02 Auditoria de Governança TI

Auditoria de Governana de TI
Secretaria de Fiscalizao
de Tecnologia da Informao
Andr Luiz Furtado Pacheco, CISA

Novembro
Secretaria de Fiscalizao de 2009 da Informao
de Tecnologia 1
Agenda
Objetivos
Governana? O que ? Para qu? Por qu?
Governana de TI e o Cobit 4.1
Governana de TI e a NBR ISO/IEC 38500
Falta de Governana de TI
Governana de TI e compras pblicas
Levantamento acerca da Governana de TI na
Administrao Pblica Federal
Secretaria de Fiscalizao de Tecnologia da Informao 22

Objetivos
Conhecer conceitos atinentes governana de TI;
Compreender a importncia da governana de TI
no contexto organizacional e como ela se
relaciona com a prestao de servios
sociedade;
Conhecer o Cobit e como ele utilizado como
critrio de auditoria;
Conhecer formas de atuao da Sefti/TCU em
trabalhos de auditoria de governana de TI;
Discutir algumas questes de auditoria
relacionadas auditoria de governana de TI.
Agenda
Objetivos

Governana
a maneira pela qual o poder exercido na
administrao dos recursos sociais e
econmicos de um pas visando o
desenvolvimento. (traduo livre da definio dada
pelo Banco Mundial no documento Governance and
Development, 1992)
Envolve o processo pelo qual a autoridade
exercida na administrao dos recursos de um
pas e influi na capacidade dos governos de
planejar, formular e implementar polticas e
cumprir funes.

Governana Corporativa
Governana Corporativa o sistema pelo qual as
organizaes so dirigidas, monitoradas e incentivadas,
envolvendo os relacionamentos entre proprietrios,
conselho de administrao, diretoria e rgos de
controle. As boas prticas de governana corporativa
convertem princpios em recomendaes objetivas,
alinhando interesses com a finalidade de preservar e
otimizar o valor da organizao, facilitando seu acesso
ao capital e contribuindo para a sua longevidade. (IBGC
- Instituto Brasileiro de Governana Corporativa)
O Sistema pelo qual as organizaes so dirigidas e

controladas (NBR ISO/IEC 38500, item 1.6.2)

Governana Corporativa
Surgiu para superar o conflito de agncia,
decorrente da separao entre a propriedade
(acionistas) e a gesto empresarial (agentes
especializados com poder de deciso sobre a
propriedade). O conflito de agncia ou conflito
agente-principal ocorre quando os interesses do
gestor no esto alinhados com os do
proprietrio. (IBGC - Instituto Brasileiro de
Governana Corporativa)
Trabalho interessante: Acrdo n 1.074/2009-

TCU-Plenrio

Governana de TI
Governana de TI uma estrutura de
relacionamentos e processos para dirigir e
controlar a TI a fim de alcanar as metas da
instituio pela agregao de valor, enquanto se
mantm o equilbrio dos riscos versus retorno
sobre esta funo e seus processos. (traduo
livre de texto do ITGI IT Governance Institute)
O Sistema pelo qual o uso atual e futuro da TI

dirigido e controlado. (NBR ISO/IEC 38500,
item 1.6.3)

Governana x Gesto
Gesto: O sistema de controles e processos
necessrio para alcanar os objetivos
estratgicos estabelecidos pela direo da
organizao (NBR ISO/IEC 38500, item 1.6.9)
Gesto controla tarefas executivas, enquanto

governana controla a gesto.
Governana no controla diretamente tarefas

executivas. Controla se h controles sobre as
tarefas executivas, monitorando-os e adotando
medidas corretivas sob certas situaes de risco
pr-definidas.
Agenda
Objetivos

10
Cobit
IT Governance Institute - ITGI - verso 4.1
O Cobit (COntrol, governance and audit for
Business Information and related Technology)
um modelo de governana de TI que auxilia as
organizaes a gerenciarem seus requisitos de
controle, suas demandas tcnicas e seus riscos
de negcio, em consonncia com as exigncias
regulatrias e com os objetivos organizacionais
Recomendado pela Information Systems Audit
and Control Association (Isaca)

11
Cobit
Padro de melhores prticas em controles sobre
o uso e a gesto de recursos de TI (incorpora os
melhores padres mundiais da rea de TI)
Controles induzidos pelos requisitos e
necessidades de negcio
As prticas de gesto recomendadas ajudam a
otimizar os investimentos de TI e fornecem
mtricas para avaliao dos resultados
Independe das plataformas de TI adotadas nas
organizaes

12
Cobit
Acordo do Comit da Basilia II (2004).
Resoluo n 2.554 do Banco Central de 1998
(Dispe sobre a implantao e implementao de
sistema de controles internos).
Lei americana Sarbanes-Oxley de 2002 (Section
404: Assessment of internal control).
Circular n 249 da Susep de 2004 (Dispe sobre
a implantao e implementao de sistema de
controles internos nas sociedades seguradoras,
nas sociedades de capitalizao e nas entidades
abertas de previdncia complementar).

13
Cobit
Pilares da Governana de TI no Cobit:
Alinhamento estratgico
Entrega de valor
Gerncia de recursos
Gerncia de riscos
Avaliao do desempenho
Foco em controle (o qu) e no na execuo

(como)!

14
Cobit
Planejar e
Organizar
Monitorar e Adquirir e
Avaliar Implementar
Entregar e
Dar suporte

15
Cobit
Est dividido em quatro domnios:
Planejamento e Organizao: avalia o alinhamento
estratgico da TI, cobrindo o uso de informao e
tecnologia e como isso pode ser usado para que
organizao atinja seus objetivos e metas.
Aquisio e Implementao: cobre os requisitos de
TI, aquisio de tecnologia e implementao dentro
dos processos de negcios da organizao.
Entrega e Suporte: avalia a entrega de valor ao
negcio, cobrindo aspectos de entrega de servios de
TI.
Monitorao e Avaliao: visa medir o desempenho,
por meio do monitoramento e avaliao do atual
sistema de TI da organizao.

16
Cobit
Como o Cobit utilizado nas auditorias?
Seus objetivos de controle so utilizados como critrios de
auditoria.
Ele referenciado como um guia, uma referncia de boas
prticas de Governana de TI.
No possui o mesmo peso de uma lei ou norma !
Utilizado principalmente para propor recomendaes a
rgos e entidades.
Contudo, ele pode ser utilizado para propor determinaes
quando combinado com os normativos existentes (ex:
Acrdo n 669/2008-TCU-Plenrio) ou caso a equipe de
auditoria considere que a sua no-implementao ocasiona
riscos muito elevados (ex: Acrdo 1033/2009-TCU-
Plenrio, PCN na IN).

17
Agenda
Objetivos

18
NBR ISO/IEC 38500
Histrico:
Publicada em 2008 pela ISO;
Recepcionada pela ABNT como NBR
ISO/IEC 38500 em abril de 2009.

19
NBR ISO/IEC 38500
Tecnologia da Informao:
Os recursos necessrios para adquirir,
processar, armazenar e disseminar
informaes. (NBR ISO/IEC 38500, item
1.6.7)
Recursos:
Pessoas, procedimentos, software,
informaes, equipamentos, consumveis,
infraestrutura, capital e tempo (NBR ISO/IEC
38500, item 1.6.13)

20
NBR ISO/IEC 38500
Governar a TI realizar 3 tarefas sobre 6
princpios:
Responsabilidade
Avaliar Estratgia
Aquisio
Dirigir
Desempenho
Conformidade
Monitorar
Procedimentos humanos

21
NBR ISO/IEC 38500
Responsabilidades:
A responsabilidade por aspectos especficos
de TI pode ser delegada aos gerentes da
organizao. No entanto, a responsabilidade
pelo uso e entrega aceitvel, eficaz e eficiente
da TI pela organizao permanece com os
dirigentes e no pode ser delegada. (NBR
ISO/IEC 38500, Nota do item 2.2)
Ex: Acrdo n 2.079/2009-TCU-Plenrio

22
Agenda
Objetivos

23
Ausncia de posse de seus sistemas e

bases de dados.
Acrdo 2.023/2005-Plenrio

24
Acrdo 2.023/2005-Plenrio:
Documentao tcnica e programas fontes no esto
disponveis para a Administrao Pblica e, por mais
absurdo que possa parecer, ela no tem acesso aos
dados gerados por esses sistemas, a no ser da forma
como a dita empresa oferece. Ademais, atualmente
impossvel para a Administrao Pblica auditar esses
dados, para verificar se so fidedignos ou buscar
indcios de fraudes. A [contratada] condiciona sua
entrega, bem como da documentao tcnica dos
sistemas, assinatura de um Termo de Ajuste, objeto
de pendncia judicial que se arrasta h mais de um
ano, numa verdadeira afronta soberania nacional.

Completa dependncia tecnolgica.
Acrdo 889/2007-Plenrio

Acrdo 889/2007-Plenrio:
Tal providncia, de insero nos contratos de manuteno a
serem celebrados, de clusula que possibilite a migrao dos
dados, de propriedade do [ente pblico] para base de padro
aberto reconhecida por outros softwares, obviamente depende
de negociao junto empresa [contratada] e do seu interesse
em prestar o servio, especialmente se esse processo migratrio
depender dos conhecimentos exclusivos dessa empresa sobre o
sistema, ...
..., no compartilhados por outras empresas ou profissionais de
informtica. Tal providncia, em verdade, deveria ter sido
adotada desde a licitao realizada para a aquisio do sistema,
poca em que ainda no havia qualquer dependncia do [ente
pblico] junto ao fornecedor da soluo pretendida.

Aes paralelas, sem coordenao.
TC 022.059/2008-0

TC 022.059/2008-0:
A deficincia da rea de governana de TI aparece tambm por
conta do desdobramento do projeto [...], oriundo de aditivo ao
Contrato [...].
De acordo com a [Comisso], existe outro projeto em
desenvolvimento [em outro setor do ente pblico], chamado
Sistema [...], que teria a mesma finalidade do projeto [acima].
Em reunio com a Assessoria [...], levantou-se que, embora haja
certa diferena com relao abrangncia dos dois projetos, h
uma superposio entre os mesmos, com relao a finalidades e
a informaes que devem ser encaminhadas [...].

TC 022.059/2008-0 (continuao):
Registra-se que esta equipe de auditoria no chegou a avaliar a
congruncia entre os dois projetos citados e outros atualmente
em desenvolvimento na instituio, e que podem tambm conter
aes paralelas, como o Sistema [...] e o Sistema [...].
A presena de atividades paralelas e superpostas evidencia a
lacuna na governana de TI e a importncia da centralizao, no
mnimo da superviso, das aes de TI, consubstanciadas em
um Plano Estratgico de TI e coordenadas por um Comit Gestor
de TI (Cobit PO4.3).

Sistema contratado, pago,

mas inservvel.
TC 031.963/2008-0

TC 031.963/2008-0:
O produto entregue pela [contratada] apresentou problemas de
funcionamento, os quais foram identificados desde 2004 e
tambm apontados aps a entrega da soluo completa em
2007. Os problemas de funcionamento foram tambm
identificados no treinamento dos multiplicadores (setembro/2006)
e na implantao piloto (julho/2007).
Apesar de no ter sido possvel a implementao e utilizao do
[Sistema] em sua verso final entregue pela [contratada], o
produto foi homologado e pago, inclusive a ltima parcela
reservada para efetivao aps o aceite final da soluo de TI
contratada.

Sistema contratado, pago, desenvolvido,

servvel,
mas no implantado.
Acrdo 2.023/2005-Plenrio

Acrdo 2.023/2005-Plenrio:
Um exemplo real constatado nesta auditoria concernente falta
de planejamento foi o desenvolvimento do sistema (...). Trata-se
de sistema desenvolvido entre 2000 e 2001 e que, at os dias
atuais, no foi implantado, embora j tenham sido feitos vrios
testes satisfatrios e o gestor do negcio ache de extrema
relevncia (...) o problema da no implantao do [sistema] est
relacionado falta de infra-estrutura necessria que comporte a
execuo desse sistema: infra-estrutura de rede, servidores ...

Agenda
Objetivos

35
Aborda aspectos gerenciais da rea de TI e visa a

certificar-se de que a gesto dos servios oferecidos,
dos investimentos de TI, das pessoas integrantes, das
polticas, do processo de controle e da prpria estrutura
organizacional concorrem para que a organizao atinja
seus objetivos de forma eficiente.
Governana pressupe gesto contnua dos riscos

tecnolgicos.

Aspectos abordados:
Organizacionais, estrutura, planejamento, comits diretivos

e deliberativos, polticas e normas, pessoas, terceirizao,
contratao, cargos e funes, segregao de funes,
treinamento, central de servios, compatibilidade, acordos,
nveis de servios, gerncia de projetos, investimentos,
auditoria, conformidade

Objetivo de controle: assegurar que a organizao

orientada por um plano estratgico adequado
Possveis questes de auditoria:
H planejamento institucional em vigor?
O ente executa a funo de planejamento institucional

segundo as boas prticas?

Critrios:
Decreto-Lei 200/1967, art. 6, inciso I, e art. 7
CF, art. 37, caput (princpio da eficincia)
Gespblica: Critrio 2 - Planos e Estratgias
Possveis achados:
planejamento estratgico institucional inexistente
processo de planejamento estratgico institucional

informal ou deficiente

Objetivo de controle: assegurar que a rea de TI

orientada por um plano estratgico adequado
H planejamento estratgico para a rea de TI em
vigor?
O setor de TI executa a funo de planejamento
estratgico segundo as boas prticas?
O planejamento de TI est em conformidade com a
misso e as metas organizacionais?

Critrios:
Acrdos nos 1.558/2003, item 9.3.9; 2.094/2004, item
9.1.1; 2.023/2005, item 9.1.9; todos do Plenrio-TCU
Cobit 4.1
PO1.1 Gesto do valor de TI; PO1.2 Alinhamento da TI ao negcio
PO1.4 Plano Estratgico de TI; PO1.5 Planos operacionais de TI
Possveis achados:
planejamento estratgico de TI inexistente
processo de planejamento estratgico de TI informal ou

deficiente

Objetivo de controle: certificar-se sobre a existncia e o papel exercido

por comits diretivos
Existe um comit diretivo formalmente constitudo para resolver
questes atinentes TI?
H comit que decida sobre a priorizao das aes e
investimentos de TI?
O comit diretivo de TI composto por gerentes de diferentes
reas, com competncia para decidirem sobre os rumos a serem
seguidos pela rea de TI?
O comit diretivo de TI rene-se periodicamente e suas resolues
so comunicadas?

Critrios:
Acrdo n 2.023/2005-TCU-Plenrio, item 9.3.1
Cobit 4.1
PO4.2 Comit estratgico de TI; PO4.3 Comit diretor de TI
Possveis achados:
comit diretivo de TI inexistente
comit diretivo de TI existe, porm, informal ou ineficaz

Objetivo de controle: assegurar que a estrutura

organizacional proporciona independncia da rea de TI
com relao s demais reas usurias

A posio da rea de TI dentro do organograma geral da
organizao proporciona a ela autoridade, poder de
crtica e independncia diante dos departamentos dos
usurios?

Critrios:
Acrdo n 2.023/2005-TCU-Plenrio, item 9.3.2.1
Cobit 4.1
PO4.4 Localizao organizacional da rea de TI
Possveis achados:
a localizao da rea de TI na estrutura organizacional
est inadequada com relao alta direo e/ou no
permite atuao de forma independente dos
departamentos usurios

Objetivo de controle: certificar-se de que as contrataes

para terceirizao de servios de TI so planejadas e se
inserem numa estratgia mais ampla de terceirizao
A organizao adota processo de trabalho formal na
contratao de bens e servios de TI?
A terceirizao de servios de TI devidamente
controlada e guarda relao com o planejamento
institucional e de TI?

Critrios:
Decreto-Lei n 200/67, art. 6, I, art. 10, 7 e 8

Acrdos nos 1.558/2003, item 9.3.11 e 2.094/2004, item
9.1.1, todos do Plenrio-TCU
Possveis achados:
Inexistncia de um processo formal para contrataes
de TI
As contrataes de TI so feitas aleatoriamente

Agenda
Objetivos

48
Compras Pblicas
A necessidade de estrutura para gerir

contratos bem feitos ...
...decorrente do novo modelo de contratao que no

to simples...
...vamos ver alguns exemplos?

Compras Pblicas
IN 04/08 SLTI:
Art. 3 As contrataes de que trata esta Instruo Normativa
devero ser precedidas de planejamento, elaborado em
harmonia com o Plano Diretor de Tecnologia da Informao -
PDTI, alinhado estratgia do rgo ou entidade.
Corolrio: os entes pblicos s podem contratar se possurem

planejamento de longo prazo institucional e de TI (Cobit 4.1, PO1
Planejamento Estratgico de TI).

Compras Pblicas
LDO 2008/2009 (art. 12) e LOA 2009:
Os gestores devero prever e acompanhar a execuo do seu
oramento de TI.
Corolrio: sem planejamento oramentrio (Cobit 4.1, PO5

Gerenciar investimentos em TI), o oramento de TI pode no ser
aprovado ou sua execuo no ser autorizada!

Compras Pblicas
IN 04/08 SLTI (continuao):
Art. 11. Compete ao Requisitante do Servio definir os seguintes
requisitos, quando aplicveis: ...
Art. 12. Compete rea de Tecnologia da Informao definir,

quando aplicveis, os seguintes requisitos tecnolgicos, em
adequao queles definidos pelo Requisitante do Servio: ...
Corolrio: deve ser implantado um processo de gesto de

requisitos como pr-requisitos s contrataes (Cobit 4.1, AI1.1
definir requisitos funcionais (do negcio) e tcnicos).

Compras Pblicas
E no s para os entes do Sisp, pois...
O modelo conceitual da IN 04/2008-SLTI est baseado em

princpios e a smula TCU n 222 diz...
As Decises do Tribunal de Contas da Unio, relativas aplicao

de normas gerais de licitao,sobre as quais cabe privativamente
Unio legislar, devem ser acatadas pelos administradores dos
Poderes da Unio, dos Estados, do Distrito Federal e dos
Municpios.
Ver tambm Acrdo n 1215/2009-TCU-Plenrio.

Agenda
Objetivos

54
Levantamento de Governana da TI
ME3 Assegurar conformidade s normas:

Superviso regulatria eficaz requer o estabelecimento de
um processo de reviso independente para assegurar
conformidade com leis e normas. Este processo inclui a
definio de um grupo de auditoria independente, tica e
padres profissionais, planejamento, desempenho do
trabalho da auditoria, e relatrio e acompanhamento de
atividades da auditoria. O propsito deste processo
fornecer garantia positiva relacionada conformidade da
TI com leis e normas.

Principais objetivos:
Levantar informaes para elaborao de mapa com a situao
da Governana de TI na Administrao Pblica Federal com
vistas a subsidiar o planejamento das fiscalizaes da Sefti.
Verificar onde a situao da Governana de TI est mais crtica.
Identificar as reas onde o TCU pode atuar como indutor do
processo de aperfeioamento da Governana de TI.
Identificar os principais sistemas e bases de dados da
Administrao Pblica Federal.

Etapas do trabalho:
Elaborao de questionrio (39 questes).
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_infor
macao/boas_praticas
Identificao do pblico alvo (255 rgos/entidades da APF).
Identificao dos responsveis pela resposta.
Utilizao de software para coleta das respostas.
Resposta pesquisa (respostas declarativas, com anexao
de evidncias).
Suporte ao processo de resposta dos questionrios.
Encerramento da pesquisa.
Avaliao dos dados coletados.

Critrios utilizados:
Constituio Federal.
Legislao Brasileira.
Jurisprudncia do TCU .
NBR ISO/IEC 27002 ( poca 17799) Segurana da
Informao.
NBR ISO/IEC 15999-1 Gesto de Continuidade de Negcios
Cobit 4.1.

Alguns resultados...

Relao entre Plano Estratgico Institucional e Plano

Estratgico de TI (PETI):
Planejamento Estratgico Institucional
Sim No
47%
53%
19% 81% 60%
PETI
40%

Deficincias em Governana de TI
0% 20% 40% 60% 80% 100%
No aloca gastos de TI de acordo com planejamento (51%)

No adota processo de trabalho p/ contratao de TI (46%)
No h transferncia de conhecimento (57%)
No h planejamento estratgico em vigor (59%)
No segue metodologia de desenvolvimento sistemas (51%)
No efetuada gesto de nveis de servios (74%)
No foi realizada auditoria de TI nos ltimos 5 anos (60%)
No h carreiras especficas para TI (57%)
No h poltica de segurana de informao (64%)
No faz anlise de riscos de TI (75%)
No faz classificao da informao (80%)
No h plano de continuidade de negcios (88%)

Deficincias na segurana da informao
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
) ) ) ) ) ) ) ) )
8 % % % % % % 4 % 4 % %
( 8 8 4 0 76 5 6 ( 6 4 8
C N s(
8
e(
8
o (8
es( T I (7 S I( SI s o(
a d t a P s
P
a n a ci d
a a d en s de p ar ce
d r m i o a
mu c ap i nfo e i n c ri sc fi ca tr ole
e c
o d
o de o da cia d e de s pe c on
st .
ge st ca ern nlis rea e c ed
ge ifi g a pr
o
l ass
c 62
Secretaria de Fiscalizao de Tecnologia da Informao
Resultou no Acrdo n 1.603/2008 TCU - Plenrio

com recomendaes para:
CNJ.
CNMP.
Senado Federal.
Cmara dos Deputados.
TCU.
MP (especialmente SLTI).
GSI/PR.
CGU.

Algumas recomendaes:
promovam aes com o objetivo de disseminar a importncia do
planejamento estratgico, procedendo, inclusive mediante
orientao normativa, aes voltadas implantao e/ou
aperfeioamento de planejamento estratgico institucional,
planejamento estratgico de TI e comit diretivo de TI, com
vistas a propiciar a alocao dos recursos pblicos conforme as
necessidades e prioridades da organizao;
atentem para a necessidade de dotar a estrutura de pessoal de
TI do quantitativo de servidores efetivos necessrio ao pleno
desempenho das atribuies do setor;

orientem sobre a importncia do gerenciamento da segurana da
informao, promovendo, inclusive mediante normatizao, aes que
visem estabelecer e/ou aperfeioar a gesto da continuidade do
negcio, a gesto de mudanas, a gesto de capacidade, a
classificao da informao, a gerncia de incidentes, a anlise de
riscos de TI, a rea especfica para gerenciamento da segurana da
informao, a poltica de segurana da informao e os procedimentos
de controle de acesso;
estimulem a adoo de metodologia de desenvolvimento de sistemas,
procurando assegurar, nesse sentido, nveis razoveis de padronizao
e bom grau de confiabilidade e segurana;

promovam aes voltadas implantao e/ou aperfeioamento de
gesto de nveis de servio de TI, de forma a garantir a qualidade dos
servios prestados internamente, bem como a adequao dos servios
contratados externamente s necessidades da organizao;
envidem esforos visando implementao de processo de trabalho
formalizado de contratao de bens e servios de TI, bem como de
gesto de contratos de TI;
envidem esforos visando implementao de processo de trabalho
formalizado de contratao de bens e servios de TI, bem como de
gesto de contratos de TI;

adotem providncias com vistas a garantir que as propostas
oramentrias para a rea de TI sejam elaboradas com base nas
atividades que efetivamente pretendam realizar e alinhadas aos
objetivos do negcio;
introduzam prticas voltadas realizao de Auditorias de TI, que
permitam a avaliao regular da conformidade, da qualidade, da eficcia
e da efetividade dos servios prestados.

TMS de Governana da TI
FOC realizada em 2007:
Coordenao da Sefti, participao da 2, 5 e 6 Secex e das
Secex nos estados de Santa Catarina, Piau, Pernambuco,
Rondnia, Paraba e Rio Grande do Sul;
6 ministrios, 2 tribunais, 2 bancos, 1 estatal, 1 universidade
Verificaes in-loco e confronto com as informaes prestadas
de forma declarativa no Levantamento de Governana
Informaes solicitadas aos rgos/entidades:
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_inf
ormacao/boas_praticas -

TMS de Governana da TI
Acrdo n 2.471/2008-TCU-Plenrio:
9.4. recomendar, com fulcro no art. 43, I, da Lei n 8.443/1992,

Secretaria-Executiva do Ministrio do Planejamento, Oramento e
Gesto que:
9.4.4. elabore um modelo de governana de TI para os entes
integrantes do Sisp a partir das boas prticas existentes sobre o tema
(Cobit, Itil, NBR ISO/IEC 27002) e promova sua implementao nos
diversos rgos e entidades sob sua coordenao, mediante orientao
normativa. Referida orientao deve conter, no mnimo: o conjunto de
processos que devem ser considerados de alta importncia; o processo
de trabalho utilizado para identificar quais processos de TI devem ter
sua implementao priorizada; um guia para implantao dos processos
de TI e os nveis de maturidade mnima para os processos
implementados;

Obrigado!
Andr Luiz Furtado Pacheco, CISA

andrefp@tcu.gov.br
Ramal 5900

02 Auditoria de Governança TI

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

02 Auditoria de Governança TI

Enviado por

Direitos autorais:

Formatos disponíveis

Auditoria de Governana de TI

Andr Luiz Furtado Pacheco, CISA

Secretaria de Fiscalizao de Tecnologia da Informao 22

Secretaria de Fiscalizao de Tecnologia da Informao 44

Secretaria de Fiscalizao de Tecnologia da Informao 55

O Sistema pelo qual as organizaes so dirigidas e

Secretaria de Fiscalizao de Tecnologia da Informao 66

Trabalho interessante: Acrdo n 1.074/2009-

Secretaria de Fiscalizao de Tecnologia da Informao 77

O Sistema pelo qual o uso atual e futuro da TI

Secretaria de Fiscalizao de Tecnologia da Informao 88

Gesto controla tarefas executivas, enquanto

Governana no controla diretamente tarefas

Secretaria de Fiscalizao de Tecnologia da Informao 10

Secretaria de Fiscalizao de Tecnologia da Informao 11

Secretaria de Fiscalizao de Tecnologia da Informao 12

Secretaria de Fiscalizao de Tecnologia da Informao 13

Foco em controle (o qu) e no na execuo

Secretaria de Fiscalizao de Tecnologia da Informao 14

Secretaria de Fiscalizao de Tecnologia da Informao 15

Secretaria de Fiscalizao de Tecnologia da Informao 16

Secretaria de Fiscalizao de Tecnologia da Informao 17

Secretaria de Fiscalizao de Tecnologia da Informao 18

Secretaria de Fiscalizao de Tecnologia da Informao 19

Secretaria de Fiscalizao de Tecnologia da Informao 20

Secretaria de Fiscalizao de Tecnologia da Informao 21

Secretaria de Fiscalizao de Tecnologia da Informao 22

Secretaria de Fiscalizao de Tecnologia da Informao 23

Ausncia de posse de seus sistemas e

Secretaria de Fiscalizao de Tecnologia da Informao 24

Secretaria de Fiscalizao de Tecnologia da Informao 25

Completa dependncia tecnolgica.

Secretaria de Fiscalizao de Tecnologia da Informao 26

Secretaria de Fiscalizao de Tecnologia da Informao 27

Aes paralelas, sem coordenao.

Secretaria de Fiscalizao de Tecnologia da Informao 28

Secretaria de Fiscalizao de Tecnologia da Informao 29

Secretaria de Fiscalizao de Tecnologia da Informao 30

Sistema contratado, pago,

Secretaria de Fiscalizao de Tecnologia da Informao 31

Secretaria de Fiscalizao de Tecnologia da Informao 32

Sistema contratado, pago, desenvolvido,

Secretaria de Fiscalizao de Tecnologia da Informao 33

Secretaria de Fiscalizao de Tecnologia da Informao 34

Secretaria de Fiscalizao de Tecnologia da Informao 35

Aborda aspectos gerenciais da rea de TI e visa a

Governana pressupe gesto contnua dos riscos

Secretaria de Fiscalizao de Tecnologia da Informao 36

Organizacionais, estrutura, planejamento, comits diretivos

Secretaria de Fiscalizao de Tecnologia da Informao 37

Objetivo de controle: assegurar que a organizao

O ente executa a funo de planejamento institucional

Secretaria de Fiscalizao de Tecnologia da Informao 38

CF, art. 37, caput (princpio da eficincia)

Gespblica: Critrio 2 - Planos e Estratgias

processo de planejamento estratgico institucional

Secretaria de Fiscalizao de Tecnologia da Informao 39

Objetivo de controle: assegurar que a rea de TI

Secretaria de Fiscalizao de Tecnologia da Informao 40

processo de planejamento estratgico de TI informal ou

Secretaria de Fiscalizao de Tecnologia da Informao 41

Objetivo de controle: certificar-se sobre a existncia e o papel exercido

Secretaria de Fiscalizao de Tecnologia da Informao 42

Acrdo n 2.023/2005-TCU-Plenrio, item 9.3.1