I Workshop de Governan

Governana de TI
Embrapa, 30/08 a 03/09/2010

Governan
Governana de TI
Cludio Silva da Cruz
MSc, CGEIT, Auditor Federal de Controle Externo/TCU

As ideias relacionadas neste trabalho so interpretaes do autor com base na legislao, doutrina e jurisprudncia; no h
garantia de que as instncias de controle (consultoria jurdica, controle interno e controle externo) adotem necessariamente essas
posies; a fundamentao das ideias apresentadas um referencial para o posicionamento dos dirigentes.

Impactos da ausncia de Governana de TI

22

O problema
Congresso Nacional (1999-2000): solicitao de
apurao de denncias de fraudes em contrataes
de TI
TCU (2001-2002)
Exame de informaes de mais de 79.000 contratos de TI
Entre 1995 e 2000 foram gastos R$15 bilhes em TI por
inexigibilidade de licitao
TI passou a ser foco de auditorias

Possvel origem do problema:

achar que TI no o negcio e que se pode terceirizar tudo:
perda da capacidade de Governana de TI

33

O problema
Problemas recorrentes nas contrataes de
servios de TI
Evoluo do nmero de deliberaes do TCU relacionadas
com contrataes de servios de TI
Evoluo do nmero de deliberaes do TCU que se relacionam com contrataes de servios de
TI

600

500

Quantidade

400

300

200

100

0
1995

1996

1997

1998

1999

2000

2001

2002

2003

Ano da deliberao

2004

2005

2006

2007

2008

2009

Evidncias de falta de Governana de TI

Ausncia de posse/domnio de seus sistemas e
bases de dados: Acrdo 2.203/2005-Plenrio

Documentao tcnica e programas fontes no esto disponveis para

a Administrao Pblica e, por mais absurdo que possa parecer, ela
no tem acesso aos dados gerados por esses sistemas, a no ser da
forma como a dita empresa oferece. Ademais, atualmente impossvel
para a Administrao Pblica auditar esses dados, para verificar se
so fidedignos ou buscar indcios de fraudes. A [contratada] condiciona
sua entrega, bem como da documentao tcnica dos sistemas,
assinatura de um Termo de Ajuste, objeto de pendncia judicial que se
arrasta h mais de um ano, numa verdadeira afronta soberania
nacional.

55

Evidncia de falta de Governana de TI

Completa dependncia tecnolgica:
Acrdo 889/2007-Plenrio
Tal providncia, de insero nos contratos de manuteno a serem
celebrados, de clusula que possibilite a migrao dos dados, de
propriedade do [ente pblico] para base de padro aberto reconhecida
por outros softwares, obviamente depende de negociao junto
empresa [contratada] e do seu interesse em prestar o servio,
especialmente se esse processo migratrio depender dos
conhecimentos exclusivos dessa empresa sobre o sistema, ...
... no compartilhados por outras empresas ou profissionais de informtica.
Tal providncia, em verdade, deveria ter sido adotada desde a
licitao realizada para a aquisio do sistema, poca em que ainda
no havia qualquer dependncia do [ente pblico] junto ao fornecedor
da soluo pretendida.
66

Evidncia de falta de Governana de TI

Aes paralelas, sem coordenao: TC
022.059/2008-0
A deficincia da rea de governana de TI aparece tambm por conta do
desdobramento do projeto [...], oriundo de aditivo ao Contrato [...].
De acordo com a [Comisso], existe outro projeto em desenvolvimento
[em outro setor do ente pblico], chamado Sistema [...], que teria a
mesma finalidade do projeto [acima].
Em reunio com a Assessoria [...], levantou-se que, embora haja certa
diferena com relao abrangncia dos dois projetos, h uma
superposio entre os mesmos, com relao a finalidades e a
informaes que devem ser encaminhadas [...].
Registra-se que esta equipe de auditoria no chegou a avaliar a
congruncia entre os dois projetos citados e outros atualmente em
desenvolvimento na instituio, e que podem tambm conter aes
paralelas, como o Sistema [...] e o Sistema [...].

77

Evidncia de falta de Governana de TI

Sistema contratado, pago, mas inservvel:
TC 031.963/2008-0
O edital e o projeto bsico no possuam indicadores de qualidade, acordos de
nveis de servio ou parmetros de performance que permitisse que o [ente
pblico] atuasse junto contratada com relao a eventuais problemas de
funcionamento.
O processo de homologao adotado pelo [ente pblico] durante o
desenvolvimento do [sistema] estava focado basicamente na usabilidade (do
ponto de vista do usurio) e no aceite dos casos de uso individualmente,
carecendo de um vis tcnico que permitisse a identificao antecipada de
inconsistncias e problemas de funcionamento e performance para a soluo
integrada.
O produto entregue pela [contratada] apresentou problemas de funcionamento,
os quais foram identificados desde 2004 e tambm apontados aps a entrega
da soluo completa em 2007. Os problemas de funcionamento foram tambm
identificados no treinamento dos multiplicadores (setembro/2006) e na
implantao piloto (julho/2007).

88

Evidncia de falta de Governana de TI

Sistema contratado, pago, servvel, mas no
implantado
Acrdo 2.203/2005-Plenrio
Um exemplo real constatado nesta auditoria concernente falta
de planejamento foi o desenvolvimento do sistema (...). Tratase de sistema desenvolvido entre 2000 e 2001 e que, at os
dias atuais, no foi implantado, embora j tenham sido
feitos vrios testes satisfatrios e o gestor do negcio
ache de extrema relevncia (...) o problema da no
implantao do [sistema] est relacionado falta de infraestrutura necessria que comporte a execuo desse sistema:
infra-estrutura de rede, servidores ...
99

Evidncia de falta de Governana de TI

Ausncia de PCN (Plano de Continuidade do
Negcio):
TC 026.196/2007-9 e TC 026.200/2007-3
Convivendo com total falta de recursos ou planos de
contingncia, a atual Diretoria [...] foi alarmada pela ocorrncia
do dia 19/07/2005, quando uma falha nos equipamentos de
processamento centralizado provocou a paralisao [da
entidade] por mais de 20 horas, gerando danos imagem e
causando prejuzos financeiros instituio.
(TC 026.196/2007-9)
Obteve-se a informao que, devido a um vrus, houve uma
paralisao na rede [...] por mais de duas semanas, o que
comprova que o Plano de Contingncia [...] remetido [...] no
tem aplicabilidade efetiva.
(TC 026.200/2007-3)
10
10

Ser que as causas desses problemas esto

somente na rea de TI? ...

... No! Trata-se de um problema sistmico

de ausncia de governo do uso e da gesto
de TI
11
11

Se os resultados advm da estratgia de ao ...

Pessoas

Estratgia

Processos

Tecnologias
(p.ex., Tecnologia da Informao)

Resultados
Eficcia
Eficincia
Efetividade
Economicidade

... ento precisamos de gestores da estratgia de ao, pois,

quem faz a estratgia funcionar a rea de negcio e, no, a
rea de TI.

12
12

Unidade de negcio
(unidade gestora)

Gestor de negcio (titular)

Papis do gestor do negcio
gestor

de estratgia de negcio
gestor de pessoas alocadas
gestor de processos de negcio
gestor de tecnologias aplicadas
Nesse sentido, como anda a Governana de TI no setor pblico?
13
13

Importncia de governar a TI do setor

pblico

14
14

O problema
Governo grande contratador de TI
Em 2004, ~23% do mercado de outsourcing de TI
(E-Consulting apud GONALVES; OLIVEIRA, 2004)

Em 2007, gastos com TI: R$ 6Bi

(Ac1934/2007-P, primeira aproximao, sem detalhes)

Em 2010, TI gastar: (Fonte: SIDOR/DEST, 2010)

R$ 6,1Bi no oramento fiscal e da seguridade social
R$ 6,4Bi em investimentos nas estatais/economia mista
Total: R$ 12,5Bilhes

15

O problema
Mas o que mais preocupa que a TI.Gov ...
... implementa/controla/suporta (ou deveria) a
execuo do oramento da Unio:
R$ 1,86 TRILHO!!!

Temos Governana de TI para fazer isso?

16

O problema
Estamos usando TI com eficcia, eficincia,
efetividade e economicidade?
Os resultados atuais do uso de TI so
satisfatrios ...
... OU PODEMOS OBTER MUITO MAIS?

17

Como obter mais resultados do uso de

TI na Embrapa? ...

18

... adotando as diretrizes da norma

ISO/IEC 38500

19

A norma ABNT
NBR ISO/IEC 38500

20

Escopo da NBR ISO/IEC 38500

NBR ISO/IEC 38500:
Esta norma oferece princpios para orientar os dirigentes
mximos das organizaes sobre o uso eficaz, eficiente e aceitvel
da TI mas suas organizaes
Aplicao geral:

Organizaes privadas
Organizaes pblicas
Entidades governamentais
Organizaes sem fins lucrativos
... de qualquer tamanho

21

Benefcios da NBR ISO/IEC 38500

Gerais:
Uso eficaz, eficiente e aceitvel da TI
Melhor avaliao dos dirigentes acerca dos riscos e oportunidades de uso de TI

Conformidade:
Reduo do risco de no-conformidades legais, regulatrias e contratuais
Reduo dos riscos decorrentes de falta de conformidade com:
Normas de segurana, legislao de privacidade, legislao comercial, propriedade
intelectual, regulamentos ambientais e trabalhistas, normas pblicas de licitaes e
contratos, polticas pblicas, normas contbeis etc.

Desempenho:

Melhoria do desempenho institucional por meio do uso de TI

Continuidade e sustentabilidade do negcio
Alocao eficiente de recursos
Competitividade
Obteno dos benefcios de investimentos de TI etc.
22

Princpios para Governana de TI

ISO/IEC 38500: seis princpios para governana de TI:

Responsabilidade
Estratgia
Aquisies
Desempenho
Conformidade
Comportamento Humano

23

Princpios de Governana de TI
ISO/IEC 38500: seis princpios para governana de TI:
1. Responsabilidade papis e responsabilidades bem definidos na entrega de TI aos
clientes e na sua aquisio, e garantia de autoridade compatvel para o exerccio
desses papis.
2. Estratgia O desenvolvimento da estratgia de negcio considera a as capacidades
atuais e futuras de TI e o planejamento de TI busca atender s necessidades atuais e
continuadas do negcio da organizao (alinhamento).
3. Aquisies As aquisies de TI so adequadamente motivadas por meio de anlises
apropriadas e continuadas e de decises claras e transparentes, de modo a garantir o
alcance de equilbrio adequado entre benefcios, oportunidades, custos e riscos, tanto
no curto como no longo prazo.
4. Desempenho A TI estruturada para suportar adequadamente a organizao e
dispor servios com os nveis e com a qualidade necessrios para responder aos
requisitos atuais e futuros do negcio.
5. Conformidade A TI est em conformidade com a legislao e regulamentos
aplicveis. As polticas e as prticas esto claramente definidas, encontram-se
implementadas e so aplicadas.
6. Comportamento Humano As polticas, prticas e decises relativas ao uso e
gesto da TI consideram e respeitam o comportamento humano e incluem as
necessidades atuais e a evoluo das necessidades de todas as pessoas envolvidas no
processo.
24

Tarefas da AA para governar a TI

Para implementar esses princpios e, portanto,
governar a TI, a alta administrao (AA) da
organizao precisa:
Avaliar o uso atual e futuro da TI;
Dirigir a elaborao e implementao de polticas e planos
que assegurem que o uso e a gesto de TI atingem os
objetivos de negcio;
Monitorar a conformidade com as polticas estabelecidas
e o desempenho da execuo dos planos traados.

As trs tarefas devem ser realizadas para atender a

cada um dos seis princpios
25

Modelo de Governana da NBR38500

Dirigentes

Gestores

suportados por

26

Exemplo:
A governana nas contrataes de servios de TI

27

Requisito legal para contratar servios

Dec. 2271/1997, art . 2 A contratao dever ser precedida e
instruda com plano de trabalho aprovado pela autoridade mxima do
rgo ou entidade, ou a quem esta delegar competncia, e que conter,
no mnimo:
I - justificativa da necessidade dos servios;
II - relao entre a demanda prevista e a quantidade de servio a
ser contratada;
III - demonstrativo de resultados a serem alcanados em termos
de economicidade e de melhor aproveitamento dos recursos humanos,
materiais ou financeiros disponveis.
28

A governana das contrataes

Governana das contrataes de TI
Controle
feedback
Externo
Alta
conterole
Administrao

Controle
Interno

Jurdico

rea de
Negcio

Resultados do contrato

Benefcio
de negcio

(Plano de trabalho,
D2271, art. 2)

Administrao
(licitao, oramento...)

Cliente-cidado

Direo
de TI

(Requisitante)

Gesto
Negocial

Gesto
Administrativa

Gesto
Tcnica

Gesto
Contratual
Ac1382/09-P
29

TCU:
Como anda a Governana de TI no setor pblico?

30

Levantamento GovTI/2007

Etapas do trabalho:

Elaborao de questionrio (39 questes).

Identificao do pblico alvo (255 rgos/entidades da
APF).

Identificao dos responsveis pela resposta.

Utilizao de software para coleta das respostas.

Resposta pesquisa (respostas declarativas, com
anexao de evidncias).

Suporte ao processo de resposta dos questionrios.

Encerramento da pesquisa.

Avaliao dos dados coletados.

BRAGA, 2009

31

Levantamento GovTI/2007
Relao entre Plano Estratgico Institucional e
Plano Estratgico de TI (PETI):
Planejamento Estratgico Institucional
Sim

47%

No

53%

19%

81%

60%

PETI
40%

BRAGA, 2009

32

Levantamento GovTI/2007
Deficincias em Governana de TI
0%

20%

40%

60%

80%

100%

No aloca gastos de TI de acordo com planejamento (51%)

No adota processo de trabalho p/ contratao de TI (46%)
No h transferncia de conhecimento (57%)
No h planejamento estratgico em vigor (59%)
No segue metodologia de desenvolvimento sistemas (51%)
No efetuada gesto de nveis de servios (74%)
No foi realizada auditoria de TI nos ltimos 5 anos (60%)
No h carreiras especficas para TI (57%)
No h poltica de segurana de informao (64%)
No faz anlise de riscos de TI (75%)
No faz classificao da informao (80%)
No h plano de continuidade de negcios (88%)

BRAGA, 2009

33

Levantamento GovTI/2007
Deficincias na segurana da informao
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
)
)
)
)
)
)
%)
)
%)
%
4
%
%
%
8
%
%
%
6
4
8
8
6
5
4
8
(
0
(
6
8
8
(7
(4
(8
N
I ( PSI
I (7
s
o
s(
e(
S
T
o
C
e
s
a
d
t

s
P

a
a
de
a id en
ar
ce
a n a ci d
s
p
a
m
d
o
r
c
a
le
ap
mu
isc c fic
n fo d e in
ro
r
c
i
t
e
n
e
e
a
d
e
o
d
sp
od
o d ncia lise
.c
t o
e

d
t
s

e
s
ge
er an
rea
oc
ge
i ca
g
r
f

i
p
ss
cl a

BRAGA, 2009

34

Levantamento GovTI/2007
Principais recomendaes (Ac1603/2008-P):

Implantar processo de planejamento institucional e de TI

Criao do comit de TI
Prover/manter quadro de servidores de TI adequado
Implantar processo de contratao de TI
Implantar poltica e processo de segurana da informao
Implantar processo de gesto de servios
Implantar processo de software
Implantar processo de auditoria de TI
Implantar gesto oramentria de TI, alinhada com
negcio

BRAGA, 2009

35

Trs anos depois,

como anda a GovTI no setor pblico?

36

Levantamento GovTI/2010

Principais objetivos:

Criar processo de mensurao peridico de Governana
de TI

Fornecer feedback aos gestores, sugerindo onde
melhorar

Identificar os melhores e piores casos e estud-los

Subsidiar as fiscalizaes em campo

37

Processo de Acompanhamento
da Governana de TI
(Modelo de Negcio)

Problemas, riscos e oportunidades de melhoria da APF

TCU e CN
rgos
governantes*
Referncias
Academia
Organiz.Audit.

Problemas
priorizados

Perfil
GovTI
<anon>

Demanda por
K e competncias

Jurisdicionados
Avaliao comparada Alta Administrao
+ recomendaes
Comit de TI
Gestores de TI
Avaliao comparada
+ recomendaes

Controle
Interno

Aval.comp.+rec.
Proposta de normas

rgos
governantes

Competncias legais
Objetivos e metas

Frameworks
reconhecidos

*Orgos governantes:
- rgo central do SISP (SLTI) e setoriais (SEs)
- DG/Cmara, CD/Senado, Segedam/TCU
- Conselhos superiores (CNMP, CNJ, CNJT, CJF, CATI/MCT etc.)
- GSI/PR, Sepin/MCT
- Departamento de Coordenao e Controle das Empresas Estatais DEST/MP

Base DW
GovTI

Instituies de
ensino e
pesquisa

Aval.comp.+rec.
Proposta de leis

Congresso
Nacional

fontes
reas de risco identificadas
Elementos para DN-Contas

TCU

38

Ciclo 2010 Entradas

Vindas do TCU: (Ac786/2006-P, Ac1603 e 2471/2008-P)

Governana pela Alta Administrao

Suporte de TI s principais aes oramentrias
Pessoal para gesto de TI
Processos (Segurana da Informao/Software/Projetos/Gesto de servios/Contrataes)

Vindas do Min. Planej., Or. e Gesto

Pessoal (cargos, funes, capacitao)
Estrutura de governana Comits de TI
Gespblica

Vindas das normas/frameworks

NBR 38500 Responsabilidade da Alta Administrao
Cobit, ITIL, NBR 27002, NBR 15504
39

Gespblica (Decreto n 5.378/2005)

40

Ciclo 2010 Sadas

Perfil GovTI 2010

Base DW GovTI disponvel para consultas
Dados do questionrio
Dados de outras fontes (SIDOR, SIAFI etc.)

Recomendaes:
Jurisdicionados
rgos Governantes de TI (normas)
Controle Interno (verificao de controles)
Instituies de Ensino e Pesquisa

Relatrio ao Congresso Nacional

41

Resultados
Apreciao pelo TCU prevista para 08SET
Maioria das instituies pblicas ainda est
abaixo no nvel mnimo de governana de TI
Melhorias comeam a ser sentidas em dois
aspectos:
Melhoria na percepo da Alta Administrao
quanto a seu papel na Governana de TI
Melhoria do quadro de pessoal (quantidade e
qualidade)

Auditorias de governana de TI sero

intensificadas
42

Agradeo muito a honra de ter partilhado

esses momentos com vocs!
Cludio Cruz
cscruz@tcu.gov.br