04_Levantamento_Governanca_TI_Andre_Luiz

8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

1/31

Levantamento

da Governana de TI na

Administrao Pblica

Federal

Andr Luiz Furtado Pacheco, CISA

Braslia novembro de 2008


2/31

2

Sumrio

1. Contextualizao2. Auditoria de Governana de TI

3. Levantamento acerca da Governana de TI4. Critrios Utilizados5. Principais Achados6. Aes Previstas


3/31

1. Contextualizao

Negcio da Sefti: Controle externo dagovernana de tecnologia da informaona Administrao Pblica Federal.

Materialidade dos Gastos com TI: a Uniogastou cerca de R$ 6 bilhes em 2006(fonte: Siafi e Dest/MP).

Ausncia de informao: no haviainformao consolidada acerca dagovernana de TI na Administrao PblicaFederal


4/31

4

2. Auditoria de Governana de TI

Cobit 4.1 (Control Objectives for Informationand related Technology)

Monitorar e Avaliar

Todos os processos de TI precisam ter suaqualidade regularmente avaliada e ter suaconformidade com os controles especificadosverificada.


5/31

5

2.1 Foco do Levantamento

Monitorar e AvaliarME1 - Monitorar e avaliar o desempenho da TIME2 - Monitorar e avaliar os controles internos

ME3 - Assegurar conformidade s normasME4 - Prover governana de TI


6/31

6

2.2 Cobit 4.1 - ME3 - Assegurar

Aderncia s Normas

Superviso regulatria eficaz requer oestabelecimento de um processo de revisoindependente para assegurar conformidade com

leis e normas. Este processo inclui a definio deum grupo de auditoria independente, tica e padresprofissionais, planejamento, desempenho dotrabalho da auditoria, relatrio e acompanhamento

de atividades da auditoria. O propsito desteprocesso fornecer garantia positiva relacionada conformidade da TI com leis e normas.


7/317

COBIT

ISO 9000ISO 27002

ITIL

COSO

O qu Como

2.3 Governana Corporativa e de TI

Escopo


8/318

2.4 Objetivos da Governana de TI

assegurar que as aes de TI estejamalinhadas com o negcio da organizao,agregando-lhe valor;

medir o desempenho da rea de TI, alocar

propriamente os recursos e mitigar os riscosinerentes; gerenciar e controlar as iniciativas de TI nas

organizaes para garantir o retorno de

investimentos e a adoo de melhorias nosprocessos organizacionais


9/319

2.5 Responsabilidade sobre a

Governana de TI

Alta administrao das organizaes


10/3110

3. Levantamento Governana de TI

Levantar informaes para elaborao de mapa

com a situao da Governana de TI naAdministrao Pblica Federal com vistas asubsidiar o planejamento das fiscalizaes da Sefti

Verificar onde a situao da Governana de TI

est mais crticaIdentificar as reas onde o TCU pode atuar como

indutor do processo de aperfeioamento daGovernana de TI

Identificar os principais sistemas e bases dedados da Administrao Pblica Federal


11/3111

3.1 Etapas do levantamento

Elaborao de questionrio (39 questes)

Identificao do pblico alvo(255 rgos/entidades da APF)

Identificao dos responsveis pela resposta

Utilizao de software para coleta das respostasResposta pesquisa (respostas declarativas,

com anexao de evidncias)Suporte ao processo de resposta dos questionriosEncerramento da pesquisaAvaliao dos dados coletados


12/3112

3.2 Questionrio

Composto de 39 questes nas reas de:

Planejamento Estratgico e PETIEstrutura de Pessoal de TI dos rgos/EntidadesSegurana da InformaoDesenvolvimento de Sistemas

Gesto dos Acordos de Nveis de Servio (SLA)Processo de Contratao de Bens e Servios de TIGesto dos Contratos de TIControle de Gastos de TIRealizao de Auditorias de TI pelos rgos/Entidades


13/31

13

4. Critrios Utilizados

Constituio Federal

Legislao BrasileiraJurisprudncia do TCUNBR ISO/IEC 27002 ( poca 17799)

Segurana da InformaoNBR ISO/IEC 15999-1 Gesto de

Continuidade de Negcios

Cobit 4.1 (Control Objectives for Informationand related Technology) Governana de TI


14/31

14

5. Principais Achados

A partir dos dados coletados, observou-se que:Situao da governana de TI na APF

bastante heterognea;A estrutura de pessoal de TI bastante

diversa e est atrelada natureza jurdica daorganizao;

Situao da governana de TI est maiscrtica no que diz respeito ao tratamento e segurana da informao.


15/31

15

5.1 Planejamento Estratgico

Institucional e de TI

47 % Ausncia de planejamento estratgicoinstitucional em vigor (PO1.2 e item 9.3.9 do Acrdon 1.558/2003-TCU-Plenrio)

59 % Ausncia de planejamento estratgico deTI em vigor (PO1.4 e item 9.3.9 do Acrdo n1.558/2003-TCU-Plenrio)

67 % Ausncia de comit diretivo sobre aes e

investimentos em TI (PO4.3)


16/31

5.2 Relao PEI x PETI

16

Planejamento Estratgico Institucional

53%

47%Sim No

19% 81%

40%

60%

Planejamento Estratgico de TI


17/31

17

5.3 Estrutura de Pessoal de TI

Quantidade reduzida de servidores na rea de TI

29 % menos de 1/3 (PO7.5 e Acrdo n 140/2005-TCU-Plenrio)

63 % Ausncia de formao especfica em TI

(PO7.2 e Acrdo n 140/2005-TCU-Plenrio)60 % Inobservncia das competncias

necessrias para funes comissionadas (Art. 3o,incisos VI e VII do Decreto no 5.707, de 23.02.2006)

57 % Ausncia de carreira especfica para a reade TI (PO7.1)


18/31

18

5.4 Segurana da Informao

64 % Ausncia de poltica de segurana dainformao em vigor (NBR item 5.1 e DS5.2)

88 % Ausncia de plano de continuidade de

negcios em vigor (NBR itens 8.6 e 14.1.3 e DS4)80 % Ausncia de classificao das informaes(NBR item 7.2 e PO2.3)

48 % Ausncia de procedimentos de controle de

acesso em vigor (NBR item 11.1.1, DS5.3, DS5.4,DS12.2 e DS12.3)


19/31

19

Segurana da Informao (cont.)

64 % Ausncia de rea especfica para lidar com

segurana da informao (NBR item 6.1 e DS5.1)76 % Ausncia de rea especfica para gernciade incidentes (NBR item 13.2, DS5.5 e DS5.6)

88 % Ausncia de gesto de mudanas (NBR itens10.1.2 e 12.5.1 e AI6)

84 % Ausncia de gesto de capacidade ecompatibilidade das solues de TI (NBR item

10.3.1, PO3.4 e DS3)75 % Ausncia de anlise de riscos na rea de TI

(NBR item 4.1 e PO9.4)


20/31

20

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

PCN

(88%)

gest

odem

udan

as(

88%)

gest

odec

apac

idade

(84%)

classifica

od

ainfo

rma

o(80

%)

ger

ncia

dein

ciden

tes(7

6%)

an

lisede

risco

sdeT

I(75%

)

rea

espe

cfica

para

SI(64

%)

PSI(6

4%)

proc

ed.c

ontro

leace

sso(

48%)

Deficincias na segurana da informao


21/31


22/31

22

5.6 Gesto de Acordos de Nveis

de Servio (SLA)

89 % Ausncia de gesto de acordos de nveisde servios prestados internamente (DS1)

74 % Ausncia de gesto de acordos de nveisde servios contratados externamente (DS1)


23/31

23

5.7 Processo de Contratao de

Bens e Servios de TI

46 % Ausncia de processo formal detrabalho para contrataes de TI (AI5.1)47 % Ausncia de anlise de custo/benefcio

da soluo de TI contratada (AI1.3 e AI1.4)

40 % Ausncia de explicitao dos benefciosnas contrataes de TI (AI1.3, AI1.4, item 9.3.11 doAcrdo 1.558/2003-TCU-Plenrio e item 9.1.1 doAcrdo 2.094/2004-TCU-Plenrio)

50 % No-exigncia de demonstrativo deformao de preo antes da adjudicao

(Lei 8.666/1993)


24/31

24

5.8 Processo de Gesto de

Contratos de TI

55 % Ausncia de processo formal de trabalhopara gesto de contratos de TI (AI5.1 e Captulo IIIda Lei 8.666/1993)

65 % No-realizao de reunies peridicaspara avaliar o andamento dos contratos de TI(AI5.2, DS2.2, DS2.3, DS2.4 e art. 67 da Lei 8.666/1993)

47 % No-definio prvia de itens para

atestao tcnica das faturas de contratos de TI(DS2.4)


25/31

25

Processo de Gesto de

Contratos de TI (cont.)

45 % Monitorao administrativa doscontratos de TI feita pela rea de TI (DS2.2 earts. 29 e 55 da Lei 8.666/1993)

57 % No-transferncia de conhecimentorelativo aos produtos e servios terceirizadospara os servidores dos rgos/entidades (AI4.4)


26/31

26

5.9 Processo Oramentrio de TI

39 % No-considerao das aesplanejadas para o prximo ano quando dasolicitao de oramento para a rea de TI

(PO5.3)51 % No-alocao dos recursos previstos

no oramento s aes constantes do

planejamento de TI no incio do ano (PO5.3)


27/31

27

5.10 Auditoria de TI

60 % Inexecuo de auditoria de TI pelosrgos/entidades nos ltimos cinco anos (ME2,NBR itens 6.1.8 e 15.2)

81 % Inexistncia de equipe prpria pararealizar auditoria de TI (ME2 e NBR item 15.2)


28/31

28

5.11 Acrdo 1603/2008 - Plenrio

Recomendaes:CNJCNMPSenado Federal

Cmara dos DeputadosTCUMP (especialmente SLTI)GSI/PR

CGU


29/31

29

6. Aes Previstas

Monitorar aes em prol da Governana de TI

Realizao de Seminrios para discusso deassuntos relativos Governana de TI

Execuo de fiscalizaes que permitam aconsolidao da jurisprudncia do Tribunal emGovernana de TI

Elaborao de cartilha de boas prticas emGovernana de TI

Acompanhamento permanente da evoluo daGovernana de TI


30/31

30

Obrigado

Equipe do Levantamento:

Andr Luiz Furtado PachecoLuisa Helena Santos Franco

Superviso:

Cludia Augusto Dias

[email protected](61) 3316-5371

www.tcu.gov.br/fiscalizacaoti


31/31

31

www.tcu.gov.br

Valores

ticaJustia

EfetividadeIndependnciaProfissionalismo
http://www.tcu.gov.br/http://www.tcu.gov.br/

Documents

04_Levantamento_Governanca_TI_Andre_Luiz