Escolar Documentos
Profissional Documentos
Cultura Documentos
732/2014-2
RELATRIO
heterognea. Alguns aspectos, como planejamento estratgico institucional e carreira prpria de TI,
mostraram evoluo. Outros, como planejamento estratgico de TI e monitoramento da TI,
permaneciam nos mesmos patamares identificados no levantamento de 2007.
4. Com o objetivo de induzir a melhoria da governana de TI na APF, o TCU criou, no
mbito do levantamento de 2010, um ndice que busca refletir, de forma geral, a situao de
governana de TI de cada organizao avaliada, denominado de ndice de governana de TI
(iGovTI).
5. A partir de 2012, em atendimento ao item 9.4.3 do Acrdo 2.308/2010-TCU-Plenrio,
a Sefti estabeleceu processo de trabalho para avaliar a governana de TI na APF em ciclos de dois
anos. No primeiro ano do ciclo, realiza-se a fase de coleta das informaes por meio do
levantamento de governana de TI. No ano seguinte, so realizadas auditorias especficas em uma
amostra das organizaes participantes, com o intuito de validar as respostas coletadas no
levantamento, aprofundar a anlise de alguns aspectos relacionados governana e gesto de TI e
identificar boas prticas adotadas pelas organizaes.
6. O levantamento 2012, que resultou no Acrdo 2.585/2012-TCU-Plenrio, avaliou ao
todo 349 organizaes com base em questionrio, que, seguindo o modelo do Cobit 5, deixou mais
clara a distino entre governana e gesto de TI. Alm disso, avaliou-se, pela primeira vez, a
dimenso Resultados, subdividida em trs grupos de questes: 1) Resultados da gesto; 2)
Resultados da governana para os cidados; e 3) Resultados da governana para a sociedade.
7. Os dados coletados revelaram, em geral, um cenrio de evoluo na situao de
governana de TI na APF, sugerindo que as medidas adotadas pelos rgos governantes superiores
e pelo TCU estavam surtindo efeito. Contudo, ainda havia bastante espao para melhoria, haja vista
que muitas organizaes possuam nvel de capacidade baixo para vrios aspectos avaliados.
8. Continuando o processo de avaliao do ciclo 2012, foram realizadas, em 2013,
auditorias especficas em uma amostra de 20 organizaes, com o objetivo de validar a situao
apurada no levantamento, bem como avaliar a gesto de risco e o alcance dos resultados de TI. As
fiscalizaes revelaram que, em geral, a situao real dos auditados era menos favorvel do que a
informada no questionrio. Destacam-se algumas das decises que apreciaram as referidas
auditorias: Acrdo 755/2014-TCU-Plenrio, Acrdo 1.684/2014-TCU-Plenrio e Acrdo
1.015/2014-TCU-Plenrio.
9. No ciclo atual, a principal novidade diz respeito mudana da escala de resposta do
questionrio, que antes era binria (sim ou no) e passou a ter cinco categorias de resposta, relativas
ao nvel de adoo da prtica (no se aplica, no adota, iniciou plano para adotar, adota
parcialmente, adota integralmente).
10. A compilao dos dados coletados, por sua vez, demonstrou, em geral, uma tendncia
de evoluo da situao, reforando a importncia da continuidade das aes de induo de
melhoria da governana de TI promovidas pelos rgos governantes superiores e pelo TCU. A
situao, todavia, ainda est distante do ideal, haja vista o nvel de adoo insuficiente de muitas
prticas fundamentais para que a TI agregue o valor devido aos resultados organizacionais.
11. A anlise dos dados ser apresentada a seguir por meio de trs sees deste relatrio:
11.1. PERFIL DE GOVERNANA DE TI, em que ser apresentada a situao atual da
Administrao Pblica Federal, bem como a evoluo em relao a 2012;
11.2. NDICE DE GOVERNANA DE TI 2014 (iGovTI2014), em que sero apresentados
a definio e o mtodo de clculo desse ndice, bem como os resultados consolidados da avaliao,
com base nos nmeros obtidos pelo iGovTI2014;
11.3. PRINCIPAIS RISCOS E AES DE CONTROLE, em que sero apresentados os
nveis de risco associados s organizaes, com base na relao entre iGovTI2014 e oramento de
TI aprovado para 2014, e sugeridas formas de atuao do TCU.
2
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
1 INTRODUO
1.1 Deliberao
12. Esta fiscalizao faz parte de processo de trabalho, determinado pela TCU, com o
objetivo de acompanhar a situao de governana de TI na APF, o qual prev a realizao de
levantamento dessa natureza a cada dois anos, medida que atende ao item 9.4.3 do Acrdo
2.308/2010-TCU-Plenrio (TC 000.390/2010-0) decorrente do segundo levantamento de
governana de TI realizado pelo Tribunal de Contas da Unio (TCU):
9.4. determinar Secretaria de Fiscalizao de Tecnologia da Informao - Sefti que:
9.4.3 defina e mantenha processo de trabalho permanente e sustentvel de
acompanhamento da governana de tecnologia da informao na administrao pblica federal, de
modo a subsidiar processos de fiscalizao do TCU em TI e processos de planejamento e controle
das unidades jurisdicionadas a esta Corte, com definio, se possvel, de periodicidade regular para
realizao de levantamentos gerais como o ora examinado e de mecanismos para coleta de
evidncias destinadas a aumentar a confiabilidade das informaes colhidas mediante questionrios.
13. Alm da citada deciso, o presente trabalho tambm atende ao item 9.9 do Acrdo
1.603/2008-TCU-Plenrio resultante do primeiro levantamento de governana de TI realizado
pelo TCU (TC 008.380/2007-1) , que, na mesma direo do Acrdo 2.308/2010-TCU-Plenrio,
determinou que a Sefti organizasse outros levantamentos com o intuito de acompanhar e manter
base de dados atualizada com a situao da governana de TI na Administrao Pblica Federal.
1.2 Objetivo e escopo
14. O objetivo deste levantamento foi coletar informaes sobre a situao de governana
de TI na APF, atualizando o panorama traado em 2012, materializado pelo Acrdo 2.585/2012-
TCU-Plenrio.
15. As informaes obtidas neste trabalho permitiro identificar os pontos mais vulnerveis
da governana de TI na APF, orientar a atuao do TCU como indutor do processo de
aperfeioamento da governana de TI e, ao mesmo tempo, auxiliar na identificao de bons
exemplos e modelos a serem disseminados.
16. A divulgao das informaes consolidadas, e especialmente do relatrio com os
resultados individuais comparados ao resultado do segmento de negcio da organizao e ao
resultado geral da avaliao, a ser encaminhado aps a apreciao desta fiscalizao, permitir que
cada instituio avalie como est sua governana e gesto de TI em relao s boas prticas e s
demais organizaes da Administrao. Essa avaliao, se devidamente aproveitada, um valioso
insumo na definio de objetivos, no planejamento e no amadurecimento da TI de cada instituio
avaliada.
17. Por fim, o acompanhamento da evoluo dos indicadores de governana e gesto de TI
um importante insumo para o monitoramento da efetividade das medidas adotadas pelos rgos
governantes superiores, e, dessa forma, da prpria atuao especfica do TCU.
1.3 Metodologia e limitaes
18. Com o advento do Acrdo 2.308/2010-TCU-Plenrio, ficou determinado que o
levantamento de governana de TI fosse convertido em processo de trabalho com objetivo de
avaliar a situao de governana de TI na Administrao Pblica Federal (APF) e induzir sua
melhoria. Nesse sentido, a Sefti criou o Processo de Avaliao de Governana de TI, que tem ciclo
de vida de dois anos, constituindo-se, em seu nvel mais alto, das seguintes etapas:
18.1. Monitorao: monitoramento das deliberaes sobre Governana de TI expedidas em
ciclos anteriores, tendo em vista avaliar a efetividade do processo de avaliao de governana de TI,
bem como subsidiar a preparao da prxima avaliao.
18.2. Preparao: criao do ambiente, das condies e dos instrumentos para a realizao
da avaliao de Governana de TI.
18.3. Avaliao: levantamento e validao da situao de governana de TI na APF, tendo
em vista identificar o nvel de adoo das prticas exploradas no questionrio, a evoluo da
3
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
4
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
5
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
65 62
214
44. A anlise de evoluo da situao, por sua vez, considerou somente as respostas
das organizaes que participaram das duas ltimas pesquisas, o que totalizou 323 organizaes do
universo de 355 referenciado no pargrafo anterior, distribudas da seguinte forma:
64 53
65
192
45. importante destacar que existem diferenas relevantes entre o questionrio atual e o
aplicado no levantamento 2012. A principal pode ser considerada a mudana da escala de resposta,
que antes era binria (sim ou no) e passou a ter cinco categorias de resposta, relativas ao nvel de
adoo da prtica (no se aplica, no adota, iniciou plano para adotar, adota parcialmente, adota
integralmente).
46. Essa mudana, influenciada por outros levantamentos realizados pelo TCU,
especialmente o Levantamento de Governana de Pessoas (TC 022.577/2012-2), tende a resultar em
respostas mais representativas, por contemplar situaes intermedirias entre a adoo e a no
adoo da prtica, permitindo uma melhor avaliao da situao por parte do TCU e, por
consequncia, o planejamento de aes mais efetivas para a melhoria da situao de governana de
TI na APF. Alm disso, essa nova escala deixa de nivelar por baixo organizaes que adotavam a
prtica em alguma medida ou que tinham envidado esforos no sentido de adot-la das organizaes
que no adotam ou no iniciaram medidas para isso.
47. Como consequncia da adoo da nova escala, nas questes que abordam prticas de
processos, os itens no so mais excludentes, como no questionrio 2012 (questes 2.1, 2.2, 4.4,
5.5, 5.6, 5.8, 5.9, 7.1 e 7.3 - Apndice II), pois no se deseja, nessa verso, avaliar o nvel de
capacidade da organizao na execuo do processo, conforme normas tcnicas para avaliao de
processos (ex. ABNT NBR ISO/IEC 15504:2008), mas sim quais prticas e em que grau so
adotadas pelas organizaes nos processos avaliados.
48. No que diz respeito s mudanas de contedo, destaca-se o desmembramento da
questo sobre estrutura de governana de TI, da dimenso Liderana, (questo 1.2 em 2012) em
cinco questes, relacionadas aos processos de governana do Cobit 5 (questes 1.2 a 1.6), tendo em
vista deixar a estrutura da dimenso mais didtica e com um referencial de implementao.
49. Destacam-se tambm a reduo do nmero de questes da dimenso Resultados, que
levou em considerao a baixa correlao que as questes apresentaram em relao s demais no
questionrio 2012. Essa dimenso sem dvida a mais difcil para se elaborar questo, haja vista a
heterogeneidade do universo avaliado, tanto em termos de negcio quanto de estrutura e oramento.
50. Considerando as diferenas apresentadas entre os questionrios, alm de outras no
relatadas, utilizaram-se, para fins de comparao, apenas os itens com razovel correspondncia,
conforme Apndice III.
51. Como a escala de resposta de 2012 no contemplava situaes intermedirias entre a
adoo integral e a no adoo das prticas, razovel considerar que as respostas positivas (do tipo
sim) possivelmente contemplavam situaes de atendimento parcial no levantamento de 2012.
Desse modo, para fins de comparao, considerou-se ter ocorrido evoluo quando a soma dos
percentuais relativos adoo parcial e adoo integral de determinado item superou o percentual
de resposta do tipo sim no levantamento anterior.
52. Registre-se que a diferena entre os universos geral e de comparao pode produzir
pequenas diferenas em relao aos resultados apresentados em 2012 e aos prprios resultados de
2014. Contudo, tal fato no prejudica a anlise e as concluses acerca da evoluo da situao de
governana de TI na Administrao Pblica no perodo considerado.
53. Importa ressaltar que as informaes aqui apresentadas tratam, em sua maioria, de
temas j endereados pelo TCU (Acrdos 1.603/2008-TCU-Plenrio, 2.308/2010-TCU-Plenrio,
1.233/2012-TCU-Plenrio, 2.585/2012-TCU-Plenrio) por meio de recomendaes aos rgos
governantes superiores (OGS). Destacam-se trabalhos que avaliaram temas especficos de
governana e gesto de TI, como o Levantamento de Pessoal de TI, apreciado pelo Acrdo
1.200/2014-TCU-Plenrio, e as auditorias constantes da Fiscalizao de Orientao Centralizada
(FOC) para avaliar a gesto de riscos e resultados de TI na APF (Acrdo 0755/2014-TCU-
Plenrio, Acrdo 1684/2014-TCU-Plenrio, Acrdo 1015/2014-TCU-Plenrio, so exemplos).
7
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
54. Considerando que essas deliberaes ainda sero monitoradas e que os trabalhos que
tratam de temas mais especficos e, principalmente, os realizados in loco tm a capacidade de
entender melhor as situaes e os fenmenos associados, este levantamento no propor
encaminhamento para as situaes aqui identificadas.
55. A seguir, sero apresentados os resultados apurados em 2014 e a evoluo da situao
para alguns tpicos selecionados do questionrio. No Apndice VII, so apresentados os resultados
apurados em 2014 para todas as questes e a evoluo da situao das questes comparveis em
relao ao levantamento anterior.
2.1 Liderana da Alta Administrao
56. Essa dimenso refere-se aos elementos essenciais de governana corporativa e de TI.
Ela foi estruturada em oito questes, somando 35 prticas, que derivavam, em sua maioria, da
jurisprudncia do TCU (Acrdo 1.603/2008-TCU-Plenrio, Acrdo 2.308/2010-TCU-Plenrio e
Acrdo 1.233/2010-TCU-Plenrio) e do Cobit 5.
57. As questes abordam os seguintes temas especficos: sistema de governana
corporativa (Questo 1.1), sistema de governana de TI (Questo 1.2), resultados de TI (Questo
1.3), riscos de TI (Questo 1.4), pessoal de TI (Questo 1.5), transparncia da gesto e uso da TI
(Questo 1.6), monitoramento da governana e da gesto de TI (Questo 1.7) e capacidade da
auditoria interna (Questo 1.8).
58. A seguir, sero apresentados os resultados apurados no levantamento e a evoluo no
perodo 2012 a 2014 para as questes 1.1, 1.2, 1.4 e 1.8. Os grficos relativos aos resultados e
evoluo das demais questes constam do Apndice VII.
2.1.1 Sistema de Governana Corporativa
59. De acordo com o Referencial Bsico de Governana do TCU, governana no setor
pblico compreende essencialmente os mecanismos de liderana, estratgia e controle postos em
prtica para executar as funes bsicas de avaliar, direcionar e monitorar a atuao da gesto, com
objetivo de conduzir polticas pblicas e prestar servios de interesse da sociedade.
60. Para cada um dos mecanismos de governana existe um conjunto de componentes
associados. Desse modo, liderana est associada aos componentes pessoas e competncias,
princpios e comportamentos, liderana organizacional e sistema de governana; estratgia est
associada a relacionamento com partes interessadas, estratgia organizacional e alinhamento
transorganizacional; e controle com gesto de riscos e controle interno, auditoria interna e
accountability e transparncia.
61. Para cada componente existe um conjunto de prticas de governana vinculado.
Algumas dessas prticas foram escolhidas como base para formular os itens da nova questo sobre
governana corporativa.
a) Resultados Apurados
62. A figura a seguir apresenta os resultados obtidos em 2014 em relao ao sistema de
governana corporativa.
8
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
a. define e comunica c. avalia a definio de
f. dispe de poltica de
papis e b. dispe de comit de papis e d. dispe de cdigo de e. dispe de poltica de
gesto de continuidade
responsabilidades para direo estratgica responsabilidades tica gesto de riscos
do negcio
governana corporativa organizacionais
Iniciou plano 13% 9% 12% 12% 23% 17%
Adota parcial 26% 19% 26% 23% 11% 19%
Adota integral 41% 57% 26% 42% 12% 8%
9
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
60%
50%
40%
30%
20%
10%
0%
c. avalia a definio de f. dispe de poltica de
b. dispe de comit de d. dispe de cdigo de e. dispe de poltica de
papis e responsabilidades gesto de continuidade do
direo estratgica tica gesto de riscos
organizacionais negcio
2012 53% 44% 50% 7% 5%
2014 (Adota Integral) 58% 27% 43% 12% 9%
2014 (Adota Parcial) 19% 25% 23% 11% 19%
70. O grfico revela uma situao de evoluo (24 pontos percentuais) com relao
existncia de comit de direo estratgica (item b), haja vista que 77% das organizaes (19%
parcialmente e 58% integralmente), em 2014, declararam adotar a prtica, contra 53% em 2012.
Comparando, contudo, apenas com as organizaes que adotam integralmente a prtica, a evoluo
foi menor, com uma variao de apenas cinco pontos percentuais (58% em 2014 contra 53% em
2012).
71. Seguindo a direo, o grfico tambm mostra uma situao de evoluo (oito pontos
percentuais) com relao definio e compreenso de papis e responsabilidades organizacionais.
Em 2014, 52% das organizaes declararam adotar a prtica (25% parcialmente e 27%
integralmente), contra 44% em 2012.
72. Quanto ao cdigo de tica (item d), somam 66% as organizaes que, em 2014,
declararam adotar a prtica parcial ou integralmente, contra 50% em 2012, ou seja, um razovel
crescimento de dezesseis pontos percentuais.
73. Nos itens e (poltica corporativa de gesto de riscos) e f (poltica corporativa de
gesto de continuidade do negcio), tanto considerando a soma dos percentuais das adoes parcial
e integral quanto considerando apenas as organizaes que adotam integralmente a prtica, a
situao apurada de evoluo.
74. Com relao poltica corporativa de gesto de riscos, observa-se uma evoluo de
dezesseis pontos percentuais, haja vista que 23% das organizaes, em 2014, declararam adotar a
prtica (11% parcialmente e 12% integralmente), contra apenas 7% em 2012.
75. O nmero de organizaes que dispe de poltica corporativa de gesto de continuidade
do negcio, por sua vez, cresceu 23 pontos percentuais, passando de apenas 5% em 2012 para 28%
dos avaliados em 2014 (19% parcialmente e 9% integralmente).
c) Concluso
76. A despeito da evoluo no nvel de adoo das prticas em relao ao ltimo
levantamento, desperta preocupao que apenas 23% das organizaes participantes disponham de
poltica corporativa de gesto de riscos e apenas 27%, de poltica de gesto de continuidade do
negcio, por serem instrumentos essenciais para o direcionamento das aes corporativas de
avaliao dos riscos associados aos objetivos organizacionais e para a prpria continuidade das
operaes da organizao.
2.1.1.1 Sistema de Governana de TI
77. O sistema de governana de TI compreende as polticas, as prticas, os processos, as
estruturas organizacionais, entre outros mecanismos. Neste tpico, avaliou-se apenas as prticas
10
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Sistema de Governana de TI
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
a. define e comunica papis e c. o comit de TI atua d. prioriza as aes de TI com
b. dispe de comit de TI
responsabilidades conforme ato constitutivo apoio do comit de TI
Iniciou plano 15% 7% 11% 12%
Adota parcial 30% 9% 27% 21%
Adota integral 37% 78% 50% 52%
11
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
b) Evoluo da Situao
84. O quadro a seguir apresenta os resultados obtidos em 2014 comparados aos resultados
apurados em 2012, em relao s prticas presentes em ambas as avaliaes.
Sistema de Governana de TI - Evoluo
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
a. define e comunica papis e d. prioriza as aes de TI com apoio do
b. dispe de comit de TI
responsabilidades comit de TI
2012 44% 72% 27%
2014 (Adota Integral) 38% 79% 52%
2014 (Adota Parcial) 28% 8% 22%
85. No item a, o grfico mostra uma boa evoluo (22 pontos percentuais) [32 pontos
percentuais segundo o grfico] quanto definio e comunicao formal de papis e
responsabilidades mais relevantes para a governana e gesto de TI, pois 66% das organizaes
(28% parcialmente e 28 integralmente) [28% parcialmente e 38, integralmente, conforme grfico],
em 2014, declararam adotar a prtica, contra 44% em 2012.
86. Observa-se tambm uma situao de evoluo (15 pontos percentuais) com relao ao
nmero de organizaes que dispem de comit de TI (item b), haja vista ter saltado de 72% em
2012 para 87% em 2014 (8% parcialmente e 79% integralmente) o percentual de organizaes que
declararam adotar a prtica. Esse crescimento observado, inclusive, quando a comparao
realizada apenas com as organizaes que adotam integralmente a prtica, tendo em vista a variao
positiva de sete pontos percentuais (79% em 2014 contra 72% em 2012).
87. Outro item comparvel dessa questo a priorizao das aes de TI com apoio do
comit de TI como instncia consultiva da alta administrao (item d), para o qual o grfico
mostra uma significativa evoluo (47 pontos percentuais). So 74% as organizaes (22%
parcialmente e 52% integralmente) que, em 2014, declararam adotar a prtica, contra 27% em 2012.
No obstante o percentual de adeso atual ainda no ser o ideal, a evoluo bastante significativa,
indicando que a grande maioria das organizaes reconhece a importncia dos comits de TI como
estrutura de apoio no processo de tomada de deciso.
c) Concluso
88. Considerando que as prticas avaliadas nesse tpico constituem a base para o
estabelecimento e manuteno do sistema de governana de TI, o nvel de adoo apurado neste
levantamento ainda baixo, em especial da prtica de definir e comunicar papis e
reponsabilidades, essencial para a organizao desenvolver as atividades de avaliar, dirigir e
monitorar. Por outro lado, os dados demonstram evoluo do sistema de governana de TI nos
aspectos avaliados, sugerindo que a alta administrao passou a ter melhor compreenso da
importncia dessa estrutura para o sucesso da organizao.
2.1.2 Riscos de TI
89. A Alta administrao responsvel por viabilizar e garantir o adequado funcionamento
da gesto de riscos, com o estabelecimento de diretrizes, criao de estruturas, se necessrio, e a
12
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Riscos de TI
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
b. papis e d. decises estratgicas
a. diretrizes para gesto
responsabilidades pela c. apetite a risco com base no apetite a
dos riscos de TI
gesto de riscos de TI risco
Iniciou plano 32% 26% 32% 25%
Adota parcial 17% 19% 10% 17%
Adota integral 8% 7% 4% 4%
92. Verifica-se que 25% das organizaes declaram estabelecer diretrizes para a gesto de
riscos de TI, mas apenas 8% adotam a prtica integralmente. A implementao parcial da prtica,
que compreende 17% das organizaes, pode estar relacionada adoo somente para algumas
atividades ligadas TI, como nas contrataes de servios de TI, ou adoo em apenas algumas
unidades da organizao, ou ainda no formalizao.
93. Quanto aos papis e responsabilidades, 26% dos participantes declararam defini-los,
mas apenas 7% de forma integral. A maior parte dos que adotam (19%) o faz apenas parcialmente.
As hipteses para esse atendimento parcial podem ser, principalmente, a definio de papis apenas
para algumas atividades e a falta de formalizao.
94. Com relao definio do apetite ao risco de TI, os nmeros demonstram que essa
ainda uma prtica distante para a Administrao Pblica, haja vista que apenas 14% a adotam.
Desses, 4% o fazem de forma integral, ou seja, somente 13 de 355 organizaes avaliadas afirmam
definir formalmente os nveis de risco de TI aceitveis na consecuo de seus objetivos.
95. Coerentemente, apenas 4% das organizaes declaram adotar integralmente a prtica
de tomar decises estratgicas com base no apetite ao risco. Estranhamente, 17% declaram adotar a
prtica parcialmente, nmero incompatvel com os 10% que informaram definir o apetite ao risco
tambm de forma parcial. A explicao para isso, alm de uma possvel falha de resposta, pode
estar no fato de as organizaes que iniciaram plano para adotar j estarem tomando algumas
decises com base em resultados preliminares, haja vista que 42% afirmaram ter iniciado plano ou
adotar parcialmente ambas as prticas.
13
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
b) Evoluo da Situao
96. O quadro a seguir apresenta os resultados obtidos em 2014 comparados aos resultados
apurados em 2012, em relao nica prtica presente em ambas as avaliaes.
Riscos de TI - Evoluo
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
a. diretrizes para gesto dos riscos de TI
2012 7%
2014 (Adota Integral) 8%
2014 (Adota Parcial) 17%
97. Considerando a soma dos percentuais das adoes parcial e integral, o grfico revela
uma situao de evoluo, haja vista que 25% organizaes, em 2014, declararam ter definido as
diretrizes para gesto de riscos de TI, contra apenas 7% em 2012. Comparando, contudo, apenas
com as que adotam integralmente, a situao praticamente no se alterou, haja vista a variao
mnima de um ponto percentual em relao a 2012, ou seja, atualmente apenas 8% das organizaes
declaram adotar integralmente a referida prtica.
c) Concluso
98. Os nmeros apurados revelam, em geral, que a alta administrao das organizaes
pblicas federais ainda no reconhece a importncia da gesto de riscos para a consecuo de seus
objetivos, apesar dos altos valores geridos, em grande parte dos casos, e dos diversos riscos aos
quais suas aes esto expostas, em geral. A principal consequncia disso a ineficcia das aes e
o consequente desperdcio de dinheiro pblico, com projetos inacabados ou inviveis em
decorrncia de situaes que constituam riscos no considerados quando da tomada de deciso.
2.1.3 Monitoramento da Governana e da Gesto de TI
99. O monitoramento da governana e da gesto de TI tem por objetivo avaliar o nvel de
alinhamento da TI com o negcio, mediante a verificao da conformidade da gesto e do uso da TI
com as polticas corporativas da organizao. Um processo de monitoramento devidamente
estabelecido permite alta administrao acompanhar efetivamente o cumprimento dos planos
organizacionais e, em caso de desvios, corrigir oportunamente o rumo da organizao,
redirecionando o foco para os objetivos.
100. Sobre o tema, o Acrdo 1.603/2008-TCU-Plenrio expediu recomendao aos
rgos governantes superiores no sentido de que fosse introduzida, nos rgos sob suas jurisdies,
prticas voltadas realizao de auditorias de TI, para a avaliao regular da conformidade, da
qualidade, da eficcia e da efetividade dos servios prestados (item 9.1). No mesmo sentido, foi
recomendado Controladoria-Geral da Unio (CGU) a realizao regular de auditorias de TI, bem
como a promoo de aes para estimular a realizao dessas auditorias na Administrao Pblica
Federal (9.3).
14
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
a) Resultados Apurados
101. A figura a seguir apresenta os resultados obtidos em 2014 em relao ao
monitoramento da governana e da gesto de TI.
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
a. diretrizes para
b. avaliao peridica c. avaliao peridica d. avaliao peridica
avaliao da e. avaliao peridica
de governana e de de sistemas de de segurana da
governana e da de contratos de TI
gesto de TI informao informao
gesto de TI
Iniciou plano 25% 22% 18% 25% 10%
Adota parcial 20% 26% 29% 25% 28%
Adota integral 8% 9% 8% 14% 34%
102. Verifica-se que 28% das organizaes estabelecem diretrizes para o monitoramento
da governana e da gesto de TI, mas apenas 8% adotam a prtica de modo integral. Os 20%
restantes, possivelmente, ainda no formalizaram a prtica.
103. Importa ressaltar que a ausncia de orientaes claras da Alta administrao sobre as
aes e resultados esperados do processo de monitoramento da governana e da gesto de TI pode
comprometer o acompanhamento do cumprimento dos planos e, por consequncia, o alcance dos
objetivos traados.
104. No que se refere s avaliaes peridicas de TI, que vo desde auditorias amplas
sobre controles de governana e de gesto de TI at avaliaes mais pontuais em contratos de
servios de TI, verifica-se que somente a prtica de avaliar periodicamente contratos de TI conta
com uma maioria de adoo. So 62% de organizaes que declaram realizar esse tipo de avaliao,
sendo 34% de modo integral e 28%, parcial. A adeso dos demais tipos de avaliao no chega a
40%, considerando a soma da adoo parcial com a integral: 35% para governana e gesto de TI,
37% para sistemas de informao e 39% para segurana da informao.
105. Alm da inexistncia de auditorias internas em muitas organizaes do Poder
Executivo, a falta de estrutura dessas unidades, especialmente a ausncia de pessoal com
conhecimento necessrio para realizar esse tipo de trabalho, contribui significativamente para esse
cenrio de baixa adeso das prticas em tela.
b) Evoluo da Situao
106. A figura a seguir apresenta os resultados obtidos em 2014 comparados aos resultados
apurados em 2012, em relao as prticas presentes em ambas as avaliaes.
15
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
a. diretrizes para avaliao b. avaliao peridica de
c. avaliao peridica de d. avaliao peridica de e. avaliao peridica de
da governana e da gesto governana e de gesto de
sistemas de informao segurana da informao contratos de TI
de TI TI
2012 11% 12% 18% 20% 31%
2014 (Adota Integral) 10% 10% 9% 15% 32%
2014 (Adota Parcial) 19% 25% 28% 24% 28%
107. No que tange definio das diretrizes para a avaliao da governana e da gesto de
TI, verifica-se uma situao de evoluo em relao a 2012, haja vista o crescimento de 18 pontos
percentuais no nmero de organizaes que adotam a prtica em 2014 (29%). Quando a
comparao, todavia, leva em considerao apenas a adoo integral da prtica, o cenrio apurado
praticamente de manuteno, com a variao negativa de um ponto percentual em relao a 2012,
ou seja, 10% dos avaliados informaram, em 2014, adotar de modo integral a prtica.
108. Com relao s prticas relativas realizao das avaliaes de TI, o cenrio de
evoluo quando consideradas, em conjunto, as adoes parcial e integral. O destaque est na
avaliao de contratos de TI, que praticamente dobrou o nmero de organizaes que a realizam.
c) Concluso
109. Em que pese o razovel nmero de organizaes que realizam avaliaes de contratos
de TI e da evoluo identificada em relao a 2012, o cenrio encontrado ainda preocupante, haja
vista a posio estratgica que a TI hoje ocupa na organizao, chegando, em muitas situaes, a
tornar a continuidade do negcio invivel sem a sua existncia. Alm disso, o valor que as
avaliaes de TI entregam para a organizao no est apenas na identificao de falhas ou fraudes,
mas sobretudo na identificao de oportunidades de melhoria que venham aperfeioar o prprio
modelo de governana e os processos de gesto de TI.
2.2 Estratgias e Planos
110. Essa dimenso avalia os controles da gesto de estratgias e planos corporativos e de
TI. Ela foi estruturada em 2 questes, uma relativa ao planejamento estratgico (questo 2.1) e
outra, ao de TI (questo 1.2). So ao todo trinta prticas, relacionadas ao processo de trabalho e ao
plano resultante, as quais derivam, em sua maioria, da jurisprudncia do TCU (Acrdo
1.603/2008-TCU-Plenrio e Acrdo 1.233/2010-TCU-Plenrio)
111. A seguir, sero apresentados os resultados apurados no levantamento e a evoluo no
perodo 2012 a 2014 para ambas as questes.
2.2.1 Planejamento Estratgico Institucional
112. Para o cumprimento de sua misso, a organizao precisa estabelecer seus objetivos,
definir sua estratgia de atuao e dimensionar os recursos necessrios para garantir a eficcia de
suas aes, com a entrega do resultado esperado pela sociedade. Essas atividades constituem a
essncia do planejamento estratgico, cujo produto um plano contendo os elementos que nortearo
as aes da organizao por um determinado perodo.
113. O Decreto-Lei 200, editado em 25 de fevereiro de 1967, j ressaltava a importncia e
a necessidade do planejamento estratgico ao defini-lo como princpio fundamental da
Administrao Pblica (art. 6, inciso I).
16
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
121. Com relao participao da rea de TI (item c), 84% das organizaes afirmam
adotar essa prtica, sendo 69% de forma integral. Esse nmero, por sua vez, compatvel com o
apurado para a prtica de execuo do processo.
122. Quanto s prticas relacionadas ao plano estratgico, a figura a seguir apresenta os
resultados obtidos em 2014.
123. Segundo os dados apurados, 83% das organizaes elaboram plano estratgico
institucional (PEI) (item e): 71% adotam a prtica integralmente e 12%, parcialmente. A adoo
parcial pode estar relacionada com o fato de o plano no contemplar todos os elementos que o
caracterizam ou com a falta de formalizao.
124. A diferena entre o percentual que possui plano (83%) e o que executa processo de
planejamento (84%) pode ser explicada pelo fato de algumas organizaes compartilharem um
mesmo plano estratgico, como no caso de rgos de 2 escalo que fazem parte do plano do
Ministrio ao qual esto subordinados.
125. Quanto ao alcance dos objetivos, 73% das organizaes afirmam que o plano contm
pelo menos um indicador de resultado para cada objetivo (item f) (22% parcialmente e 51%
integralmente), e 70% declaram que existem metas associadas a esses indicadores (28%
parcialmente e 42% integralmente).
126. Em 75% das organizaes, o PEI estabelece projetos e aes para o alcance das metas
(item h) (22% parcialmente e 53% integralmente). Neste ponto, verifica-se uma inconsistncia das
respostas, tendo em vista que somente 70% das organizaes declaram estabelecer metas. Alm da
falha de resposta, outra explicao para a situao seria a definio das metas fora do plano, o que
no razovel.
127. No que tange execuo do PEI, 71% das organizaes alegam acompanh-la
periodicamente (item i) (24% parcialmente e 47% integralmente). Esse percentual chama a
ateno, haja vista que apenas 70% informaram estabelecer metas associadas aos indicadores de
resultado (item g). Assim, infere-se que algumas organizaes acompanham a execuo do PEI,
mas no conseguem concluir, objetivamente, sobre o alcance de seus resultados.
128. Quanto transparncia dada ao plano, 60% dos avaliados informam que o documento
acessvel livremente na internet (8% parcialmente e 52% integralmente). O parcial, neste caso,
deve estar relacionado integralidade do contedo do plano, ou seja, apenas algumas partes do
documento seriam publicadas.
18
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
b) Evoluo da Situao
129. A figura a seguir apresenta os resultados obtidos em 2014 comparados aos resultados
apurados em 2012, em relao as prticas presentes em ambas as avaliaes.
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
a. executa processo de planejamento j. o PEI est publicado na internet para acesso
d. o PPEI est formalmente institudo
estratgico institucional (PPEI) livre
2012 85% 70% 44%
2014 (Adota Integral) 66% 54% 53%
2014 (Adota Parcial) 17% 17% 8%
19
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Processo de Planejamento de TI
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
b. o PPTI prev a participao
a. executa processo de c. o PPTI prev o apoio do d. o PPTI est formalmente
das reas mais relevantes da
planejamento de TI (PPTI) comit de TI institudo
organizao
Iniciou plano 16% 13% 13% 21%
Adota parcial 17% 16% 11% 12%
Adota integral 58% 60% 63% 41%
20
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Plano de TI
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
h. o PTI vigente
g. o PTI vigente i. o PTI vigente j. o PTI vigente
f. o PTI vigente acompanhado
e. possui plano de TI contm alocao de vincula as aes a fundamenta a
contempla objetivos, quanto ao alcance
vigente (PTI) recursos e estratgia indicadores e metas proposta
indicadores e metas das metas
de terceirizao de negcio oramentria de TI
estabelecidas
Iniciou plano 13% 13% 14% 22% 22% 18%
Adota parcial 10% 25% 32% 26% 26% 23%
Adota integral 67% 50% 30% 35% 28% 40%
145. Verifica-se que 77% das organizaes declaram possuir plano de TI (PTI) (item e)
(10% parcialmente e 67% integralmente). A adoo parcial pode estar relacionada com o fato de o
plano no contemplar todos os elementos que o caracterizam ou com a falta de formalizao.
146. Quanto ao alcance dos objetivos, 75% das organizaes afirmam que o plano
contempla objetivos, indicadores e metas (item f) (25% parcialmente e 50% integralmente). A
comparao desse nmero com o quantitativo de organizaes que afirma elaborar PTI (77%),
sugere alta definio de objetivos e formas de acompanhamento uma vez que o plano foi elaborado.
147. Constituem 62% as organizaes que declaram incluir a alocao de recursos e a
estratgia de terceirizao em seu PTI (item g) (32% parcialmente e 30% integralmente). Esse
percentual, comparado ao de organizaes que afirmam possuir plano de TI (77%), sugere que 15%
das organizaes elaboram planos que no contm elementos para subsidiar a proposta de
oramento de TI.
148. Essa situao confirmada quando se observa a distribuio das respostas relativas
prtica o plano de TI vigente fundamenta a proposta oramentria de TI (item j), haja vista que
apenas 63% das organizaes declaram adot-la (23% parcialmente e 40% integralmente).
149. No que tange ao acompanhamento do PTI, 61% afirmaram verificar o alcance das
metas estabelecidas (item h) (26% parcialmente e 35% integralmente). Isso significa dizer que
existem organizaes que elaboram o PTI (77%), mas no tm como avaliar o desempenho de sua
TI.
150. Em 54% das organizaes, o PTI vincula aes a indicadores e metas de negcio
(item i) (26% parcialmente e 28% integralmente). O nvel de adoo dessa prtica preocupante,
haja vista que a TI deve existir para atender s necessidades do negcio e no dela prpria. Desse
modo, sem a vinculao das aes de TI aos indicadores e metas de negcio, fica difcil de avaliar a
efetividade e a prpria necessidade dessas aes.
b) Evoluo da Situao
151. A figura a seguir apresenta os resultados obtidos em 2014 comparados aos resultados
apurados em 2012, em relao s prticas presentes em ambas as avaliaes.
21
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Planejamento de TI - Evoluo
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
i. o PTI vigente vincula as
a. executa processo de d. o PPTI est formalmente e. possui plano de TI vigente j. o PTI vigente fundamenta a
aes a indicadores e metas
planejamento de TI (PPTI) institudo (PTI) proposta oramentria de TI
de negcio
2012 76% 45% 47% 30% 33%
2014 (Adota Integral) 57% 40% 65% 27% 40%
2014 (Adota Parcial) 19% 13% 11% 25% 23%
22
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
b. os principais processos de c. h catlogo publicado com d. designa responsveis da rea
a. identifica e mapeia os
negcio so suportados por informaes dos sistemas de negcio para gesto dos
principais processos de negcio
sistemas informatizados informatizados sistemas informatizados
Iniciou plano 22% 5% 25% 15%
Adota parcial 40% 48% 26% 33%
Adota integral 26% 42% 17% 29%
166. Observa-se que 66% das organizaes declararam identificar e mapear os principais
processos de negcio (item a), apesar de 90% delas terem declarado que os principais processos
de negcio so suportados por sistemas informatizados (item b). Esse cenrio sugere que os
23
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
processos para fins de informatizao so escolhidos de maneira subjetiva, visto que boa parte das
organizaes no identifica quais processos de trabalho so mais relevantes, o que pode levar
priorizao inadequada no desenvolvimento dos sistemas corporativos.
167. Alm disso, indica que muitos sistemas no possuem documentao acerca do
processo suportado por ele. Embora no tenha sido objeto de avaliao, essa uma constatao
preocupante, haja vista que a ausncia de documentao pode comprometer a manuteno e o
aperfeioamento desses sistemas.
168. Verifica-se que apenas 43% das organizaes possuem catlogo publicado com
informaes dos sistemas informatizados, ou seja, em 37% das organizaes, os usurios no tm
informaes sobre os sistemas disponveis e, no pior dos casos, nem tm conhecimento da sua
existncia.
169. Constituem 62% as organizaes que declaram designar responsveis da rea de
negcio para gesto dos sistemas informatizados. Para essas organizaes, o processo de
manuteno e aprimoramento dos sistemas tende a ser facilitado, j que um conhecedor do processo
de negcio objeto de informatizao participa de sua gesto.
b) Evoluo da Situao
170. A figura a seguir apresenta os resultados obtidos em 2014 comparados aos resultados
apurados em 2012, em relao informatizao dos processos organizacionais.
Informatizao dos Processos Organizacionais - Evoluo
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
a. identifica e mapeia os principais processos de b. os principais processos de negcio so d. designa responsveis da rea de negcio para
negcio suportados por sistemas informatizados gesto dos sistemas informatizados
2012 40% 82% 39%
2014 (Adota Integral) 26% 44% 29%
2014 (Adota Parcial) 40% 47% 31%
25
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Desenvolvimento de Competncias de TI
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
g. o plano de
a. define as b. define critrios c. elabora plano de h. possui programa
d. acompanha a e. avalia a execuo f. o plano de capacitao inclui
competncias para atendimento capacitao para de benefcios para o
execuo do plano do plano de capacitao inclui contratao de TI e
necessrias para o dos pedidos de desenvolvimento de desenvolvimento de
de capacitao capacitao gesto de TI gesto dos
pessoal de TI capacitao competncias de TI competncias de TI
contratos
Iniciou plano 19% 12% 15% 13% 16% 14% 14% 6%
Adota parcial 34% 28% 29% 32% 32% 24% 27% 18%
Adota integral 29% 44% 45% 27% 19% 41% 39% 29%
182. No item a, destaca-se que apenas 63% das organizaes participantes declaram
definir as competncias necessrias para o pessoal de TI executar suas atividades (34%
parcialmente e 29% integralmente).
183. Quanto definio de critrios para a avalio e atendimento de pedidos de
capacitao (item b), 72% afirmaram adotar a prtica (28% parcialmente e 44% integralmente).
Confrontando esse nmero com o apurado no item anterior (63%), verifica-se que 9% das
organizaes definem critrios para atender os pedidos, mesmo sem definirem as competncias de
TI necessrias, o que coloca em dvida, alm da prpria resposta, a eficcia dos critrios
estabelecidos.
184. Com relao ao plano de capacitao, 74% das organizaes (29% parcialmente e
45% integralmente) declaram elaborar periodicamente plano de capacitao para desenvolvimento
de competncias de TI (item c). Assim como no item anterior, questiona-se a eficcia desse plano
de capacitao em atender s necessidades de desenvolvimento de TI das organizaes que no
definem as competncias necessrias, haja vista que apenas 63% declaram defini-las.
185. Os nmeros apurados nos itens b e c (72% e 74%, respectivamente) indicam uma
forte correlao entre as duas prticas, sugerindo que a definio de critrios para os pedidos de
capacitao seria um pr-requisito para a elaborao do plano.
186. O acompanhamento do plano de capacitao (item d), por sua vez, realizado por
pouco mais da metade (59%) das organizaes, sendo que 32% adotam a prtica de forma parcial e
apenas 27% o fazem integralmente. Isso significa dizer que 15% das organizaes elaboram plano,
mas no conseguem identificar e corrigir desvios na sua execuo, comprometendo a avaliao
sobre sua eficcia.
187. Os nmeros apurados no item e confirmam que muitas organizaes no avaliam a
eficcia do plano de capacitao elaborado, haja vista que somente 51% declararam adotar a prtica
de avaliar a execuo do plano, sendo 32% parcialmente e apenas 19% integralmente. Alm dos
15% que no acompanham a execuo, o que inviabilizaria a tarefa de avaliao, tem-se mais 8%
de organizaes que dizem acompanhar a execuo, mas no avali-lo.
188. Os nmeros apurados para as prticas de acompanhamento da execuo e de
avaliao do plano mostram, pelo menos, a coerncia das respostas, uma vez que praticamente
invivel avaliar se os objetivos esperados com o plano foram alcanados sem acompanhamento de
sua execuo.
189. Quanto ao contedo, preocupa bastante que apenas 65% dos respondentes tenham
declarado (24% parcialmente e 41% integralmente) que o plano de capacitao inclui
26
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
192. No item a, considerando a soma dos percentuais das adoes parcial e integral, o
grfico mostra uma boa evoluo (24 pontos percentuais) quanto elaborao de plano de
capacitao para desenvolvimento de competncias de TI. Em 2014, 74% das organizaes
declararam que adotam a prtica, contra 50% em 2012. Contudo, ressalta-se que, diante da
relevncia dessa prtica para o bom desempenho das organizaes, o nmero ainda est diante do
aceitvel. Alm disso, importante registrar que a definio das competncias necessrias
execuo das atividades deve constituir requisito bsico para a elaborao do plano.
193. O grfico revela ainda uma considervel evoluo (46 pontos percentuais) quanto ao
acompanhamento da execuo do plano de capacitao (item d), pois 58% das organizaes (31%
parcialmente e 27% integralmente), em 2014, declararam adotar a prtica, contra 12% em 2012. O
mesmo pode ser afirmado quanto situao apurada para avaliao da execuo do plano (item e),
que evoluiu 44 pontos percentuais. Em 2014, 50% das organizaes (30% parcialmente e 20%
integralmente) declararam adotar a prtica, contra apenas 6% em 2012.
194. O cenrio de evoluo persiste mesmo considerando apenas com as organizaes que
adotam integralmente as prticas, com o aumento de quinze pontos percentuais para o item d e de
catorze pontos para o item e.
c) Concluso
195. Embora as prticas de desenvolvimento de competncias de TI sejam adotadas pela
maioria das organizaes, com exceo do programa de benefcio para incentivar a capacitao dos
colaboradores, os nveis de adoo apurados ainda so insatisfatrios, tendo em vista que o sucesso
27
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
das polticas e planos de TI est intrinsecamente relacionado com a capacidade dos gestores e
tcnicos responsveis por conduzi-los e implement-los. Preocupa, em especial, o percentual
apurado para a definio de competncias, haja vista ser uma prtica bsica para a elaborao e
efetividade do plano de capacitao.
196. Em relao a 2012, os dados coletados indicam uma considervel evoluo, com
destaque para o crescimento do nmero de organizaes que acompanham e avaliam a execuo do
plano de capacitao (acima de 40 pontos percentuais), prticas essenciais para a verificao do
alcance dos objetivos esperados.
2.5 Processos
197. Essa dimenso refere-se aos controles da gesto de processos em TI, sendo
estruturada em dez questes, somando 76 prticas, que derivavam, em sua maioria, da
jurisprudncia do TCU (Acrdo 1.603/2008-TCU-Plenrio, Acrdo 2.308/2010-TCU-Plenrio e
Acrdo 1.233/2010-TCU-Plenrio), normas tcnicas, guias e modelos de boas prticas, como a
NBR ISO/IEC 27002:2013, o Information Technology Infrastructure Library (Itil) e o Cobit 5.
198. As questes abordam os seguintes temas especficos: gerenciamento de servios de TI
(Questo 5.1), gerenciamento de nvel de servio de TI (Questo 5.2), gesto de riscos de TI
(Questo 5.3), gesto de segurana da informao (Questo 5.4), processo de software (Questo
5.5), gerenciamento de projetos de TI (Questo 5.6), contrataes de TI (Questo 5.7), processo de
planejamento das contrataes de TI (Questo 5.8), processo de gesto de contratos de TI (Questo
5.9) e o perfil das contrataes de TI (Questo 5.10)
199. A seguir, sero apresentados os resultados apurados no levantamento e a evoluo no
perodo 2012 a 2014 para as questes 5.3, 5.4, 5.6 e 5.7. Os grficos relativos aos resultados e
evoluo das demais questes constam do Apndice VII.
2.5.1 Gesto de Riscos de TI
200. Riscos de TI so os eventos capazes de impedir, em certo grau, que a gesto de TI
cumpra sua misso de auxiliar a organizao a alcanar seus objetivos institucionais. Esto
relacionados, em grande parte, ocorrncia de obstculos, perdas e prejuzos.
201. Logo, imprescindvel que a organizao gerencie seus riscos de TI, que
desempenhado basicamente pela execuo das atividades de identificao, avaliao e tratamento
desses riscos, a fim de que sejam mantidos em nveis e custos aceitveis pela corporao.
202. Por sua relevncia, o tema Gesto de Riscos TI objeto de normatizao tanto pela
ABNT (ABNT NBR ISSO/IEC 38500:2009 Governana corporativa de tecnologia da
informao: itens 3.3 Princpio 2: Estratgia. Avaliar; 3.5 Princpio 4: Desempenho. Avaliar; e 3.7
Princpio 6: Comportamento humano. Dirigir) quanto pelo Cobit 5 (prtica de gesto APO12
Gesto de Riscos).
203. Assim, diante da sua exposta importncia, recomendvel que a atividade de gesto
de riscos de TI seja realizada mediante um processo formalmente institudo, para que seja executada
com maior eficincia.
a) Resultados Apurados
204. A figura a seguir apresenta os resultados obtidos em 2014 em relao Gesto de
Riscos de TI.
28
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Gesto de Riscos de TI
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
a. identifica os riscos de b. avalia os riscos de TI c. trata os riscos de TI dos e. o processo de gesto
d. executa um processo
TI dos processos crticos dos processos crticos de processos crticos de de riscos de TI est
de gesto de riscos de TI
de negcio negcio negcio formalmente institudo
Iniciou plano 24% 24% 26% 30% 29%
Adota parcial 28% 27% 15% 12% 6%
Adota integral 10% 9% 6% 9% 8%
205. Observa-se que apenas 38% das organizaes declararam identificar os riscos de TI
dos processos crticos de negcio (28% parcialmente e 10% integralmente). Esse percentual
compatvel com o aferido no item b: 36% das organizaes avaliam os riscos de TI dos processos
crticos de negcio (27% parcialmente e 9% integralmente). Menor ainda o percentual das
organizaes que tratam os riscos de TI dos processos crticos de negcio: apenas 21% (15%
parcialmente e 6% integralmente).
206. O resultado aferido para os itens comentados anteriormente revela que a maior parte
da APF no sabe a que riscos de TI est sujeita, nem da probabilidade de ocorrerem e tampouco de
seu impacto no alcance dos objetivos de TI e da organizao. Revela ainda que muitas
organizaes, apesar de terem conhecimento dos riscos de TI, no conferem nenhum tratamento
para que eles sejam mantidos em nveis e custos aceitveis.
207. No aceitvel que uma organizao no conhea, pelo menos, os riscos associados
aos seus processos de negcio de natureza mais crtica, tendo em vista adotar as medidas
necessrias para trat-los. Uma organizao que no faz esse mnimo de gesto de risco fica a
merc da sorte para realizar seus objetivos estratgicos. Indesejavelmente, somente 21% das
organizaes realizam essa atividade, sendo 6% de forma integral.
208. Com relao ao processo de gesto riscos, verifica-se que somente 21% o executam
(9% parcialmente e 12% integralmente) e somente 14% (6% parcialmente e 8% integralmente) o
formalizaram. Enfim, a situao pior do que a desenhada pelas trs prticas anteriores, haja vista
que a no existncia de um processo, sobretudo formalizado, tende a comprometer a efetividade e
continuidade das atividades.
b) Evoluo da Situao
209. O tema Gesto de Riscos de TI foi avaliado pela primeira vez no levantamento de
2014, portanto no h como aferir sua evoluo em relao aos ciclos anteriores.
c) Concluso
210. Os resultados obtidos so extremamente tmidos, demonstrando nvel baixo de
maturidade do processo de gesto de riscos e at mesmo negligncia quanto sua importncia por
parte da APF, o que aumenta as chances da TI no entregar resultados ao negcio nos prazos, custos
e qualidade acordados, impactando consequentemente a consecuo dos objetivos institucionais da
corporao. Esse cenrio reflete o baixo nvel de adoo das prticas de governana responsveis
por viabilizar a gesto de riscos, conforme visto no item 2.1.2 deste Relatrio.
2.5.2 Gesto Corporativa da Segurana da Informao
211. A segurana da informao tem sido objeto de preocupao em todos os
levantamentos anteriores por causa da baixa conformidade das organizaes em relao aos
normativos e s boas prticas aplicveis.
29
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
organizaes avaliadas no possui uma pessoa dedicada a essa misso, situao que indica o quanto
o tema ainda no devidamente compreendido na APF.
219. Quanto poltica que normatiza o acesso s informaes e aos recursos e servios de
TI (item d), somente 52% (19% parcialmente e 33% integralmente) declararam dispor desse
normativo formalmente institudo, com cumprimento obrigatrio.
220. Quanto poltica de cpias de segurana (backup) (item e), que so necessrias para
garantir a disponibilidade das informaes em casos de falhas de sistemas ou pessoas, somente 54%
(27% de forma parcial e 27% integralmente) declararam dispor desse normativo formalmente
institudo, com cumprimento obrigatrio. Ressalte-se que essa uma prtica tambm essencial para
a continuidade dos servios de TI.
b) Evoluo da Situao
221. O quadro a seguir apresenta os resultados obtidos em 2014 comparados aos resultados
apurados em 2012, em relao s prticas presentes em ambas as avaliaes.
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
a. dispe de uma poltica de segurana b. dispe de comit de segurana da c. possui gestor de segurana da d. dispe de poltica de controle de
da informao formalmente instituda informao formalmente institudo informao formalmente designado acesso formalmente instituda
2012 44% 46% 49% 26%
2014 (Adota Integral) 52% 49% 38% 33%
2014 (Adota Parcial) 16% 13% 11% 19%
222. O grfico revela uma situao de evoluo (24 pontos percentuais) com relao ao
estabelecimento da poltica de segurana da informao (item a), haja vista que 68% das
organizaes (16% parcialmente e 52% integralmente), em 2014, declararam adotar a prtica,
contra 44% em 2012. Evoluo que se confirma, inclusive, comparando apenas os que informaram
adotar a prtica integralmente, com o crescimento de 8 pontos percentuais em relao a 2012.
223. Quanto ao estabelecimento de comit de segurana da informao, a situao tambm
de evoluo (16 pontos percentuais), com 62% das organizaes (13% parcialmente e 49%
integralmente), em 2014, declarando adotar a prtica, contra 46% em 2012.
224. Continua inalterado o quadro relativo designao de gestor de segurana da
informao, com a manuteno do percentual de 49% de organizaes que declararam t-lo
designado formalmente. A nova escala de resposta, entretanto, permite verificar que, atualmente,
esse percentual compe-se de 11% de adoo parcial e 38%, de integral.
225. No que tange ao nvel de adoo de poltica de controle de acesso (item d), os
nmeros mostram uma situao de considervel evoluo (26 pontos percentuais), dobrando o
percentual de organizaes que dispe desse instrumento para estabelecer regras de acesso aos
sistemas e demais recursos de TI da organizao. Em 2014, 52% das organizaes (19%
parcialmente e 33% integralmente) declararam adotar a prtica, contra 26% em 2012.
c) Concluso
226. A despeito da evoluo identificada no perodo 2012 a 2014, o nvel de adoo das
prticas apresentadas est muito distante do esperado, situao que revela a existncia de lacunas na
31
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Gerenciamento de Projetos de TI
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
f. possui um escritrio
b. executa processo c. o processo d. o processo e. o processo est
a. possui portflio de de projetos, ao
de gerenciamento de acompanhado por periodicamente formalmente
projetos de TI menos para projetos
projetos de TI meio de mensuraes revisado e melhorado institudo
de TI
Iniciou plano 19% 23% 27% 24% 26% 13%
Adota parcial 27% 38% 24% 22% 10% 12%
Adota integral 23% 20% 11% 9% 16% 29%
233. No item a, os resultados obtidos revelam que somente metade das organizaes
possui um portflio de projetos de TI (27% parcialmente e 23% integralmente). A existncia de um
portflio deveria sugerir a existncia de uma gesto de projetos de TI coordenada com o foco no
alcance dos objetivos organizacionais.
234. Mesmo diante da complexidade que comumente envolve o desenvolvimento e a
implantao de solues de TI, chama ateno que somente 58% (38% parcialmente e 20%
32
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
e. o processo est formalmente c. o processo acompanhado por d. o processo periodicamente f. possui um escritrio de projetos,
institudo meio de mensuraes revisado e melhorado ao menos para projetos de TI
2012 39% 14% 9% 24%
2014 (Adota Integral) 15% 11% 9% 29%
2014 (Adota Parcial) 10% 25% 21% 12%
33
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
perguntou-se se o processo todo est formalizado como uma norma de cumprimento obrigatrio.
Desse modo, a pergunta atual pode ter induzido os respondentes a serem mais conservadores.
242. Quanto ao acompanhamento do processo por meio de mensuraes (item c) e
reviso peridica com base nas mensuraes obtidas (item d), a situao de melhoria: 36% das
organizaes, em 2014, declararam que adotam a primeira prtica (25% parcialmente e 11%
integralmente), contra 12% em 2012; e 30%, em 2014, declararam que adotam a segunda prtica
(21% parcialmente e 9% integralmente), contra 8% em 2012.
243. Por ltimo nessa questo (item f), a situao tambm de melhoria, pois 41% das
organizaes (12% parcialmente e 29% integralmente), em 2014, declararam possuir um escritrio
de projetos, ao menos para projetos de TI, contra 24% em 2012.
c) Concluso
244. Os nmeros apurados apresentaram uma melhoria no quadro de organizaes que
praticam gerenciamento de projetos de TI, o que sugere uma continuidade da tendncia de evoluo
observada em 2012. Por outro lado, continua elevado o percentual (42%) de organizaes que no
executa um processo de gerenciamento de projetos de TI formalmente institudo e tambm o
percentual das que no possui um escritrio de projetos (59%). Essa situao potencializa o risco de
insucesso de projetos, sobretudo pela complexidade que, em regra, envolve o desenvolvimento e
implantao de solues de TI, prejudicando o alcance dos resultados esperados.
2.5.2.2 Contratao de Servios de TI
245. A contratao de servios de TI regida precipuamente pela Lei 8.666/93, que
estabelece os princpios e regras gerais para as licitaes e contratos da Administrao Pblica.
246. A SLTI e o CNJ publicaram normas que constituem guias para o gestor pblico
federal na execuo das contrataes de servios de TI, especificando as responsabilidades, as fases
e os artefatos que devem ser produzidos ao longo desse processo. Essas normas so a Instruo
Normativa SLTI 4/2014, aplicvel aos rgos integrantes do Sistema de Administrao dos
Recursos de Informao e Informtica (SISP) do Poder Executivo Federal, e a Resoluo CNJ
182/2013, aplicvel aos rgos submetidos ao controle administrativo e financeiro daquele
Conselho.
247. Em 2012, com o objetivo de auxiliar os gestores pblicos a planejar as contrataes
de TI, o TCU publicou o Guia de boas prticas em contratao de solues de tecnologia da
informao (http://portal2.tcu.gov.br/TCU/comunidades/tecnologia_informacao/contratacao_ti). A
essncia do guia consiste em apontar o que a legislao, a jurisprudncia e as melhores prticas
sinalizam sobre o planejamento das contrataes de TI e indicar os riscos associados, com sugesto
de providncias (controles internos) para mitig-los.
a) Resultados Apurados
248. As figuras a seguir apresentam os resultados obtidos em 2014 em relao
contratao de servios de TI.
34
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Contratao de Servios de TI
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
b. explicita as necessidades d. explicita o alinhamento
a. realiza estudos tcnicos c. explicita os indicadores e.realiza anlise dos riscos
de negcio que se entre a contratao e os
preliminares para avaliar a dos benefcios de negcio que possam comprometer
pretende atender com a planos estratgico e de TI
viabilidade da contratao que sero alcanados o sucesso da contratao
contratao vigentes
Iniciou plano 7% 4% 12% 11% 15%
Adota parcial 31% 21% 31% 25% 26%
Adota integral 58% 72% 42% 54% 44%
Contratao de Servios de TI
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
g. realiza os pagamentos dos
f. adota mtricas objetivas para h. realiza a anlise dos benefcios i. diferencia e define formalmente
contratos em funo da
mensurao de resultados do reais obtidos, utilizando-a como os papis de gestor e fiscal do
mensurao objetiva dos
contrato critrio para prorrogar o contrato contrato
resultados
Iniciou plano 10% 5% 8% 7%
Adota parcial 29% 20% 29% 18%
Adota integral 46% 70% 49% 60%
249. Com relao realizao de estudos tcnicos preliminares para avaliar a viabilidade
da contratao de servios de TI (item a), verifica-se que 89% das organizaes participantes
declararam adotar essa prtica (31% parcialmente e 58% integralmente). Diante da importncia da
prtica, que, para os rgos e entidades pblicas, de cumprimento obrigatrio, esse percentual no
pode ser considerado totalmente satisfatrio, tendo em vista que 11% das organizaes correm
srios riscos [de] causarem prejuzo aos cofres pblicos com contrataes inviveis.
250. Quanto s prticas que tratam da vinculao da contratao com os objetivos de
negcio da organizao, observa-se que, apesar do elevado nmero de 93% dos participantes (21%
parcialmente e 72% integralmente) terem declarado explicitar as necessidades de negcio que se
pretende atender com a contratao, apenas 73% (31% parcialmente e 42% integralmente)
informam explicitar os indicadores dos benefcios do negcio que sero alcanados e 79% (25%
parcialmente e 54% integralmente), o alinhamento entre a contratao e os planos estratgico
institucional e de TI vigentes. Esses nmeros demonstram que algumas organizaes ainda realizam
contrataes de TI sem que haja um claro entendimento de como elas contribuiro para o negcio.
35
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
251. Observa-se que 70% dos participantes declararam realizar anlise dos riscos que
possam afetar o sucesso da contratao (26% parcialmente e 44% integralmente), revelando, assim,
que uma parte das organizaes (30%) ainda depende da sorte para alcanar os resultados esperados
com as contrataes de TI.
252. Em que pese 75% das organizaes (29% parcialmente e 46% integralmente)
afirmarem adotar mtricas objetivas para mensurao de resultados do contrato (item f), um
universo maior, 90% (20% parcialmente e 70% integralmente), afirma pagar seus contratos em
funo da mensurao objetiva dos resultados entregues e aceitos (item g). Isso significa dizer
que 15% pagam com base em mensuraes objetivas no baseadas em mtrica. Essa situao revela
possvel desconhecimento sobre o conceito de mtricas, o que pode estar associado falta de
capacitao em planejamento e gesto de contratos de TI, haja vista que 34% das organizaes
declararam no incluir essas competncias em seu plano de capacitao (Figura 19).
253. Verifica-se que 78% dos participantes declararam analisar os benefcios reais dos
contratos de TI como critrio para prorrog-los. Importa lembrar que, de acordo com o art. 57,
inciso II, da Lei 8.666/93, a prorrogao de contratos de servios executados de forma contnua
objetiva a obteno de preos e condies mais vantajosas para a Administrao. Desse modo, 22%
das organizaes, por no avaliarem os benefcios j proporcionados pelos contratos de TI, podem
estar realizando prorrogaes contratuais ilegais.
254. O mesmo percentual declarou que diferencia e define formalmente os papis de gestor
e fiscal do contrato (18% parcialmente e 60% integralmente). Registre-se que esses papis esto
definidos nos normativos que estabeleceram o processo de contratao de solues de TI para o
Sisp (Instruo Normativa SLTI 4/2014) e para os rgos sob o controle do CNJ (Resoluo CNJ
182/2013).
b) Evoluo da Situao
255. A figura a seguir apresenta os resultados obtidos em 2014 comparados aos resultados
apurados em 2012, em relao s prticas presentes em ambas as avaliaes.
Contratao de Servios de TI - Evoluo
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
g. realiza os pagamentos dos
a. realiza estudos tcnicos b. explicita as necessidades de c. explicita os indicadores dos f. adota mtricas objetivas para h. realiza a anlise dos benefcios
contratos em funo da
preliminares para avaliar a negcio que se pretende atender benefcios de negcio que sero mensurao de resultados do reais obtidos, utilizando-a como
mensurao objetiva dos
viabilidade da contratao com a contratao alcanados contrato critrio para prorrogar o contrato
resultados
2012 72% 87% 49% 67% 92% 80%
2014 (Adota Integral) 58% 72% 41% 45% 69% 48%
2014 (Adota Parcial) 30% 22% 31% 30% 21% 28%
36
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
organizaes que afirmam explicitar os indicadores dos benefcios de negcio, que chegou a 72%,
variando 23 pontos em relao 2012. Contudo, assim como em 2012, persiste a situao de
organizaes que explicitam as necessidades de negcio a serem atendidas, mas no estabelecem
indicadores para avaliar os benefcios.
259. O nmero de organizaes que declararam estabelecer mtricas objetivas para
mensurao dos resultados da contratao atingiu o patamar de 75% em 2014, o que representou um
crescimento de oito pontos percentuais em relao ao ltimo levantamento. Contudo, o nvel de
adoo da prtica de pagamento contratual em funo da mensurao objetiva dos resultados
apresentou uma pequena reduo de dois pontos percentuais, passando de 92% em 2012 para 90%
em 2014, o que pode ser considerada uma situao de estabilidade
260. De modo anlogo, o nvel de adoo da prtica de realizar anlise dos benefcios
obtidos como critrio para prorrogar o contrato foi reduzido em quatro pontos percentuais, caindo
de 80% em 2012 para 76% em 2014. Essa variao negativa no significa necessariamente um
retrocesso, podendo representar, na verdade, um melhor entendimento sobre a aplicao da prtica.
c) Concluso
261. Os percentuais obtidos so em grande parte expressivos e demonstram, no geral, um
cenrio de evoluo em relao quele de 2012, sugerindo que as contrataes pblicas tm sido
mais efetivas no sentido de atender as necessidades do negcio. Entretanto, o quadro apurado ainda
no o desejvel, tendo em vista que o sucesso das contrataes depende em grande parte das
prticas abordadas neste tpico. Alm disso, considerando que essas prticas derivam da legislao
aplicvel ao tema, sendo de cumprimento obrigatrio para a maioria absoluta das organizaes
participantes, o resultado revela que parcela das organizaes pblicas pode estar incorrendo em
irregularidades quando da realizao de suas contrataes de TI.
2.6 Resultados
262. Essa dimenso refere-se ao desempenho da organizao na gesto e uso da TI. Ela foi
estruturada em quatro questes, que buscam avaliar a capacidade da organizao em definir e
alcanar os objetivos de TI (questo 6.1), em gerir os projetos de TI (questo 6.2), em prover
servios que sustentam os processos organizacionais (questo 6.3) e em oferecer servios ao
cidado/cliente via internet (questo 6.4).
263. A seguir, sero apresentados os resultados apurados no levantamento e a evoluo no
perodo 2012 a 2014 para ambas as questes 6.1 e 6.4.
2.6.1 Desempenho da gesto e uso de TI
264. Para a organizao ter condies de avaliar seu desempenho na gesto e uso de TI,
necessrio estabelecer parmetros para esse fim, a exemplo de objetivos institucionais de TI,
indicadores de desempenhos para cada objetivo e metas para cada indicador. Alm disso, monitorar
regularmente esses indicadores, conforme recomendado no item 9.1 do Acrdo 2.308/2010-TCU-
Plenrio.
265. O valor agregado pela TI est diretamente relacionado com sua capacidade de atingir
os objetivos de negcio definidos pela organizao. Portanto, a falta de objetivos claros tende a
comprometer a contribuio da TI para o negcio da organizao.
a) Resultados Apurados
266. A figura a seguir apresenta os resultados obtidos em 2014 em relao ao desempenho
da gesto e uso de TI.
37
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Objetivos de TI
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
acompanha o alcance das metas de TI alcanou a meta planejada para o perodo
82% 6%
Objetivos de TI - Evoluo
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
acompanha o alcance das metas de TI alcanou a meta planejada para o perodo
2012 57% 20%
2014 85% 5%
39
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
a) Resultados Apurados
284. As figuras a seguir apresentam os resultados obtidos em 2014 em relao aos servios
disponveis ao cidado/cliente.
285. Verifica-se que 87% das organizaes prestam algum tipo de servio por meio da
internet (44% parcialmente e 43% integralmente). A adoo integral, em tese, indica que todos os
servios prestados pela organizao esto disponveis via internet e a parcial que apenas alguns
servios esto disponveis.
286. Causa espanto que quatro organizaes pblicas integrantes do Poder Executivo,
especificamente instituies de ensino, tenham respondido que a prtica no se aplicava realidade
delas. No caso concreto, um sistema de matrcula ou de acompanhamento de notas so exemplos de
servios que poderiam ser disponibilizados aos alunos na internet, demonstrando a inadequao das
respostas.
287. Quanto aos modelos e padres definidos no Programa de Governo Eletrnico (eMAG,
ePING, ePWG), que tem como objetivos principais ampliar a acessibilidade aos servios e
promover a integrao entre os Poderes, as esferas de governo e a sociedade em geral, observa-se
que entre 42% e 50% das organizaes adotam essas prticas. O percentual de adoo integral de
todas essas prticas de 8%, sugerindo que a organizao que adota integralmente uma das prticas
induzida a adotar as outras duas.
288. Neste ponto, importante destacar que o fato de a adoo dos modelos e padres no
ser obrigatria para as organizaes, sobretudo as que no integram o Poder Executivo, no exclui
sua aplicabilidade organizao.
40
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
289. Com relao ao catlogo dos servios disponveis na internet, verifica-se que apenas
40% das organizaes o publicaram (23% parcialmente e 17% integralmente). importante
ressaltar que esse catlogo constitui uma parte da Carta de Servios ao Cidado, cuja elaborao
obrigatria para as organizaes do Poder Executivo que prestam servios diretamente ao cidado,
conforme art. 11 do Decreto 6.932, de 11/8/2009, que instituiu a referida carta. Contudo, apenas
39% das organizaes vinculadas ao Sisp, que, na maioria dos casos, prestam servios direto ao
cidado, publicaram o catlogo.
290. No que se refere avaliao dos servios por meio de pesquisas de satisfao dos
usurios (cidado/cliente), apenas 24% adotam essa prtica (15% parcialmente e 9% integralmente).
Em que pese o nvel de satisfao do usurio seja uma medida subjetiva, esse um indicador que
jamais deve ser desprezado em uma relao de prestao de servios entre estado (empresa) e
cidado (cliente).
291. Em que pese 24% realizarem pesquisa de satisfao, apenas 11% divulgam o
resultado (6% parcialmente e 5% integralmente). A divulgao, alm de demonstrar o compromisso
com o cidado/cliente, induz a obteno de melhores resultados na prestao de servios.
292. Quanto a perfil em redes sociais para descobrir e atender as necessidades dos
cidados/clientes, 64% das organizaes informaram possu-lo (22% parcialmente e 42%
integralmente). Essa uma prtica no obrigatria, mas muito recomendada na sociedade atual, que
cada vez mais adere e se manifesta por meio das redes sociais. Registre-se que essa a conduta
recomendada pelo Programa de Governo Eletrnico Brasileiro, que reconhece que os perfis
constituem instrumentos que permitem o dilogo e a aproximao do cidado
(http://www.governoeletronico.gov.br/acoes-e-projetos/redes-sociais).
b) Evoluo da Situao
293. A figura a seguir apresenta os resultados obtidos em 2014 comparados aos resultados
apurados em 2012, em relao as prticas presentes em ambas as avaliaes.
41
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
42
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
43
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
D1 = (Q11 * 0.15 + Q12 * 0.14 + Q13 * 0.17 + Q14 * 0.14 + Q15 * 0.14 + Q17 * 0.16 + Q18 * 0.1)
D2 = (Q21 * 0.44 + Q22 * 0.56)
D3 = (Q31 * 0.66 + Q32 * 0.34)
D4 = (Q41 * 0.48 + Q42 * 0.41 + Q43 * 0.11)
D5 = (Q51 * 0.12 + Q52 * 0.1 + Q53 * 0.11 + Q54 * 0.13 + Q55 * 0.11 + Q56 * 0.11 + Q57 * 0.1 + Q58 *
0.11 + Q59 * 0.11)
D6 = (Q61 * 0.3 + Q62 * 0.21 + Q63 * 0.28 + Q64 * 0.21)
iGovTI2014 = (D1 * 0.21) + (D2 * 0.16) + (D3 * 0.16) + (D4 * 0.16) + (D5 * 0.19) + (D6 * 0.12)
304. Apesar do detalhamento do processo de definio do iGovTI2014 constar do apndice
citado anteriormente, importante esclarecer, neste momento, o motivo da excluso das questes
1.6 e 5.10 da frmula.
305. A questo 1.6, que trata da transparncia dos resultados da gesto e do uso de TI, na
dimenso Liderana, foi agrupada questo 1.2, que aborda o processo de entrega de resultado de
TI, para evitar que a sua nica prtica (questo 1.6) ficasse supervalorizada em relao s demais.
306. A questo 5.10, que avalia as modalidades de licitao utilizadas pela organizao em
2013, foi excluda da frmula por ter apresentado correlao muito baixa e, em alguns casos, at
levemente negativa com as demais questes. Isso pode ser reflexo da edio do Acrdo
1.233/2012-TCU-Plenrio que estabeleceu novos procedimentos para a utilizao das atas de
registro de preo, o que resultou em comportamento uniforme por parte das organizaes,
independente da capacidade de governana e de gesto de TI.
307. A frmula atual sugere que a boa governana de TI depende do equilbrio das
dimenses avaliadas, com peso um pouco maior para as dimenses Liderana e Processos. Na
prtica, no razovel uma organizao com uma boa estrutura de governana e de gesto de TI
apresentar fragilidades significativas em uma ou mais das dimenses avaliadas. Dessa forma, para
que a TI seja bem governada, as seguintes condies devem ser satisfeitas, sem exceo:
307.1. ter uma forte estrutura de liderana que estabelea os objetivos e a direo a seguir,
sendo capaz de corrigir os possveis desvios de rumo;
307.2. estabelecer estratgias e planos que materializem a direo estabelecida, de forma a
contribuir com o alcance dos objetivos da organizao;
307.3. dispor de informaes tempestivas para subsidiar a tomada de deciso, bem como
dar transparncia das aes s partes interessadas;
307.4. definir e estabelecer processos para implementar as polticas e entregar os resultados
esperados, bem como para garantir a continuidade das aes;
307.5. dispor de pessoas capazes de fazer funcionar essa engrenagem organizacional de
forma eficiente e efetiva.
308. Embora no se tenha forado a aderncia entre as frmulas do iGovTI2014 e do
iGovTI2012, apurou-se uma correlao no desprezvel entre esses ndices, com um coeficiente de
correlao prximo de 0,53. Para isso, calculou-se o iGovTI2012 com os dados informados em
2014, levando em considerao a correspondncia entre os questionrios (Apndice III). Para tanto,
foram consideradas as respostas de 2012 nos casos em que as questes do questionrio de 2014 no
eram compatveis.
44
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
1,00
y = 0,8575x + 0,0531
0,90 R = 0,5259
0,80
0,70
0,60
0,50
0,40
0,30
0,20
0,10
0,00
0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00
309. O iGovTI, todavia, no deve ser percebido como uma medida precisa da capacidade
de governana e de gesto de TI de uma dada organizao, haja vista que o questionrio, apesar de
abrangente, no capaz de contemplar todas as variveis que influenciam nessa avaliao.
310. Alm disso, no obstante o esforo de tentar selecionar as prticas de maior relevncia
e aplicveis ao maior nmero possvel de organizaes, natural a existncia de prticas que no
sejam aplicveis ou que no apresentem relao custo-benefcio favorvel para algumas
organizaes.
311. Registre-se, tambm, que o ndice calculado com base em informaes declarativas,
ainda no validadas pelo TCU. Portanto, no se pode afastar a impreciso de algumas respostas
apresentadas quanto realidade das organizaes, seja por interpretaes equivocadas ou por falhas
do prprio instrumento de avaliao.
312. Nesse contexto, o iGovTI no deve ser visto como um fim em si mesmo, ou seja, as
organizaes no deveriam trabalhar com metas de alcanar notas cada vez mais elevadas,
independentemente do valor que seria agregado para a organizao.
313. Cada organizao deve, de fato, por meio de anlise crtica das necessidades do seu
negcio e dos riscos relevantes, e levando em considerao tambm o diagnstico apresentado pelo
presente levantamento, definir metas e desenvolver estratgia para fortalecer a sua governana de
TI, como parte de seu processo de planejamento de TI.
3.2 Resultado da avaliao com base no iGovTI2014
314. Visando um melhor agrupamento das organizaes por nvel de capacidade em
governana de TI, com um adequado direcionamento das aes de induo de melhoria, foram
definidos novos estgios de capacidade: 1) Inicial: iGovTI menor que 0,30; 2) Bsico: iGovTI
maior ou igual a 0,30 e menor que 0,50; 3) Intermedirio: iGovTI maior ou igual a 0,50 e menor
que 0,7; 4) Aprimorado: iGovTI maior ou igual a 0,7.
315. A figura seguir apresenta a distribuio de frequncia baseada no iGovTI2014.
45
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
316. Observa-se que 22% das organizaes esto com iGovTI2014 inferior a 0,30,
indicando um nvel muito baixo de adeso s prticas de governana e de gesto de TI estabelecidas
no questionrio. Nesse grupo, a TI dificilmente contribuir, de forma efetiva, no sentido de entregar
valor ao negcio. No outro extremo, 8% das organizaes apresentam capacidade aprimorada em
governana e gesto de TI, ou seja, so grandes as chances de que a TI otimize sua contribuio
para o alcance dos resultados organizacionais. Esse um potencial grupo para a identificao de
boas prticas a serem compartilhadas com as demais organizaes pblicas federais.
317. Entre as regies inicial e aprimorada, 39% das organizaes encontram-se no estgio
bsico, ou seja, com baixas condies de governar a TI de forma a produzir valor para a
organizao. O nvel intermedirio, composto por organizaes com razovel conjunto de prticas
para governar sua TI e, em alguns casos, suficiente para as necessidades da organizao, concentra
31% dos avaliados.
318. A figura a seguir apresenta a distribuio do iGovTI2014 por segmento da
Administrao Pblica Federal. Observa-se que o segmento das estatais (EXE-Dest) tem o maior
percentual de organizaes aprimoradas (18%), o que era esperado diante das necessidades do
negcio de muitas das organizaes desse grupo. Por outro lado, o segmento que tm o menor
percentual de organizaes em situao inicial (9%) o Judicirio, o que pode ter como explicao
a homogeneidade de estrutura organizacional e de negcio, includo equipes de TI prprias de seus
quadros de pessoal, situao que facilita o compartilhamento de experincias e a definio de
modelos de processo para o segmento.
iGovTI2014 - Distribuio de Frequncias por Segmento
60%
52%
50%
43% 42%
40%
36% 36%
34%
Inicial
30% Bsico
26% 25% 26%
Intermedirio
21% Aprimorado
20% 18%
13%
9%
10% 7% 7%
5%
0%
Exe-Dest Exe-Sisp Jud Outros
46
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
20%
Aprimorado (0,60 a 1,00)
16%
41%
Intermedirio (0,40 a 0,59)
51%
39%
Inicial (0,00 a 0,39)
33%
9%
Aprimorado (0,70 a 1,00)
7%
32%
Intermedirio (0,50 a 0,69)
31%
39%
Bsico (0,30 a 0,49)
49%
20%
Inicial (0,00 a 0,29)
13%
47
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
324. Por outro lado, aquelas organizaes que tinham capacidade intermediria, ou seja,
com melhores condies de governar sua TI, podem ter migrado para a faixa aprimorada justamente
pelo aumento do peso das referidas dimenses. O pequeno percentual apurado, todavia, pode ser
explicado pelo maior custo marginal de evoluo para os que se encontram em um estgio mais
avanado de governana de TI.
325. De uma forma geral, o grfico revela uma tendncia de evoluo, considerando que
41% das organizaes foram classificadas nas capacidades intermediria ou aprimorada (ndice
igual ou superior a 0,50), ou seja, um crescimento de trs pontos percentuais em relao a 2012.
326. Comparando a evoluo pela mesma medida, ou seja, utilizando a frmula de 2012
aplicada aos dados de 2014, considerando as respostas dadas em 2012 para os itens no compatveis
no questionrio 2014, a figura a seguir exibe uma distribuio um pouco diferente da anterior, mas
que tambm indica evoluo no sentido da capacidade aprimorada. O estgio intermedirio tambm
apresentou crescimento, ao saltar de 51% para 53%. E, como consequncia das migraes para os
estgios acima, a capacidade inicial passou de 33% para 30% em 2014.
iGovTI2012-Dados2014 iGovTI2012
17%
Aprimorado (0,60 a 1,00)
16%
53%
Intermedirio (0,40 a 0,59)
51%
30%
Inicial (0,00 a 0,39)
33%
7%
Aprimorado (0,70 a 1,00)
7%
34%
Intermedirio (0,50 a 0,69)
31%
46%
Bsico (0,30 a 0,49)
49%
13%
Inicial (0,00 a 0,29)
13%
48
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
1.
Figura 41. Oramento de TI versus iGovTI (2014)
329. Alguns agrupamentos relacionados ao risco e ao modo de controlar so sugeridos:
329.1. nas regies vermelha e laranja, tm-se organizaes que possuem alto oramento de
TI ou baixa capacidade de governar sua TI, ou, no pior caso, a combinao das duas situaes.
Nesse grupo, existe um alto risco de uso inadequado do dinheiro pblico ou de a TI no contribuir
para o alcance dos resultados institucionais, sugerindo a atuao de auditorias especficas;
329.2. na regio amarela, tm-se as organizaes que possuem razovel capacidade em
governana e, na maioria dos casos, gerem oramento de TI mediano. Nesses casos, a situao
sugere a necessidade de acompanhamento dos riscos, que podem estar mitigados ou serem de
relevncia limitada. Tambm h organizaes com boa governana, combinada com alto
oramento, situao que sempre exigir ateno;
329.3. nas reas verde e azul, tm-se as organizaes que possuem boa capacidade em
governana e que tambm executam despesas de TI medianas. Nesses casos, os controles
possivelmente so suficientes, pois a situao de baixo risco estimando, sugerindo a possibilidade
de acompanhamento remoto, em conjunto com a unidade de controle interno da organizao.
330. Registre-se, por oportuno, que o Acrdo 2.585/2012-TCU-Plenrio, o qual apreciou
o levantamento de 2012, levando em considerao o entendimento de que a capacidade de governar
est diretamente relacionada com o risco de m aplicao dos recursos pblicos destinados TI,
expediu a seguinte deliberao, a ser monitorada por esta Unidade Tcnica:
49
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
5 CONCLUSO
331. O cenrio apresentado pelo levantamento de governana de TI 2014 revelou, de forma
geral, melhoria da situao em relao a 2012, confirmando a tendncia de evoluo identificada
em pesquisas anteriores. No obstante, o nvel de adoo das prticas, de forma geral, ainda est
distante de um cenrio satisfatrio para a Administrao Pblica Federal.
332. Destaca-se, nos aspectos de liderana, a evoluo na adoo das prticas relativas aos
mecanismos basilares da estrutura de governana corporativa e de TI. Cita-se, como exemplo, o
aumento do nmero de organizaes que dispe de comit de TI, indicando o reconhecimento da
importncia desse colegiado como estrutura de apoio no processo de tomada de deciso.
333. No mesmo sentido, os dados revelaram evoluo das prticas de planejamento de TI,
sugerindo a efetividade das aes de induo promovidas pelos rgos de controle e pelos rgos
governantes superiores.
334. Merecem destaque tambm os resultados expressivos apurados para as prticas de
planejamento e de gesto de contrataes de servios de TI, o que contribui para melhor atender s
necessidades do negcio. Essa evoluo pode ser atribuda, em especial, aos normativos que
estabeleceram o processo e outras orientaes sobre as contrataes de TI, resultado do alinhamento
de esforo entre os rgos de controle e os rgos governantes superiores.
335. Chamou ateno, ainda, o avano no nmero de organizaes que avaliam o seu
desempenho na gesto e uso da TI, mediante o acompanhamento do alcance das metas associadas
aos objetivos de TI.
336. Por outro lado, os nmeros tambm revelam que, em geral, a alta administrao,
apesar dos altos valores geridos e do histrico de problemas relacionados a projetos e atividades
malsucedidas, ainda no reconhece a importncia da gesto de riscos de TI para o sucesso de suas
aes.
337. Causa preocupao que ainda existam organizaes que no reconhecem a
importncia da atividade de planejamento estratgico para o sucesso de suas aes, seja com a no
execuo de um processo ou, ainda mais grave, com a no elaborao de um plano estratgico
institucional.
338. Apesar da evoluo identificada para as prticas de gesto de pessoas, os nveis de
adoo apurados ainda so objeto de ateno, haja vista que o sucesso das polticas e planos de TI
est intrinsecamente relacionado com a capacidade dos gestores e tcnicos responsveis por
conduzi-los e implement-los.
339. Tambm merece ateno o elevado percentual de organizaes que no executa
processo de gerenciamento de projeto de TI, situao que eleva o risco de insucesso de seus
projetos, principalmente pela complexidade que, em geral, envolve o desenvolvimento e
implantao de solues de TI.
340. O cenrio desenhado pelo iGovTI2014 demonstrou que as transformaes ocorreram,
basicamente, na faixa de capacidade intermediria, com a migrao de 4% para a aprimorada e a
queda de 6% para a inicial. Essas mudanas podem estar relacionadas ao maior peso conferido s
dimenses Informaes e Resultados de TI em relao frmula 2012. As organizaes que
estavam o incio na faixa intermediria, ou seja, com mais dificuldades em governar sua TI,
tenderam a ter desempenho pior nessas dimenses. Por outro lado, aquelas organizaes que
estavam na parte superior da faixa intermediria, ou seja, com melhores condies de governar sua
TI, podem ter migrado para a faixa aprimorada justamente pelo aumento do peso das referidas
dimenses.
341. Diante do cenrio levantado, percebe-se a necessidade da continuidade das aes do
TCU no sentido de induzir a melhoria da governana de TI na APF, e, sobretudo, dos
levantamentos e avaliaes de governana de TI, que permitem verificar a evoluo da situao ao
longo de um perodo e direcionar as aes posteriores.
50
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
342. Desse modo, ser proposta determinao para que a Sefti leve em considerao os
resultados deste trabalho no planejamento de suas aes para o ano de 2015, tendo em vista avaliar
com maior especificidade as reas consideradas mais crticas.
343. Alm disso, com o objetivo de que a organizao avalie sua governana e gesto de
TI, de modo a fomentar seu amadurecimento nessas reas, ser proposto que a Sefti remeta, para
cada uma das organizaes participantes deste levantamento, relatrio contendo sua avaliao
individualizada de governana de TI e a comparao com os resultados consolidados do respectivo
segmento de atuao.
344. Deve-se considerar que algumas informaes presentes nos questionrios recebidos
pelo TCU podem ter classificao restrita ou sigilosa nas respectivas organizaes respondentes,
como as relacionadas gesto de segurana da informao. Desse modo, ser proposta, por
prudncia, a aposio da chancela de sigilo s respostas enviadas pelas organizaes participantes
deste levantamento.
345. Por outro lado, diante do enorme valor dos dados coletados, ser proposta sua
disponibilizao (a exemplo do Acrdo 2.585/2012-TCU-Plenrio) no portal do TCU sem a
identificao individual dos respondentes.
346. Por fim, importa lembrar que as situaes identificadas neste trabalho tratam, em sua
maioria, de temas j endereados pelo TCU, por meio de recomendaes aos rgos governantes
superiores (Acrdos 1.603/2008-TCU-Plenrio, 2.308/2010-TCU-Plenrio, 1.233/2012-TCU-
Plenrio, 2.585/2012-TCU-Plenrio). Considerando que essas deliberaes ainda sero monitoradas
e que os dados coletados no presente levantamento passaro por validao, no ser proposto
encaminhamento para essas situaes.
6 PROPOSTA DE ENCAMINHAMENTO
347. Ante o exposto, submetem-se os autos considerao superior, com as seguintes
propostas:
347.1. determinar Secretaria de Fiscalizao de Tecnologia da Informao que:
347.1.1. considere os resultados deste levantamento no planejamento de suas aes para o
ano de 2015, tendo em vista avaliar com maior especificidade as reas de governana e de gesto de
TI consideradas mais crticas;
347.1.2. remeta s organizaes participantes deste levantamento relatrio contendo sua
avaliao individualizada de governana e de gesto de TI;
347.1.3. disponibilize no portal do TCU os dados coletados neste levantamento sem a
identificao individual dos respondentes;
347.1.4. divulgue as informaes consolidadas constantes deste levantamento em
informativos e em sumrios executivos;
347.1.5. remeta cpia do acrdo, acompanhado do relatrio e do voto que o
fundamentam:
347.1.6. Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica do
Senado Federal;
347.1.7. Comisso de Cincia e Tecnologia, Comunicao e Informtica da Cmara dos
Deputados;
347.1.8. Cmara de Polticas de Gesto, Desempenho e Competitividade do Conselho
de Governo;
347.1.9. ao Gabinete de Segurana Institucional da Presidncia da Repblica;
347.1.10. ao Departamento de Coordenao e Controle das Empresas Estatais da
Secretaria-Executiva do Ministrio do Planejamento, Oramento e Gesto;
347.1.11. ao Conselho Nacional de Justia;
347.1.12. ao Conselho Nacional do Ministrio Pblico;
347.1.13. Secretaria de Logstica Tecnologia da Informao do Ministrio do
Planejamento, Oramento e Gesto;
51
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
o relatrio
VOTO
52
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
nvel de adoo das prticas relacionadas liderana da alta administrao, os dados revelam
preocupao em relao adoo de polticas corporativas de gesto de riscos e de gesto de
continuidade do negcio, haja vista o baixo percentual de adoo dessas polticas corporativas pelas
organizaes pesquisadas (23% e 27 %, respectivamente).
9. Entretanto, observa-se que a alta administrao passou a ter melhor compreenso da
importncia da estrutura de Governana de TI, haja vista a grande evoluo dos nmeros relativos s
organizaes que declararam dispor de Comit de TI (saltou de 72% em 2012 para 87% em 2014), o
que veio acompanhado, ao que nos apresentam os dados, de tambm grande evoluo da priorizao
das aes de TI com apoio do Comit de TI como instncia consultiva da alta administrao,
compreendendo resposta positiva de 74% das organizaes, com adoo parcial ou integral da prtica,
contra apenas 27% em 2012 (vide item 87 do relatrio).
9. As estratgias e planos avaliados, por sua vez, compreenderam o planejamento estratgico
institucional e o planejamento de TI. Enquanto a prtica relacionada ao processo de planejamento
estratgico praticamente no apresentou evoluo (em torno de 83%), ressalta-se um crescimento
expressivo de 29 pontos percentuais no quantitativo de organizaes que declararam possuir um plano
de TI, alcanando 76% das organizaes respondentes. Como ressaltado pela secretaria, a evoluo
evidente, mas no aceitvel que muitas organizaes continuem sem planejamento de TI (24%). Com
efeito, a atividade de planejamento de TI constitui-se num instrumento fundamental para o
cumprimento da misso organizacional, dado o valor estratgico que a TI representa para o negcio, e
para a eficincia nas contrataes dos servios necessrios para garantir a elevao da qualidade da
prestao dos servios pblicos aos cidados.
10. Em relao ao item informaes, tratou-se da avaliao dos controles da gesto da
informao, contemplando prticas de transparncia das informaes sobre a gesto e uso de TI, alm
da informatizao dos processos organizacionais. Nesse aspecto, o relatrio deste levantamento revela
grande evoluo do nmero de organizaes que identificam e mapeiam seus principais processos de
negcio, que passaram, de 2012 para no ano de 2014, de 40% para 66%.
11. As prticas relacionadas a pessoas foram tratadas de maneira especfica por este Tribunal
no Levantamento de Pessoal de TI, objeto do TC-023.414/2013-8, de relatoria do Ministro Raimundo
Carreiro. Esse trabalho foi amplamente conhecido e divulgado por meio do Acrdo 1.200/2014
Plenrio. Por essa razo, a equipe da Sefti atuou, neste levantamento, com foco apenas nos resultados
apurados para a questo relativa ao desenvolvimento de competncias de TI. Assim, verificou-se que
74% das organizaes declararam elaborar plano de capacitao para o desenvolvimento de
competncias de TI, face aos 50% identificados no levantamento de 2012. O acompanhamento da
execuo do plano de capacitao se elevou de 12%, no levantamento anterior, para 58% no atual. E,
quanto avaliao da execuo desse plano, metade das organizaes declararam faz-la, contra
apenas 6% em 2012 (conforme item 193 do relatrio).
12. Na dimenso relativa aos processos, levantaram-se dados sobre a gesto de riscos de TI,
a gesto corporativa da segurana da informao, o gerenciamento de projetos de TI, e a contratao
de servios de TI.
13. O tema Gesto de Riscos de TI foi avaliado pela primeira vez neste levantamento, e por
isso no foram apresentados os comparativos de evoluo. Todavia, nesta primeira vez em que o
assunto foi abordado, revelou-se que os dados so extremamente tmidos, demonstrando um baixo
nvel de maturidade do processo de gesto de riscos de TI. Apenas 38% das organizaes identificam
os riscos de TI dos processos crticos do negcio, sendo que somente 21% das organizaes executam
o processo de gesto de riscos (9% parcialmente, e 12% integralmente). Os grficos constantes da
figura 21 do relatrio revelam que esse tema necessita de maior ateno por parte das instituies
pesquisadas.
14. Em que pese isso, houve significativa evoluo das prticas relativas s polticas de
segurana de informao, com adoo parcial ou integral de 68% contra 44% em 2012. O comit de
segurana da informao passou a estar presente em 62% das organizaes, ante 46% no levantamento
53
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
anterior. Do mesmo modo, a poltica de controle de acesso se intensificou, sendo adotada em 52% das
organizaes em algum nvel, contra 26% das organizaes em 2012. Porm, continuou inalterado e
abaixo de 50% o quadro relativo designao formal do gestor de segurana. Logo, esses nmeros
revelam evoluo, mas tambm indicam distanciamento da situao ideal esperada, vez que a no
adoo integral dessas prticas expe as organizaes a riscos diversos, como indisponibilidade dos
servios, perda de integridade, e riscos relativos proteo das informaes.
15. Digno de nota ainda que apenas metade das instituies possuem portflios de projetos de
TI, sendo que apenas 58% responderam afirmativamente questo sobre a execuo de um processo
de gerenciamento de TI, seja parcial ou integralmente (vide a figura 24 do relatrio).
16. J em relao s prticas relativas contratao dos servios de TI, nota-se, na pesquisa,
um avano significativo na maioria das prticas avaliadas, certamente como resultado dos processos
indutivos e normativos erigidos de atuaes deste Tribunal, da Secretaria de Logstica e Tecnologia da
Informao do Ministrio do Planejamento, Oramento e Gesto, e do Conselho de Nacional de Justia
sobre o tema. Assim, verifica-se que 88% das organizaes afirmam realizarem, parcial ou
integralmente, estudos tcnicos preliminares (eram 72% em 2012); e 75% das organizaes declararam
que estabelecem mtricas objetivas de mensurao dos resultados da contratao. O pagamento
contratual em funo da mensurao objetiva dos resultados se situa em patamar da ordem de 90%
segundo os declarantes.
17. Como bem observado pela Sefti, no entanto, considerando que as prticas avaliadas
derivam da legislao aplicvel sobre o tema, sendo de cumprimento obrigatrio para a maioria
absoluta das organizaes participantes, o resultado revela que parcela das organizaes pblicas pode
estar incorrendo em irregularidades quando da realizao de suas contrataes de TI. Surge a,
portanto, risco passvel das aes de controle por este Tribunal, a ser explorado no planejamento das
aes da Sefti para o prximo ano.
18. Por fim, ainda acerca do perfil de Governana de TI, dados levantados sobre a dimenso
resultados, que compreende o desempenho da organizao na gesto e uso da TI, buscaram
apresentar a situao da capacidade da organizao em definir e alcanar os objetivos de TI, em gerir
os projetos de TI, em prover servios que sustentam os processos organizacionais e em oferecer
servios ao cidado/cliente via internet.
19. Segundo o declarado, 82% das organizaes medem o cumprimento das metas de TI,
sendo que apenas 6% conseguem atingir 100% de cumprimento. No foi objeto do levantamento,
entretanto, o grau de cumprimento das instituies pesquisadas, mas apenas objetivamente se
cumpriram ou no cumpriram as metas na integralidade. Verifica-se, ainda, que 88% das organizaes
prestam algum tipo de servio por meio da internet, contra 49% em 2012, demonstrando a evoluo
desse meio de prestao de servios aos cidados.
20. Os nmeros, presentes no levantamento, contriburam para que a Sefti efetuasse o clculo
do iGovTI, ndice o resultado da consolidao das respostas das organizaes pblicas ao
questionrio de Governana de TI elaborado pela secretaria por meio de uma frmula, cujo resultado
um valor variando entre 0 e 1. Neste levantamento houve pequena alterao na frmula de clculo,
haja vista as alteraes introduzidas no questionrio, mantendo-se, todavia, a sua estrutura.
21. O cenrio revelado pelo iGovTI2014 demonstra, a meu ver, que h necessidade da
continuidade das aes do TCU no sentido de induzir a melhoria da governana de TI na APF, e,
sobretudo, dos levantamentos e avaliaes de governana de TI, os quais j fazem parte do processo de
trabalho institudo na Sefti, e que permitem verificar a evoluo da situao ao longo de um perodo, a
fim de direcionar as aes posteriores. Com efeito, observa-se que 22% das organizaes apresentam
iGovTI2014 < 0,30, indicando nvel muito baixo de adeso s prticas de governana e de gesto. No
nvel bsico (0,30 a 0,49), encontram-se o maior nmero, considerada a faixa isoladamente, pois 39%
das instituies a se enquadram. Nesse nvel, segundo a Sefti, se apresentam aquelas com baixas
condies de governar a TI de forma a produzir valor para a organizao. O nvel intermedirio
(0,50 a 0,69) e o nvel aprimorado (0,70 a 1,00), representaram, juntos, outros 39% das instituies.
54
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
22. No restam dvidas da importncia deste e dos demais trabalhos que vm este Tribunal
realizando, no sentido de, com suas aes de controle, induzir e fomentar a melhoria da gesto e da
Governana de TI, de forma a contribuir para o aprimoramento da Administrao Federal nesse
quesito.
23. Nessa linha, so pertinentes as propostas da Sefti no sentido de considerar os resultados
deste levantamento no planejamento de suas aes de controle e de encaminhar s organizaes
participantes deste levantamento, cpia da avaliao individualizada de governana e gesto de TI, a
fim de que possam tomar conhecimento e atuar e prol da evoluo contnua da adoo das prticas
recomendadas e determinadas nas normas, em leis, regulamentos, normas tcnicas, modelos
internacionais de boas prticas e em acrdos desta Corte.
24. Ao finalizar, parabenizo a equipe da Secretaria de Fiscalizao de Tecnologia da
Informao por este abrangente levantamento e a todos rgos e entidades que dele participaram com
o esprito pblico que deve nortear aqueles que servem nos rgos e entidades da Administrao
Pblica Federal. Louvo mais intensamente os gestores pblicos de TI que, com seus esforos,
promoveram, nestes anos, significativos avanos na Governana Pblica de TI. Tenho convico de
que este trabalho rduo, desenvolvido muitas vezes de maneira annima, com poucos recursos e muita
determinao, de grande valia para a Administrao e para a sociedade brasileira. Sendo assim,
acolho in totum suas proposies, na expectativa por novas evolues a partir da divulgao dos dados
coletados neste levantamento.
Ante o exposto, acolhendo o parecer da unidade tcnica, manifesto-me por que o Tribunal
aprove o acrdo que ora submeto deliberao deste Colegiado.
TCU, Sala das Sesses Ministro Luciano Brando Alves de Souza, em 12 de novembro de 2014.
1. Processo TC 003.732/2014-2.
2. Grupo I Classe de Assunto: V Relatrio de Levantamento.
3. Interessado: Tribunal de Contas da Unio.
4. rgo/Entidade: Ministrio do Planejamento, Oramento e Gesto (vinculador).
5. Relator: Ministro-Substituto Augusto Sherman Cavalcanti.
6. Representante do Ministrio Pblico: no atuou.
7. Unidade Tcnica: Secretaria de Fiscalizao de Tecnologia da Informao (SEFTI).
8. Advogado constitudo nos autos: no h.
9. Acrdo:
VISTOS, relatados e discutidos estes autos de levantamento realizado com o objetivo de coletar
informaes sobre a situao da governana de Tecnologia da Informao na Administrao Pblica
Federal, atualizando o panorama traado em 2012, materializado pelo Acrdo 2.585/2012-TCU-
Plenrio, e em atendimento ao disposto no subitem 9.4.3 do Acrdo 2.308/2010 Plenrio,
ACORDAM os Ministros do Tribunal de Contas da Unio, reunidos em sesso de Plenrio, ante
as razes expostas pelo Relator, e com fundamento nos arts. 1, inciso II, e 43 da Lei 8.443/1992 c/c os
arts. 238, 241, e 250, do Regimento Interno/TCU, em:
55
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
56
TRIBUNAL DE CONTAS DA UNIO TC 003.732/2014-2
Fui presente:
(Assinado Eletronicamente)
LUCAS ROCHA FURTADO
Procurador-Geral, em exerccio
57