Tpicos em Governana TI

O que interessa, afinal?

Daniel Jezini Netto
TCU/Sefti
Braslia, 7 de junho de 2013

Por que
Governana?

Dependncia

Quando?
Quanto?
O qu?
3

Preocupaes da TI

Governana de TI
Definio

O sistema pelo qual o uso atual e futuro da TI dirigido e

controlado. (ABNT NBR ISO/IEC 38500, 2009, item 1.6.3)
Busca garantir que o uso da TI:
agregue valor ao negcio ...
... com riscos aceitveis

Governana de TI
Responsabilidade

A responsabilidade por prover uma boa governana de TI

da alta administrao da organizao
NBR ISO 38500

Criao de Valor
Realizao Otimizao
de
de
Benefcios Recursos

Gesto
de
Riscos

Papel da AI
Os auditores internos determinam se a alta
administrao e o conselho de administrao entendem
claramente que a confiabilidade e integridade da
informao uma responsabilidade da direo. Esta
responsabilidade inclui toda a informao crtica da
organizao, sem importar como se armazena a
informao. ...
IPPF 2130.21-1 (traduo livre)

COBIT 5 Enablers

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

10

Planejamento de TI
Alinhamento!
Onde chegar
O Caminho
Onde estamos?
11

Se encaixa?

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

12

1. Princpios, polticas e modelos

Plano Estratgico Institucional
Plano Estratgico de TI

13

2. Processos
Processo de Planejamento Estratgico
Institucional
Processo de Planejamento estratgico de TI

14

Comit de TI

15

Viabiliza?

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

16

2. Estruturas Organizacionais
Comit de TI
reas responsveis por ...

17

Auditoria
Os planos
Os processos
A estrutura

Por qu?
Como andam as organizaes?
18

Acrdo 2.308/2010-TCU-Plenrio
Dimenso Liderana

A Alta Administrao NO :

... no se responsabilizava pelas polticas de TI (51%)

... no designava formalmente um comit de TI (48%)
... no estabelecia objetivos de desempenho de gesto e uso de TI (57%)
... no definia indicadores de desempenho de gesto e uso de TI (76%)

19

Sobre a Informao
50%
45%
40%
35%
30%

Class. Info

25%

PSI

20%
15%
10%

5%
0%
2007

2010

2012
20

Sobre a Informao
50%
45%
40%
35%
30%

Class. Info

25%

PSI

20%
15%
10%

5%
0%
2007

2010

2012
21

Progresso?
Anlise de Riscos
30%
25%
20%
15%

Anlise de Riscos

10%
5%
0%

2007

2010

2012

22

Progresso?
Anlise de Riscos
30%
25%
20%
15%

Anlise de Riscos

10%
5%
0%

2007

2010

2012

23

Progresso?
Anlise de Riscos
30%
25%
20%
15%

Anlise de Riscos

10%
5%
0%

2007

2010

2012

24

Sinais de Evoluo
2012

2010

2007
54%

Alta Administrao responsabiliza-se pelas polticas de TI

47%
54%

Estabeleceu objetivos de desempenho de TI

43%

Alta Administrao designou Comit de TI

78%

50%

32%

78%

Planejamento Estratgico de TI

67%

41%

85%

Planejamento Estratgico Institucional

53%

Possuem Carreira de TI

43%

25

80%
77%
78%

iGovTI2012 x Oramento de TI 2012

10.000.000.000,00

1.000.000.000,00

100.000.000,00

10.000.000,00

1.000.000,00

100.000,00

10.000,00
0%

10%

20%

30%

40%

50%

26

60%

70%

80%

90%

100%

Avaliao
Induo

do que?

27

Obrigado!

Daniel Jezini Netto, CISA

TCU/Sefti

Tpicos em Avaliao de
Governana de TI
Foco nos resultados e na gesto de riscos

Marcio Rodrigo Braz, Msc., CISA

Secretaria de Fiscalizao de TI
Braslia, 7 de junho de 2013

Computadores tornam mais fcil fazer muitas coisas, mas a

maioria das coisas que eles tornam mais fceis de se fazer
no precisam ser feitas.
Andy Rooney

Como minhas
fiscalizaes de TI
podem contribuir mais
para o aperfeioamento
da TI da administrao
pblica?

Experincia

reas fiscalizadas

Estratgias de fiscalizao

Monitoramentos

Inspees

Auditorias

Fiscalizao de atos e contratos

Levantamentos

Alguns nmeros
Oramento de TI

350

Fora de trabalho

323

(bilhes de reais)
16

300

14

250

12

200

10

150

12,5

100
50

14,7

4
26

0
Auditores da
Sefti

rgos
Fiscalizados

Fonte: Levantamento de Governana, 2012

0
2010
Fonte: Min. do Planejamento

2012

dependncia
total em relao
s empresas
contratadas

TCU fiscalizando a TI ...

Voto Acrdo 2.023/2005-P

Voto Acrdo 1558/2003-P

Voto/Deciso 1459/2002

Em razo das
graves
deficincias
encontradas no
sistema (...)
Voto Acrdo 71/2007-P

Voto Acrdo 1.558/2003

contrato abrange planejamento e modelagem, coordenao-geral de
projetos, administrao e suporte de redes, suporte a usurios,
projetos e desenvolvimento de sistemas, administrao de dados e
servios e administrao de banco de dados [...], servio especializado
(no se encontra bem definido), documentao de projetos,
processamento de imagens, servios tcnicos de processamento de
dados, servios de digitao, operao de microcomputadores (muito
semelhante aos "servios tcnicos de processamento de dados", no se
compreende bem a diferena).
Ministro-Relator Augusto Sherman

Voto Acrdo 2.023/2005-P

Em especial, a equipe ps em destaque a excessiva terceirizao das
atividades do setor, responsvel pela dependncia total em relao s
empresas contratadas, pela descontinuidade dos trabalhos, pela carncia
de controles internos e pela no-formalizao de procedimentos. Essa
assertiva ampara-se na constatao de que, das 125 pessoas atuantes na
Coordenao-Geral de Informtica, 120 so terceirizadas. [...]
Ministro-Relator Marcos Bemquerer

O dilema da atuao incidental

pode gerar
bons exemplos
forma
jurisprudncia

atua em
casos concretos

proporciona
experincia s
equipes

cria expectativa
de controle

Experincia do TCU

Levantamentos de governana
Atuao nos rgos governantes
Capacitao de outras unidades
Fiscalizaes coordenadas

Atuao estruturante do controle

Diagnsticos
(Levantamentos
de auditoria)

Auditorias
em srie

Consolidao

FOC
41

Acrdos
estruturantes,
recomendaes aos
OGS, capacitao e
conscientizao

Levantamentos de Gov TI

1 em 2007
255 Organizaes
39 perguntas
32 sim/no
Evidncias

2 em 2010
301 jurisdicionados
30 perguntas
152 itens
7 dimenses do
GesPblica
Liderana
Estratgias e planos
Cidados
Sociedade
Informaes e
conhecimento
Pessoas
Processos

42

3 em 2012
338 jurisdicionados
36 perguntas
494 itens
ISO 38.500
Governana
Gesto
8 dimenses do
GesPblica +
Resultados

Acrdo 2.308/2010-TCU-Plenrio:
Recomendaes aos OGS
Orientar as instituies sob sua jurisdio sobre a necessidade
de a respectiva alta administrao estabelecer formalmente:

objetivos institucionais de TI alinhados s

estratgias de negcio
indicadores para cada objetivo
metas para cada indicador
mecanismos que a alta administrao adotar
para acompanhar o desempenho da TI da
instituio
43

iGovTI2012
Distribuio das Instituies por estgio do iGovTI

44

3 perguntas que surgem

Qual ser o iGov

dos meus vizinhos?

Este mesmo o
nosso iGov?

Que iGov eu deveria ter?

Ah, mas isso o gestor que

deve decidir! No ?

De que forma avaliar?

Anlise de GAPs em
relao s boas prticas

Avaliar a governana de TI
com foco no negcio e nos resultados

Ah, mas minha TI alcana resultados!

Quais
resultados?

A que
custo?

Com que
recursos?

A que
risco?

O que o TCU perguntou?

O que observou o TCU?

Como resultado da gesto, destacou-se o fato de que h
instituies que no definem objetivos, indicadores e metas de
TI, o que inviabiliza a avaliao do seu desempenho e da
efetividade da aplicao dos recursos pblicos nessa rea.

Voto Ministro-Relator Walton Alencar Rodrigues Acrdo 2.585/2012-TCU

Quais resultados a TI precisa

entregar?

TI

Negcio

Alinhamento?
Padronizar
portal facilitar
a navegao
por parte do
usurio

PDTI
Objetivo 1.3: Adaptar interface das
aplicaes do portal ao padro PT 2013.1
Vinculao estratgica: PEI 1.1

Precisamos
de novos
servios no
portal. Os
antigos no
atendem

PEI
Objetivo 1.1: Ampliar fidelidade
dos clientes melhorando a qualidade
dos produtos entregues

Alinhamento
Planejamento integrado
Envolvimento da TI nas decises estratgicas e
do negcio no planejamento da TI
Comunicao dos planos
Amadurecimento dos planos adoo de metas
e indicadores
Comits de TI
Gestores de sistemas/negcio

No questionrio

Com quais riscos?

Algum analisa riscos de TI hoje em dia?

Anlise de Riscos no iGov

60%

2008

2010

2012

50%
40%
30%
20%

10%
0%
Invent. de Classificao
ativos de inf.
da
informao

Anlise de
riscos

Gesto de
incidentes
de SI

Equipe para
gerenciar SI

PSI

Gesto de
cont. de
servios

Ningum analisa riscos?

A experincia sugere que a maioria dos rgos
avalia riscos de alguma maneira

Como?
Em momentos pontuais, setores,
projetos ou situaes especficas
Assistemtica e emprica
Dependendo de heris
Sem comunicao e monitoramento
Sem alinhamento ou priorizao
Sem escalabilidade

Gesto de Riscos de TI
Identificao, quantificao e priorizao com base em
critrios para aceitao de riscos e objetivos organizacionais
Anlise peridica (para contemplar mudanas nos requisitos e
nas situaes de risco) e metdica (para ser comparvel e
reproduzvel)
Deve ter escopo claro e definido e incluir relacionamentos
com anlise de riscos de outras reas
Comunicao, monitoramento, mecanismos para escalar os
riscos

A que custo?
Dimenso tradicionalmente observada pelo
controle
Planejamento de TI
Planejamento oramentrio
Planejamento das contrataes
Contrataes por resultado
Gesto contratual
Gesto de projetos

Com que recursos?

Implentar
governana?
Planejar
mudanas?

Compor
comits?

Pessoas!
Monitorar
aes?

Priorizar
aes?
Executar
planos?

Pessoas so o
principal viabilizador!
Prioridades
estratgicas da EGTI
do SISP para 2013:
Objetivo 1 - Aprimorar a
gesto de pessoas de TI; e
Objetivo 2 - Aperfeioar a
gesto oramentria de TI.

EGTI 2013/2015
senso comum que pessoas capacitadas e motivadas fazem a
diferena em todo o tipo de organizao, e no setor pblico no
poderia ser diferente. A valorizao dos servidores questo
estratgica para o SISP e dever ser tratada de forma
consistente.
Por outro lado, sem recursos oramentrios e financeiros,
mesmo os profissionais mais competentes no conseguem gerar
resultados efetivos. Podem ter uma srie de boas intenes, mas
no possvel transform-las em realidade, inviabilizando o
atingimento das metas.

Voto Ministro Augusto Sherman

Apreciao das Contas de governo 29/5/2013
26% das instituies tm elevada dependncia de pessoas
externas ao quadro para sua gesto de TI (funes gerenciais);
em 36 de 57 instituies analisadas (63%) ocorre a alocao
de cargo ou funo de TI para outra finalidade que no a
atuao em TI;
40% das instituies no tm um plano de capacitao de
pessoal em gesto de TI; e
a taxa de evaso do cargo de ATI a mais alta entre os cargos
administrados pelo MPOG (apenas 67% dos nomeados
permanecem em exerccio)
Fonte: Dirio Oficial da Unio: http://www.in.gov.br/visualiza/index.jsp?jornal=1&pagina=89&data=04/06/2013

Voto Ministro Augusto Sherman

Apreciao das Contas de governo 29/5/2013
Entre as diversas oportunidades de melhoria verificadas nos
levantamentos realizados pelo Tribunal, destaco, nesta ocasio, a
necessidade de a Administrao Pblica aprimorar a poltica de
pessoal da rea de TI. Isto porque, em essncia, se a estrutura
de pessoal estiver bem cuidada, a tendncia natural a paulatina
resoluo da maioria das fragilidades atinentes governana de
TI. E sem a incorporao estrutura de pessoal do Estado
brasileiro de bons gerentes de TI, dificilmente alcanaremos as
melhorias pretendidas e necessrias, tanto na governana de
TI quanto nas contrataes pblicas de TI

Fonte: Dirio Oficial da Unio: http://www.in.gov.br/visualiza/index.jsp?jornal=1&pagina=89&data=04/06/2013

Avaliao de governana com foco

em resultados e gesto de riscos
Avaliao sistmica de governana e gesto
Governana
Gesto

Verificao de informaes prestadas

Foco em resultados e riscos
Incluso de elementos de auditoria baseada
em riscos
Verificaes de conformidade

Ser que
podemos
comear a pensar
em planos e
metas para
governana de TI
das organizaes?

O que pensa o TCU?

OGS,
orientem as instituies sob sua jurisdio para que:
9.1.1.3. definam e formalizem metas de governana,
como parte do PDTI da instituio, baseadas em
parmetros de governana, necessidades de negcio e
riscos relevantes, atentando para as metas legais de
cumprimento obrigatrio e as orientaes da ABNT
NBR ISO/IEC 31000;
Acrdo 2.585/2012-TCU

Para onde ir?

Primeiro, a governana precisa

ser planejada!

Consideraes finais
Atuao sistmica pode ser mais efetiva que a
atuao incidental
crucial avaliar os resultados e no apenas os
processos e meios utilizados pelas TIs
Avaliar os resultados demanda planejamento
por parte dos rgos
necessrio avaliar de que forma os rgos
tm abordado e planejado a governana

Fim

Contato: brazmr@tcu.gov.br