteriormente
nesta nota tcnica (pargrafos 23 e 27).
80. Com o objetivo de obter referncias para a implantao do seu SGTI, as

organizaes pblicas federais podem recorrer ao processo EDM01 Ensure
Governance Framework Setting and Maintenance (Garantir a definio e
manuteno do framework de governana traduo livre) do Cobit 5
(ISACA, 2012b, p. 31). Esse processo dividido em prticas de governana
29
voltadas para a avaliao, para a direo e para o monitoramento desse
sistema (EDM 01.01, EDM 01.02 e EDM01.03), seguindo o ciclo avaliar-
dirigir-monitorar preconizado na ABNT NBR ISO/IEC 38500.
81. Cabe destacar que a forma de organizao do SGTI em cada rgo e

entidade pblica depende de diversos fatores, tais como necessidades
e riscos de negcio, marco regulatrio aplicvel, recursos disponveis etc.
Sendo assim, de se esperar, por exemplo, que o SGTI concebido em uma
grande instituio financeira estatal que dispe de algumas centenas de
milhes de reais para investimento e sustentao da TI seja mais complexo
e requeira a implantao de mais mecanismos de governana de TI do que
aqueles necessrios em uma fundao de apoio, que, via de regra, dispe de
menos recursos e necessidades em TI, dada a natureza das suas atividades.
Entendimento VII: Convm definir o Sistema de Governana de TI da

organizao, que seja formalmente institudo por meio da Poltica de
Governana de TI e composto pelo conjunto de viabilizadores necessrios
para avaliar, dirigir e monitorar a gesto e o uso da TI, a exemplo do
definido na ABNT NBR ISO/IEC 38500 e no Cobit 5, de forma a proporcionar
o aprimoramento contnuo e gradual da governana de TI na instituio,
considerando seu contexto especfico.
V.4 Do aprimoramento contnuo da governana de TI
83. No mbito da APF, esperado que as necessidades das partes interessadas

mudem ao longo do tempo. A alternncia frequente dos administradores
responsveis pelas instituies pblicas implica, muitas vezes, em
redefinio das prioridades de negcio e, por consequncia, dos objetivos
de TI. Alm disso, novas leis e regulamentos so produzidos com frequncia
pelas instncias normatizadoras, alterando ou criando necessidades de
negcio que devem ser adequadamente consideradas pelas organizaes
pblicas federais. Esse ambiente de mudanas exige que as organizaes
da APF tenham condies de direcionar adequadamente a gesto e o uso
da TI de forma a atender tempestivamente s demandas que surgem.
30

84. Nessa esteira, haver necessidade de alterao dos mecanismos de
governana de TI com o passar do tempo. Os diversos componentes
do sistema, tais como polticas, processos, estruturas organizacionais,
recursos alocados, habilidades e competncias eventualmente precisam
ser redefinidos e modificados de acordo com o novo contexto. Em
outras palavras, os mecanismos de governana de TI de uma instituio
pblica federal, que compem o SGTI da organizao, devem ser
constantemente reavaliados e aprimorados para que a TI continue sendo
capaz de entregar valor.
85. Em particular, em instituies de menor maturidade em governana

e gesto de TI, esperado que a necessidade de implementao de
aprimoramentos no ambiente seja maior. Com efeito, infere-se que a
quantidade de mudanas em processos, prticas, polticas, bem como
em outros viabilizadores, tende a se reduzir ao longo do tempo conforme
a instituio evolui, gerando maior estabilidade nos mecanismos
implantados e consumindo menos recursos para seu aprimoramento.
86. Dessa forma, com o propsito de garantir que o SGTI esteja em consonncia
com os objetivos institucionais e em contnuo aperfeioamento, convm
o estabelecimento de um processo formal de aprimoramento contnuo
da governana de TI, na organizao. Duas importantes referncias para
um processo dessa natureza so os processos EDM01, j citado, e o APO01
(Gerenciar o Framework de Gerenciamento de TI, traduo livre) do Cobit 5.
87. No se pretende, no mbito desta nota tcnica, definir um formato

especfico para esse processo com os respectivos insumos, sadas, papis
e atividades. No entanto, sero feitas consideraes sobre as principais
etapas que um processo dessa natureza deve contemplar. Tendo por base
boas prticas administrativas como o ciclo Plan-Do-Check-Act (PDCA), os
sistemas de gesto definidos nas normas ISO e o ciclo de implementao
do Cobit 5 (ISACA, 2012c, p. 36-38), entende-se que o processo deve
contemplar pelo menos as seguintes etapas:
1) diagnstico: avaliao da situao atual da governana de TI;

2) planejamento: definio do estado almejado e planejamento das
mudanas necessrias;
3) execuo: implementao das mudanas e dos aprimoramentos;
31
4) operao e medio: operao do sistema com os aprimoramentos
incorporados, medio da sua eficincia e eficcia;
5) avaliao: verificao do sucesso do plano/ciclo, promovendo a
melhoria contnua por meio de um novo ciclo.
88. A figura a seguir apresenta o processo de aprimoramento contnuo da

governana de TI no contexto do SGTI:
DIAGNSTICO
SISTEMA DE
GOVERNANCA DE TI
Estruturas
Organizacionais
Pessoas,
Habilidades e PLANEJAMENTO
Processos
Competncias
Princpios,
AVALIAO Polticas e
Frameworks
Cultura, Etica e
Comportamento
OPERAO EXECUO
E MEDIO
Figura 2: Amadurecimento contnuo da governana de TI.
89. A primeira etapa do referido processo consiste na realizao de um

diagnstico da situao de governana de TI na organizao. Nessa
etapa, convm que sejam realizadas pelo menos as seguintes atividades:
86.1 Avaliao do ambiente de governana e de gesto de TI da

organizao: essa atividade permite analisar o ambiente corporativo
no contexto da governana de TI. Convm identificar e avaliar:
32

1) as partes interessadas e estruturas organizacionais que influenciam ou
so afetadas pelo uso e pela gesto da TI na organizao (ex.: alta
administrao, gestores de negcio, rgos de controle, fornecedores
de servios de TI etc.), bem como quais das suas necessidades;
2) as leis e regulamentos que afetam a forma de atuao da TI na instituio
e para os quais a conformidade deve ser garantida;
3) os processos e prticas de TI atualmente implantados;
4) os riscos decorrentes da baixa maturidade em governana de TI,
tais como a falta de alinhamento entre TI e o negcio, a realizao
de investimentos em TI que no geram o benefcio esperado, a
desconformidade com o marco regulatrio aplicvel, entre outros;
5) as situaes que esto causando transtornos organizao e podem
decorrer de falhas na governana de TI, tais como: incidentes
significativos de TI que podem gerar riscos ao negcio; falhas de
projetos; insatisfao com servios fornecidos; problemas com a entrega
de servios contratados; pessoal com competncias inadequadas e falta
de patrocinadores de negcio comprometidos e satisfeitos com a TI.
86.2 Avaliao do compromisso da alta administrao com

a governana de TI: essa atividade visa a verificar se a alta
administrao da instituio est efetivamente engajada com a
governana de TI. Convm realizar as seguintes tarefas:
1) identificar as polticas corporativas que contm princpios e diretrizes

relacionados governana de TI;
2) verificar o estabelecimento dos papis e das responsabilidades ligadas
governana de TI, bem como a alocao de recursos (humanos e
financeiros) para o funcionamento do sistema;
3) avaliar o grau de monitoramento do SGTI pela alta administrao.
90. A segunda etapa do processo consiste no planejamento das aes

necessrias para que a organizao seja capaz de aprimorar a sua
capacidade de governar a TI de forma a entregar valor, considerando
o resultado do diagnstico obtido na etapa anterior. Nesse sentido,
convm definir:
33
1) os objetivos, os indicadores e as metas de governana de TI. Devem ser
aderentes aos princpios e diretrizes estabelecidos na PGTI, bem como
estar alinhados estratgia da organizao e considerar os riscos que
podem afetar negativamente a governana de TI;
2) as habilidades e competncias que devem ser adquiridas para que os
objetivos e metas de governana de TI sejam atingidos;
3) as aes (atividades, projetos e contrataes) para alcanar os objetivos e
metas de governana de TI, os recursos necessrios (humanos e financeiros),
os responsveis pela execuo das aes contidas no plano, o prazo para
alcance dos objetivos e metas de governana de TI e de que forma os
resultados alcanados sero avaliados, priorizando-se a implementao de
solues que sejam mais rpidas de se implementar (quick wins traduo
livre) e que podem gerar maior benefcio para a organizao.
91. Cabe registrar que o TCU, por meio do Acrdo 2.585/2012-TCU-

Plenrio, recomendou aos OGS que orientassem as instituies sob suas
respectivas jurisdies para que definissem e formalizassem metas de
governana baseadas em parmetros de governana, necessidades de
negcio e riscos relevantes como parte do plano diretor de tecnologia
da informao (PDTI) da instituio14. Nesse sentido, possvel que
o planejamento da governana de TI seja integrado ao prprio
planejamento da tecnologia da informao.
92. A terceira etapa do processo consiste na execuo do plano propriamente

dito, na qual sero executadas as aes definidas durante a etapa de
planejamento para aprimorar o SGTI, de forma a alcanar os objetivos e
metas de governana de TI previamente estabelecidos. Em sntese, nessa
etapa sero estabelecidas as polticas que dispem sobre a governana
de TI na instituio e direcionam a atuao da gesto. Tambm sero
implantados os processos e criadas as estruturas organizacionais,
bem como sero executadas as aes de capacitao do pessoal nas
competncias e habilidades de TI consideradas como necessrias para
apoiar o alcance dos objetivos organizacionais. Nessa etapa, tambm
so colocadas em prtica aes de sensibilizao do pessoal quanto ao
comportamento esperado pela instituio.
34

93. Aps a execuo do plano, tem-se a etapa de operao e medio do
SGTI. Nesta etapa, os viabilizadores criados e implantados operam em prol
da governana da TI na instituio, isto , as estruturas organizacionais
tomam decises sobre assuntos ligados governana e gesto de TI, os
processos que foram implantados so executados e produzem resultados,
as pessoas usam as competncias e habilidades adquiridas para exercerem
adequadamente as suas atribuies observando os princpios contidos
nas polticas e adotando o comportamento esperado pela instituio.
Ao mesmo tempo, a operao do SGTI constantemente monitorada
pela instncia responsvel e os resultados desse acompanhamento so
comunicados alta administrao.
94. Por fim, executa-se a avaliao do desempenho do SGTI com base na

medio realizada na etapa anterior. Espera-se que o responsvel por essa
avaliao, que pode ser uma unidade organizacional com atribuies
ligadas implantao e aprimoramento da governana de TI ou o prprio
comit de TI, verifique o grau de alcance dos objetivos e das metas de
governana de TI previamente estabelecidas, identificando, tambm,
as causas que eventualmente levaram a eventuais descumprimentos.
Ademais, so identificadas e documentadas as aes necessrias para
correo de desvios ocorridos no ciclo anterior, de forma a possibilitar
as mudanas necessrias para que o SGTI continue a cumprir com o seu
objetivo, bem como apoiar a etapa de diagnstico do ciclo seguinte.
Entendimento VIII: Convm estabelecer um processo formal de

aprimoramento contnuo da governana de TI na organizao, contemplando
as responsabilidades das partes envolvidas e, no mnimo, as seguintes etapas:
diagnstico (avaliao da situao atual da governana de TI); planejamento
(definio do estado almejado e planejamento das mudanas necessrias);
execuo (implementao das mudanas e dos aprimoramentos); operao
e medio (operao do sistema com os aprimoramentos incorporados,
medio da sua eficincia e eficcia); e avaliao (verificao do sucesso do
plano/ciclo, promovendo a melhoria contnua por meio de um novo ciclo).
35
36

VI REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS - ABNT. ABNT NBR ISO/

IEC 38500:2009 Governana corporativa de tecnologia da informao.
Objetivo: Fornecer uma estrutura de princpios para os dirigentes usarem
na avaliao, gerenciamento e monitoramento do uso da tecnologia da
informao em suas organizaes. 2009.
AUSTRLIA. Australian Public Service Commission. Building Better

Governance. 2007. Disponvel em: <http://www.apsc.gov.au/__data/assets/
pdf_file/0010/7597/bettergovernance.pdf >. Acesso em: 1 set. 2014.
BRASIL. Constituio da Repblica Federativa do Brasil, de 5 de outubro

de 1988. 1988. Disponvel em: <http://www.planalto.gov.br/ccivil_03/
Constituicao/Constituiao.htm>. Acesso em: 4 set. 2014.
_____. Tribunal de Contas da Unio TCU. Levantamento do referencial

estratgico da Secretaria de Fiscalizao de Tecnologia da Informao
(Sefti). 2008a. Disponvel em: <http://portal2.tcu.gov.br/portal/pls/portal/
docs/2091848.PDF>. Acesso em: 10 set. 2014.
_____._____. Acrdo 1.603/2008-TCU-Plenrio. 2008b.

Disponvel em: <http://www.tcu.gov.br/Consultas/Juris/Docs/
judoc%5CAcord%5C20080814%5C008-380-2007-1-GP.doc>. Acesso
em: 4 set. 2014.
_____._____. Acrdo 2.471/2008-TCU-Plenrio. 2008. Disponvel em:

<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc%5CAcord%5C200811
10%5C019.230%202007-2-MIN-BZ.rtf>. Acesso em 4 set. 2014.

<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc%5CAcord%5C201009
13%5CAC_2308_33_10_P.doc>. Acesso em 4 set. 2014.
_____._____. Plano Estratgico 2011-2015. 2011. Disponvel em :

<http://portal2.tcu.gov.br/portal/page/portal/TCU/planejamento_gestao/
planejamento2011/pet.pdf>. Acesso em 10 set. 2014.
37
BRASIL. Acrdo 1.233/2012-TCU-Plenrio. 2012. Disponvel em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20120528/
AC_1233_19_12_P.doc>. Acesso em 4 set. 2014.

_____._____. Questionrio de Governana de TI 2014. 2014a. Disponvel

em: <http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/
tecnologia_informacao/pesquisas_governanca/Perfil%20GovTI2014%20
-%20Question%C3%A1rio-v1.pdf>. Acesso em: 1 ago. 2014.
_____._____. 10 passos para a boa governana. 2014b.

Disponvel em: <http://portal2.tcu.gov.br/portal/page/portal/TCU/
comunidades/governanca/10%20passos%20para%20a%20boa%20
governan%C3%A7a.pdf>. Acesso em: 4 set. 2014.
_____._____. Acrdo 1.200/2014-TCU-Plenrio. 2014c. Disponvel em:

_____. Secretaria de Logstica e Tecnologia da Informao do Ministrio

do Planejamento Oramento e Gesto SLTI/MP. Guia de Comit de TI do
Sisp: verso 2.0. 2013. Disponvel em: <http://www.sisp.gov.br/kitgestorti/
download/file/guia_de_comite_de_TI_do_SISP_v2.pdf>. Acesso em: 13
ago. 2014.
ISACA. Cobit 5 A Business Framework for the Governance and

Management of Enterprise IT. 2012a.
_____. Cobit 5 Enabling Processes. 2012b.
_____. Cobit 5 Implementation. 2012c.
ITGI. Board Briefing on IT Governance, 2nd Edition. Rolling Meadows, IL (EUA):

IT Governance Institute, 2003. ISBN 1-893209-64-4. Disponivel em: <http://
www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Board-
Briefing-on-IT-Governance-2nd-Edition.aspx>. Acesso em: 24 set. 2014.
38

VII Excertos da legislao e
da jurisprudncia do TCU
Acrdo 1.603/2008-TCU-Plenrio
9.1. recomendar ao Conselho Nacional de Justia - CNJ e ao Conselho

Nacional do Ministrio Pblico - CNMP que, nos rgos integrantes da
estrutura do Poder Judicirio Federal e do Ministrio Pblico da Unio,
respectivamente:
9.1.1. promovam aes com o objetivo de disseminar a importncia do

planejamento estratgico, procedendo, inclusive mediante orientao
normativa, aes voltadas implantao e/ou aperfeioamento de
planejamento estratgico institucional, planejamento estratgico de TI
e comit diretivo de TI, com vistas a propiciar a alocao dos recursos
pblicos conforme as necessidades e prioridades da organizao;
9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do

quantitativo de servidores efetivos necessrio ao pleno desempenho
das atribuies do setor, garantindo, outrossim, sua capacitao, como
forma de evitar o risco de perda de conhecimento organizacional, pela
atuao excessiva de colaboradores externos no comprometidos com
a instituio;
9.1.3. orientem sobre a importncia do gerenciamento da segurana da

informao, promovendo, inclusive mediante normatizao, aes
que visem estabelecer e/ou aperfeioar a gesto da continuidade do
negcio, a gesto de mudanas, a gesto de capacidade, a classificao
da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea
especfica para gerenciamento da segurana da informao, a poltica
de segurana da informao e os procedimentos de controle de acesso;
9.1.4. estimulem a adoo de metodologia de desenvolvimento de sistemas,

procurando assegurar, nesse sentido, nveis razoveis de padronizao
e bom grau de confiabilidade e segurana;
39
9.1.5. promovam aes voltadas implantao e/ou aperfeioamento de
gesto de nveis de servio de TI, de forma a garantir a qualidade dos
servios prestados internamente, bem como a adequao dos servios
contratados externamente s necessidades da organizao;
9.1.6. envidem esforos visando implementao de processo de trabalho

formalizado de contratao de bens e servios de TI, bem como de
gesto de contratos de TI, buscando a uniformizao de procedimentos
nos moldes recomendados no item 9.4 doAcrdo 786/2006-TCU-
Plenrio;
9.1.7. adotem providncias com vistas a garantir que as propostas oramentrias

para a rea de TI sejam elaboradas com base nas atividades que
efetivamente pretendam realizar e alinhadas aos objetivos do negcio;
9.1.8. introduzam prticas voltadas realizao de Auditorias de TI, que

permitam a avaliao regular da conformidade, da qualidade, da
eficcia e da efetividade dos servios prestados;
9.2. recomendar ao Gabinete de Segurana Institucional da Presidncia da

Repblica - GSI/PR que oriente os rgos/entidades da Administrao
Pblica Federal sobre a importncia do gerenciamento da segurana
da informao, promovendo, inclusive mediante orientao normativa,
aes que visem estabelecer e/ou aperfeioar a gesto da continuidade
do negcio, a gesto de mudanas, a gesto de capacidade, a
classificao da informao, a gerncia de incidentes, a anlise de
riscos de TI, a rea especfica para gerenciamento da segurana da
informao, a poltica de segurana da informao e os procedimentos
de controle de acesso;
[...]
9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto -

MPOG que, nos rgos/entidades da Administrao Pblica Federal:
9.4.1. promova aes com o objetivo de disseminar a importncia

do planejamento estratgico, procedendo, inclusive mediante
orientao normativa, execuo de aes voltadas implantao
40

e/ou aperfeioamento de planejamento estratgico institucional,
planejamento estratgico de TI e comit diretivo de TI, com vistas a
propiciar a alocao dos recursos pblicos conforme as necessidades e
prioridades da organizao;
9.4.2. atente para a necessidade de dotar a estrutura de pessoal de TI do

quantitativo de servidores efetivos necessrio ao pleno desempenho
das atribuies do setor, garantindo, outrossim, sua capacitao, como
forma de evitar o risco de perda de conhecimento organizacional, pela
atuao excessiva de colaboradores externos no comprometidos com
a instituio;
9.4.3. estimule a adoo de metodologia de desenvolvimento de sistemas,

procurando assegurar, nesse sentido, nveis razoveis de padronizao
e bom grau de confiabilidade e segurana;
9.4.4. promova aes voltadas implantao e/ou aperfeioamento de

gesto de nveis de servio de TI, de forma a garantir a qualidade dos
servios prestados internamente, bem como a adequao dos servios
contratados externamente s necessidades da organizao;
9.4.5. adote providncias com vistas a garantir que as propostas oramentrias

para a rea de TI sejam elaboradas com base nas atividades que
efetivamente pretendam realizar e alinhadas aos objetivos de negcio;
II
9.4. recomendar, com fulcro no art. 43, I, da Lei n 8.443/1992, Secretaria-

Executiva do Ministrio do Planejamento, Oramento e Gesto que:
[...]
9.4.4. elabore um modelo de governana de TI para os entes integrantes do

Sisp a partir das boas prticas existentes sobre o tema (Cobit, Itil, NBR
ISO/IEC 27002) e promova sua implementao nos diversos rgos
e entidades sob sua coordenao, mediante orientao normativa.
Referida orientao deve conter, no mnimo: o conjunto de processos
41
que devem ser considerados de alta importncia; o processo de
trabalho utilizado para identificar quais processos de TI devem ter sua
implementao priorizada; um guia para implantao dos processos de
TI e os nveis de maturidade mnima para os processos implementados;
9.4.5. adote as medidas necessrias para prover os setores de informtica

dos rgos e entidades da Administrao Pblica Federal da estrutura
organizacional e de quadro permanente de pessoal que sejam suficientes
para realizar, de forma independente das empresas prestadoras de
servios, o planejamento, a definio, a coordenao, a superviso e
o controle das atividades de informtica, com a finalidade de garantir
a autoridade e o controle da Administrao sobre o funcionamento
daqueles setores. Deve ser avaliada a convenincia e a oportunidade da
criao de carreira especfica, semelhante ao ocorrido com as carreiras
de Especialista em Meio Ambiente e a de Analista de Infra-Estrutura;
[...]
9.4.7. em ateno ao Princpio constitucional da Eficincia e s disposies

contidas no Decreto-Lei n 200/1967, art. 6, I, implante no Ministrio
um processo de planejamento institucional que organize as estratgias,
as aes, os prazos e os recursos financeiros, humanos e materiais, alm
de definir os resultados a alcanar, a fim de minimizar a possibilidade
de desperdcio de recursos pblicos e de prejuzo ao cumprimento dos
objetivos institucionais do Ministrio, em especial s funes decorrentes
de ser o rgo central do Sisg e do Sisp. Devem ser observadas as
prticas contidas no critrio 2 - Estratgias e Planos do Programa
Nacional de Gesto Pblica e Desburocratizao (Gespblica);
III
9.1. recomendar ao Conselho Nacional de Justia - CNJ, ao Departamento de

Coordenao e Controle das Empresas Estatais - Dest, Secretaria de
Logstica e Tecnologia da Informao do Ministrio do Planejamento,
Oramento e Gesto - SLTI/MPOG, ao Conselho Nacional do Ministrio
Pblico - CNMP, Secretaria Geral da Presidncia do Tribunal de Contas
42

da Unio - Segepres/TCU, Diretoria Geral da Cmara dos Deputados e
Diretoria Geral do Senado Federal que, no mbito de suas respectivas
reas de atuao:
9.1.1. orientem as unidades sob sua jurisdio, superviso ou estrutura acerca

da necessidade de estabelecer formalmente: (i) objetivos institucionais
de TI alinhados s estratgias de negcio; (ii) indicadores para cada
objetivo definido, preferencialmente em termos de benefcios para o
negcio da instituio; (iii) metas para cada indicador definido; (iv)
mecanismos para que a alta administrao acompanhe o desempenho
da TI da instituio;
9.1.2. normatizem a obrigatoriedade de a alta administrao de cada instituio

sob sua jurisdio, superviso ou estrutura estabelecer os itens acima;
IV
9.1. recomendar ao Conselho Nacional de Justia, Conselho Nacional do

Ministrio Pblico, Secretaria de Logstica e Tecnologia da Informao
e Comisso Interministerial de Governana Corporativa e de
Administrao de Participaes Societrias da Unio, com fundamento
na Lei n 8.443/92, art. 43, inciso I, c/c Regimento Interno do TCU, art.
250, inciso III, que:
9.1.1. orientem as instituies sob sua jurisdio para que:
9.1.1.1. em ateno ao art. 6 da Lei n 12.527/2011 e aos princpios da

transparncia e da prestao de contas, implementem instrumentos de
planejamento estratgico institucional e de tecnologia da informao,
dando-lhes ampla divulgao, com exceo das informaes
classificadas como no pblicas, nos termos da lei;
9.1.1.2. identifiquem os processos crticos de negcio e designem formalmente

os gestores responsveis pelos sistemas de informao que do
suporte a esses processos, semelhana das orientaes da ABNT
NBR ISO/IEC 38500;
43
9.1.1.3. definam e formalizem metas de governana, como parte do plano diretor
de tecnologia da informao da instituio, baseadas em parmetros
de governana, necessidades de negcio e riscos relevantes, atentando
para as metas legais de cumprimento obrigatrio e as orientaes da
ABNT NBR ISO/IEC 31000;
[...]
9.3. recomendar Secretaria de Logstica e Tecnologia da Informao, do

Ministrio do Planejamento, Oramento e Gesto (MP), com fundamento
na Lei n 11.907/2009, arts. 81 e 287, e no princpio do comportamento
humano, previsto na ABNT NBR ISO/IEC 38500, que, em conjunto com
a Secretaria de Gesto Pblica/MP, elabore plano de gesto de recursos
humanos para o Sistema de Administrao dos Recursos de Informao
e Informtica;
Acrdo 2.585/2012-TCU-Plenrio (Voto Condutor)
Governana de tecnologia da informao faz parte da governana

corporativa e consiste no estabelecimento de mecanismos para assegurar
que o uso da tecnologia da informao (TI) agregue valor ao negcio, com
riscos aceitveis.
VI
Constituio Federal da Repblica
Art. 37. A administrao pblica direta e indireta de qualquer dos Poderes

da Unio, dos Estados, do Distrito Federal e dos Municpios obedecer aos
princpios de legalidade, impessoalidade, moralidade, publicidade e eficincia
e, tambm, ao seguinte:
VII
Decreto-Lei 200/1967
Art. 6 As atividades da Administrao Federal obedecero aos seguintes

princpios fundamentais:
44

I Planejamento.
II Coordenao.
III Descentralizao.
IV Delegao de Competncia.
V Contrle.
VIII
9.2. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c
RITCU, art. 250, inciso III, Secretaria de Logstica e Tecnologia da
Informao (SLTI/MP) que:
9.2.1. normatize a obrigatoriedade de que os entes sob sua jurisdio

estabeleam comits de TI, observando as boas prticas sobre o tema,
a exemplo do Cobit 4.1, PO4.2 - comit estratgico de TI e PO4.3 -
comit diretor de TI (subitem II.3);
[...]
RITCU, art. 250, inciso III, Comisso Interministerial de Governana
Corporativa e de Administrao de Participaes Societrias da Unio
(CGPAR) que:
9.11.1. normatize a obrigatoriedade de que os entes sob sua jurisdio

estabeleam comits de TI, observando as boas prticas sobre o tema,
a exemplo do Cobit 4.1, PO4.2 - comit estratgico de TI e PO4.3 -
comit diretor de TI (subitem II.3);
IX
Voto condutor do Acrdo 1.200/2014-TCU-Plenrio
5.Como resultado do levantamento, constatou-se que a estrutura de

recursos humanos de TI da APF, de forma geral, apresenta problemas,
notadamente quanto falta de cargos e carreiras especficas; carncia de
45
pessoal especializado para gesto de TI; ocupao de cargos de gesto por
pessoas estranhas ao quadro, como requisitados, temporrios e at mesmo
terceirizados; ausncia de planejamento para preenchimento contnuo de
vagas de TI; dificuldade de reteno de pessoal especializado; poltica de
qualificao executada sem o devido planejamento e, em alguns casos,
atuao tmida dos OGSs na identificao e soluo dos problemas.
9.9. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c
RITCU, art. 250, inciso III, ao Comit Gestor da Poltica Nacional de
Desenvolvimento de Pessoal que, em ateno ao Decreto 5.707/2006,
art. 7, II e IV:
[...]
9.9.2. estabelea, aps consulta Secretaria de Logstica e Tecnologia da

Informao, um programa de capacitao em governana e em gesto
de tecnologia da informao (subitem II.9).
[...]
9.13. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c
RITCU, art. 250, inciso III, ao Conselho Nacional da Justia (CNJ) que:
[...]
9.13.11. estabelea um programa de capacitao em governana e em gesto

de tecnologia da informao (subitem II.9);
[...]
RITCU, art. 250, inciso III, ao Conselho Nacional do Ministrio Pblico
(CNMP) que:
[...]
46

9.15.15. estabelea um programa de capacitao em governana e em gesto
de tecnologia da informao (subitem II.9);
XI

[...]
9.1.2. se articulem com a Escola Nacional de Administrao Pblica e outras

escolas de governo para ampliar a oferta de aes de capacitao em
planejamento e gesto de contratos de tecnologia da informao para
as instituies sob sua jurisdio;
XII
9.1. informar aos rgos governantes superiores, ou seja, ao Ministrio

do Planejamento, Oramento e Gesto (MPOG), ao Departamento de
Coordenao e Governana das Empresas Estatais (Dest), ao Conselho
Nacional de Justia (CNJ) e ao Conselho Nacional do Ministrio
Pblico (CNMP), bem como aos rgos do Poder Legislativo, que as
informaes apresentadas no presente relatrio de levantamento,
alm de outros trabalhos desenvolvidos por este Tribunal (e. g.
Acrdos 786/2006, 2.471/2008, 2.585/2012, e 1.233/2012, todos
do Plenrio), indicam a necessidade de reformulao da poltica de
pessoal de TI no que concerne :
[...]
47
9.1.4. permanente capacitao dos servidores, incluindo nessas aes o contedo
multidisciplinar necessrio ao exerccio das atribuies inerentes a
essas funes, cujas competncias vo alm dos conhecimentos de
Tecnologia da Informao;
XIII
RITCU, art. 250, inciso III, Secretaria de Logstica e Tecnologia da
Informao (SLTI/MP) que:
[...]
9.2.2. oriente os rgos e entidades sob sua jurisdio a realizar avaliao

quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar
as necessidades de recursos humanos necessrias para que estes setores
realizem a gesto das atividades de TI da organizao (subitem II.3);
XIV

[...]
9.1.1.3. definam e formalizem metas de governana, como parte do plano diretor

de tecnologia da informao da instituio, baseadas em parmetros
de governana, necessidades de negcio e riscos relevantes, atentando
para as metas legais de cumprimento obrigatrio e as orientaes da
ABNT NBR ISO/IEC 31000;
48

Responsabilidade Editorial
Secretaria-Geral de Controle Externo

Secretaria de Macroavaliao Governamental
Adaptao Final Responsabilidade pelo Contedo

Secretaria-Geral da Presidncia Secretaria de Fiscalizao de
Instituto Serzedello Corra
Centro de Documentao Tecnologia da Informao (Sefti)
Editora do TCU
Capa Responsabilidade Editorial

Pablo Frioli
Secretaria-Geral da Presidncia (Segepres)
Endereo para Contato
Secretaria de Comunicao (Secom)
Ncleo de Criao e Editorao (NCE)
TRIBUNAL DE CONTAS DA UNIO
Secretaria de Macroavaliao Governamental
SAFS Quadra 4 Lote 1 Design
Edifcio Anexo II Sala 456
70.042-900 Braslia - DF Secom - NCE
Fones (61) 3316 7766/7285/5030
Fax (61) 3316 7536
Fotos
Ouvidoria do Tribunal de Contas da Unio
Fone 0800 644 1500 Bruno Spada
Impresso pela Sesap/Segedam

Ouvidoria do Tribunal de Contas da Unio
Tel.: 0800 644 1500
ouvidoria@tcu.gov.br
Impresso pela Sesap/Segedam

0100101010101001001010100001010101010
Misso
0100101010101001001010100001010101010
Aprimorar a Administrao
Pblica em benefcio da sociedade
por meio do controle externo.
0100101010101001001010100001010101010
Viso
Ser referncia na promoo
0100101010101001001010100001010101010
de uma Administrao Pblica
efetiva, tica, gil e responsvel.
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
0100101010101001001010100001010101010
www.tcu.gov.br
0100101010101001001010100001010101010

TCU. Sist de Governança de TI. NT 7-2014 - 2689715 PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

TCU. Sist de Governança de TI. NT 7-2014 - 2689715 PDF

Încărcat de

Drepturi de autor:

Formate disponibile

0100101010101001001010100001010101010

Jos Mcio Monteiro

MINISTRIO PBLICO JUNTO AO TCU

Permite-se a reproduo desta publicao,

Brasil. Tribunal de Contas da Unio.

Consta na publicao fotografias de Bruno Spada.

Ficha catalogrfica elaborada pela Biblioteca Ministro Ruben Rosa

A Secretaria de Fiscalizao de Tecnologia da Informao (Sefti) uma

Referidas publicaes abrangem os mais variados assuntos, a exemplo

Em cada nota, expe-se o objetivo pretendido com a sua confeco e a

Pretende-se, a partir da divulgao desses trabalhos, contribuir para a

Esta edio visa a apresentar entendimentos da Sefti sobre a organizao

A publicao da nota tcnica correspondente (NT Sefti 7/2014) foi

V.3 Do Sistema de Governana de TI 28

1. Apresentar entendimentos da Secretaria de Fiscalizao de Tecnologia da

2. Desde 2007, o Tribunal de Contas da Unio (TCU), por intermdio da Sefti,

3. No segundo levantamento, realizado em 2010 (Acrdo 2.308/2010-TCU-

Inicial Intermedirio Aprimorado

Figura 1: Distribuio das organizaes pblicas federais por estgio de governana de TI

4. A reduzida maturidade em governana de TI apresentada por parcela

5. Em reunies e eventos realizados entre a Sefti e gestores pblicos,

Tribunal de Contas da Unio

22. Considero relevante, ainda, destacar dois outros pontos.

7. A jurisprudncia recente do TCU tem recomendado aos OGS que emitam

8. No entanto, pode-se afirmar que, a despeito dos esforos realizados

9. Nesse contexto, considerando que objetivo estratgico do TCU contribuir

III DOS ENTENDIMENTOS PROPOSTOS

Entendimento I: Convm definir pelo menos uma poltica de governana

Entendimento II: Convm estabelecer as estruturas organizacionais e os

Entendimento III: Convm selecionar e implementar os processos e prticas

Tribunal de Contas da Unio

Entendimento V: Convm realizar aes de sensibilizao de todas as

Entendimento VI: Convm alocar recursos humanos prprios em nmero

Entendimento VII: Convm definir o Sistema de Governana de TI da

Entendimento VIII: Convm estabelecer um processo formal

1) Constituio da Repblica Federativa do Brasil, de 5 de outubro de 1988;

10. De acordo com a ABNT NBR ISO/IEC 38500, a governana corporativa de

11. Por sua vez, o TCU entende que a governana de TI consiste no

Tribunal de Contas da Unio

13. Nesse sentido tambm aponta o Cobit 5, que possui um domnio

V.2 Dos viabilizadores da governana de TI

14. O Cobit 5 prope a implantao da governana de TI por meio da

15. A despeito de este documento manifestar entendimentos da Sefti

V.2.1 Princpios, polticas e frameworks

16. Os princpios, as polticas e os frameworks so o veculo pelo qual as

17. Os princpios expressam o comportamento preferido para orientar a

18. Como exemplo de princpios de governana de TI, pode-se citar: a

Tribunal de Contas da Unio

20. Alm dos princpios, o uso de diretrizes constitui uma ferramenta

21. A ttulo de ilustrao, seguem exemplos de diretrizes: o desenvolvimento

22. A fim de que sejam observados os princpios e as diretrizes, necessrio

24. Ademais, existem frameworks genricos, que podem apoiar as

25. certo que cada organizao dispe da liberdade de definir como

26. Para que essa poltica alcance a todas as pessoas da organizao,

27. Alm de estabelecer princpios e diretrizes, entende-se que outra funo a

Tribunal de Contas da Unio

Entendimento I: Convm definir pelo menos uma poltica de governana

V.2.2 Estruturas organizacionais

29. As estruturas organizacionais desempenham um papel-chave para

30. As decises tomadas no mbito da organizao norteiam a atuao da

31. Para que essas estruturas operem adequadamente, recomendvel a

33. Ressalte-se que determinadas responsabilidades relacionadas

34. Como exemplo, tem-se o papel de gestor de soluo de TI, cujas