Levantamento

da Governana de TI na
Administrao Pblica
Federal

Andr Luiz Furtado Pacheco, CISA

Braslia novembro de 2008

Sumrio
1.
2.
3.
4.
5.
6.

Contextualizao
Auditoria de Governana de TI
Levantamento acerca da Governana de TI
Critrios Utilizados
Principais Achados
Aes Previstas

1. Contextualizao
Negcio da Sefti: Controle externo da
governana de tecnologia da informao
na Administrao Pblica Federal.
Materialidade dos Gastos com TI: a Unio
gastou cerca de R$ 6 bilhes em 2006
(fonte: Siafi e Dest/MP).
Ausncia de informao: no havia
informao consolidada acerca da
governana de TI na Administrao Pblica
Federal

2. Auditoria de Governana de TI
Cobit 4.1 (Control Objectives for Information
and related Technology)

Monitorar e Avaliar
Todos os processos de TI precisam ter sua
qualidade regularmente avaliada e ter sua
conformidade com os controles especificados
verificada.

2.1 Foco do Levantamento

Monitorar e Avaliar
ME1 - Monitorar e avaliar o desempenho da TI
ME2 - Monitorar e avaliar os controles internos
ME3 - Assegurar conformidade s normas
ME4 - Prover governana de TI

2.2 Cobit 4.1 - ME3 - Assegurar

Aderncia s Normas
Superviso
regulatria
eficaz
requer
o
estabelecimento de um processo de reviso
independente para assegurar conformidade com
leis e normas. Este processo inclui a definio de
um grupo de auditoria independente, tica e padres
profissionais,
planejamento,
desempenho
do
trabalho da auditoria, relatrio e acompanhamento
de atividades da auditoria. O propsito deste
processo fornecer garantia positiva relacionada
conformidade da TI com leis e normas.

2.3 Governana Corporativa e de TI

COSO

COBIT

ISO 27002
O qu

ISO 9000
ITIL

Como

Escopo

2.4 Objetivos da Governana de TI

assegurar que as aes de TI estejam
alinhadas com o negcio da organizao,
agregando-lhe valor;
medir o desempenho da rea de TI, alocar
propriamente os recursos e mitigar os riscos
inerentes;
gerenciar e controlar as iniciativas de TI nas
organizaes para garantir o retorno de
investimentos e a adoo de melhorias nos
processos organizacionais

2.5 Responsabilidade sobre a

Governana de TI
Alta administrao das organizaes

3. Levantamento Governana de TI
Levantar informaes para elaborao de mapa
com a situao da Governana de TI na
Administrao Pblica Federal com vistas a
subsidiar o planejamento das fiscalizaes da Sefti
Verificar onde a situao da Governana de TI
est mais crtica
Identificar as reas onde o TCU pode atuar como
indutor do processo de aperfeioamento da
Governana de TI
Identificar os principais sistemas e bases de
dados da Administrao Pblica Federal

10

3.1 Etapas do levantamento

Elaborao de questionrio (39 questes)
Identificao do pblico alvo
(255 rgos/entidades da APF)
Identificao dos responsveis pela resposta
Utilizao de software para coleta das respostas
Resposta pesquisa (respostas declarativas,
com anexao de evidncias)
Suporte ao processo de resposta dos questionrios
Encerramento da pesquisa
Avaliao dos dados coletados
11

3.2 Questionrio
Composto de 39 questes nas reas de:
Planejamento Estratgico e PETI
Estrutura de Pessoal de TI dos rgos/Entidades
Segurana da Informao
Desenvolvimento de Sistemas
Gesto dos Acordos de Nveis de Servio (SLA)
Processo de Contratao de Bens e Servios de TI
Gesto dos Contratos de TI
Controle de Gastos de TI
Realizao de Auditorias de TI pelos rgos/Entidades

12

4. Critrios Utilizados
Constituio Federal
Legislao Brasileira
Jurisprudncia do TCU
NBR ISO/IEC 27002 ( poca 17799)
Segurana da Informao
NBR ISO/IEC 15999-1 Gesto de
Continuidade de Negcios
Cobit 4.1 (Control Objectives for Information
and related Technology) Governana de TI

13

5. Principais Achados
A partir dos dados coletados, observou-se que:
Situao da governana de TI na APF
bastante heterognea;
A estrutura de pessoal de TI bastante
diversa e est atrelada natureza jurdica da
organizao;
Situao da governana de TI est mais
crtica no que diz respeito ao tratamento e
segurana da informao.

14

5.1 Planejamento Estratgico

Institucional e de TI
47 % Ausncia de planejamento estratgico
institucional em vigor (PO1.2 e item 9.3.9 do Acrdo
n 1.558/2003-TCU-Plenrio)
59 % Ausncia de planejamento estratgico de
TI em vigor (PO1.4 e item 9.3.9 do Acrdo n
1.558/2003-TCU-Plenrio)
67 % Ausncia de comit diretivo sobre aes e
investimentos em TI (PO4.3)

15

5.2 Relao PEI x PETI

Planejamento Estratgico Institucional
Sim

No

47%
53%

19%

81%

60%

40%
Planejamento Estratgico de TI

16

5.3 Estrutura de Pessoal de TI

Quantidade reduzida de servidores na rea de TI
29 % menos de 1/3 (PO7.5 e Acrdo n 140/2005TCU-Plenrio)
63 % Ausncia de formao especfica em TI
(PO7.2 e Acrdo n 140/2005-TCU-Plenrio)
60 % Inobservncia das competncias
necessrias para funes comissionadas (Art. 3o,
incisos VI e VII do Decreto no 5.707, de 23.02.2006)
57 % Ausncia de carreira especfica para a rea
de TI (PO7.1)

17

5.4 Segurana da Informao

64 % Ausncia de poltica de segurana da
informao em vigor (NBR item 5.1 e DS5.2)
88 % Ausncia de plano de continuidade de
negcios em vigor (NBR itens 8.6 e 14.1.3 e DS4)
80 % Ausncia de classificao das informaes
(NBR item 7.2 e PO2.3)
48 % Ausncia de procedimentos de controle de
acesso em vigor (NBR item 11.1.1, DS5.3, DS5.4,
DS12.2 e DS12.3)

18

Segurana da Informao (cont.)

64 % Ausncia de rea especfica para lidar com
segurana da informao (NBR item 6.1 e DS5.1)
76 % Ausncia de rea especfica para gerncia
de incidentes (NBR item 13.2, DS5.5 e DS5.6)
88 % Ausncia de gesto de mudanas (NBR itens
10.1.2 e 12.5.1 e AI6)
84 % Ausncia de gesto de capacidade e
compatibilidade das solues de TI (NBR item
10.3.1, PO3.4 e DS3)
75 % Ausncia de anlise de riscos na rea de TI
(NBR item 4.1 e PO9.4)
19

Deficincias na segurana da informao

90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
)
)
)
)
)
)
)
)
)
%
%
%
%
%
%
%
%
%
8
4
4
4
8
8
5
6
0
6
(8
(6
(8
(7
(4
(8
(7
(8
I(
I
I
N
s
e
s
o
o
S
S
P
te
ss
a idad a
e T a ra
PC
n
e
n
d
e
id
ac
da pac
rm
o s ca p
c
u
o
e
c
l
f
n
a
in
e i e ris ec fi
tro
em ec
a
d
n
d
d
d
ia
co
o
e d e sp
c
.
t o t o

s
n
i
d
s
s
e
a
r
l
ea
c
ge
c
e
n
r
i
o
ge
f
g
a

pr
si
s
a
cl

20

5.5 Desenvolvimento de Sistemas

51 % No-adoo de metodologia de
desenvolvimento de sistemas (AI2.7)

21

5.6 Gesto de Acordos de Nveis

de Servio (SLA)
89 % Ausncia de gesto de acordos de nveis
de servios prestados internamente (DS1)
74 % Ausncia de gesto de acordos de nveis
de servios contratados externamente (DS1)

22

5.7 Processo de Contratao de

Bens e Servios de TI
46 % Ausncia de processo formal de
trabalho para contrataes de TI (AI5.1)
47 % Ausncia de anlise de custo/benefcio
da soluo de TI contratada (AI1.3 e AI1.4)
40 % Ausncia de explicitao dos benefcios
nas contrataes de TI (AI1.3, AI1.4, item 9.3.11 do
Acrdo 1.558/2003-TCU-Plenrio e item 9.1.1 do
Acrdo 2.094/2004-TCU-Plenrio)

50 % No-exigncia de demonstrativo de
formao de preo antes da adjudicao
(Lei 8.666/1993)
23

5.8 Processo de Gesto de

Contratos de TI
55 % Ausncia de processo formal de trabalho
para gesto de contratos de TI (AI5.1 e Captulo III
da Lei 8.666/1993)

65 % No-realizao de reunies peridicas

para avaliar o andamento dos contratos de TI
(AI5.2, DS2.2, DS2.3, DS2.4 e art. 67 da Lei 8.666/1993)
47 % No-definio prvia de itens para
atestao tcnica das faturas de contratos de TI
(DS2.4)

24

Processo de Gesto de
Contratos de TI (cont.)
45 % Monitorao administrativa dos
contratos de TI feita pela rea de TI (DS2.2 e
arts. 29 e 55 da Lei 8.666/1993)
57 % No-transferncia de conhecimento
relativo aos produtos e servios terceirizados
para os servidores dos rgos/entidades (AI4.4)

25

5.9 Processo Oramentrio de TI

39 % No-considerao das aes
planejadas para o prximo ano quando da
solicitao de oramento para a rea de TI
(PO5.3)
51 % No-alocao dos recursos previstos
no oramento s aes constantes do
planejamento de TI no incio do ano (PO5.3)

26

5.10 Auditoria de TI
60 % Inexecuo de auditoria de TI pelos
rgos/entidades nos ltimos cinco anos (ME2,
NBR itens 6.1.8 e 15.2)
81 % Inexistncia de equipe prpria para
realizar auditoria de TI (ME2 e NBR item 15.2)

27

5.11 Acrdo 1603/2008 - Plenrio

Recomendaes:
CNJ
CNMP
Senado Federal
Cmara dos Deputados
TCU
MP (especialmente SLTI)
GSI/PR
CGU

28

6. Aes Previstas
Monitorar aes em prol da Governana de TI
Realizao de Seminrios para discusso de
assuntos relativos Governana de TI
Execuo de fiscalizaes que permitam a
consolidao da jurisprudncia do Tribunal em
Governana de TI
Elaborao de cartilha de boas prticas em
Governana de TI
Acompanhamento permanente da evoluo da
Governana de TI

29

Obrigado
Equipe do Levantamento:

Andr Luiz Furtado Pacheco

Luisa Helena Santos Franco
Superviso:

Cludia Augusto Dias

sefti@tcu.gov.br
(61) 3316-5371
www.tcu.gov.br/fiscalizacaoti
30

www.tcu.gov.br

Valores
tica
Justia
Efetividade
Independncia
Profissionalismo

31