04_Levantamento_Governanca_TI_Andre_Luiz

  • Upload
    fuvzy

  • View
    214

  • Download
    0

Embed Size (px)

Citation preview

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    1/31

    Levantamento

    da Governana de TI na

    Administrao Pblica

    Federal

    Andr Luiz Furtado Pacheco, CISA

    Braslia novembro de 2008

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    2/31

    2

    Sumrio

    1. Contextualizao2. Auditoria de Governana de TI

    3. Levantamento acerca da Governana de TI4. Critrios Utilizados5. Principais Achados6. Aes Previstas

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    3/31

    1. Contextualizao

    Negcio da Sefti: Controle externo dagovernana de tecnologia da informaona Administrao Pblica Federal.

    Materialidade dos Gastos com TI: a Uniogastou cerca de R$ 6 bilhes em 2006(fonte: Siafi e Dest/MP).

    Ausncia de informao: no haviainformao consolidada acerca dagovernana de TI na Administrao PblicaFederal

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    4/31

    4

    2. Auditoria de Governana de TI

    Cobit 4.1 (Control Objectives for Informationand related Technology)

    Monitorar e Avaliar

    Todos os processos de TI precisam ter suaqualidade regularmente avaliada e ter suaconformidade com os controles especificadosverificada.

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    5/31

    5

    2.1 Foco do Levantamento

    Monitorar e AvaliarME1 - Monitorar e avaliar o desempenho da TIME2 - Monitorar e avaliar os controles internos

    ME3 - Assegurar conformidade s normasME4 - Prover governana de TI

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    6/31

    6

    2.2 Cobit 4.1 - ME3 - Assegurar

    Aderncia s Normas

    Superviso regulatria eficaz requer oestabelecimento de um processo de revisoindependente para assegurar conformidade com

    leis e normas. Este processo inclui a definio deum grupo de auditoria independente, tica e padresprofissionais, planejamento, desempenho dotrabalho da auditoria, relatrio e acompanhamento

    de atividades da auditoria. O propsito desteprocesso fornecer garantia positiva relacionada conformidade da TI com leis e normas.

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    7/317

    COBIT

    ISO 9000ISO 27002

    ITIL

    COSO

    O qu Como

    2.3 Governana Corporativa e de TI

    Escopo

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    8/318

    2.4 Objetivos da Governana de TI

    assegurar que as aes de TI estejamalinhadas com o negcio da organizao,agregando-lhe valor;

    medir o desempenho da rea de TI, alocar

    propriamente os recursos e mitigar os riscosinerentes; gerenciar e controlar as iniciativas de TI nas

    organizaes para garantir o retorno de

    investimentos e a adoo de melhorias nosprocessos organizacionais

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    9/319

    2.5 Responsabilidade sobre a

    Governana de TI

    Alta administrao das organizaes

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    10/3110

    3. Levantamento Governana de TI

    Levantar informaes para elaborao de mapa

    com a situao da Governana de TI naAdministrao Pblica Federal com vistas asubsidiar o planejamento das fiscalizaes da Sefti

    Verificar onde a situao da Governana de TI

    est mais crticaIdentificar as reas onde o TCU pode atuar como

    indutor do processo de aperfeioamento daGovernana de TI

    Identificar os principais sistemas e bases dedados da Administrao Pblica Federal

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    11/3111

    3.1 Etapas do levantamento

    Elaborao de questionrio (39 questes)

    Identificao do pblico alvo(255 rgos/entidades da APF)

    Identificao dos responsveis pela resposta

    Utilizao de software para coleta das respostasResposta pesquisa (respostas declarativas,

    com anexao de evidncias)Suporte ao processo de resposta dos questionriosEncerramento da pesquisaAvaliao dos dados coletados

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    12/3112

    3.2 Questionrio

    Composto de 39 questes nas reas de:

    Planejamento Estratgico e PETIEstrutura de Pessoal de TI dos rgos/EntidadesSegurana da InformaoDesenvolvimento de Sistemas

    Gesto dos Acordos de Nveis de Servio (SLA)Processo de Contratao de Bens e Servios de TIGesto dos Contratos de TIControle de Gastos de TIRealizao de Auditorias de TI pelos rgos/Entidades

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    13/31

    13

    4. Critrios Utilizados

    Constituio Federal

    Legislao BrasileiraJurisprudncia do TCUNBR ISO/IEC 27002 ( poca 17799)

    Segurana da InformaoNBR ISO/IEC 15999-1 Gesto de

    Continuidade de Negcios

    Cobit 4.1 (Control Objectives for Informationand related Technology) Governana de TI

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    14/31

    14

    5. Principais Achados

    A partir dos dados coletados, observou-se que:Situao da governana de TI na APF

    bastante heterognea;A estrutura de pessoal de TI bastante

    diversa e est atrelada natureza jurdica daorganizao;

    Situao da governana de TI est maiscrtica no que diz respeito ao tratamento e segurana da informao.

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    15/31

    15

    5.1 Planejamento Estratgico

    Institucional e de TI

    47 % Ausncia de planejamento estratgicoinstitucional em vigor (PO1.2 e item 9.3.9 do Acrdon 1.558/2003-TCU-Plenrio)

    59 % Ausncia de planejamento estratgico deTI em vigor (PO1.4 e item 9.3.9 do Acrdo n1.558/2003-TCU-Plenrio)

    67 % Ausncia de comit diretivo sobre aes e

    investimentos em TI (PO4.3)

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    16/31

    5.2 Relao PEI x PETI

    16

    Planejamento Estratgico Institucional

    53%

    47%Sim No

    19% 81%

    40%

    60%

    Planejamento Estratgico de TI

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    17/31

    17

    5.3 Estrutura de Pessoal de TI

    Quantidade reduzida de servidores na rea de TI

    29 % menos de 1/3 (PO7.5 e Acrdo n 140/2005-TCU-Plenrio)

    63 % Ausncia de formao especfica em TI

    (PO7.2 e Acrdo n 140/2005-TCU-Plenrio)60 % Inobservncia das competncias

    necessrias para funes comissionadas (Art. 3o,incisos VI e VII do Decreto no 5.707, de 23.02.2006)

    57 % Ausncia de carreira especfica para a reade TI (PO7.1)

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    18/31

    18

    5.4 Segurana da Informao

    64 % Ausncia de poltica de segurana dainformao em vigor (NBR item 5.1 e DS5.2)

    88 % Ausncia de plano de continuidade de

    negcios em vigor (NBR itens 8.6 e 14.1.3 e DS4)80 % Ausncia de classificao das informaes(NBR item 7.2 e PO2.3)

    48 % Ausncia de procedimentos de controle de

    acesso em vigor (NBR item 11.1.1, DS5.3, DS5.4,DS12.2 e DS12.3)

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    19/31

    19

    Segurana da Informao (cont.)

    64 % Ausncia de rea especfica para lidar com

    segurana da informao (NBR item 6.1 e DS5.1)76 % Ausncia de rea especfica para gernciade incidentes (NBR item 13.2, DS5.5 e DS5.6)

    88 % Ausncia de gesto de mudanas (NBR itens10.1.2 e 12.5.1 e AI6)

    84 % Ausncia de gesto de capacidade ecompatibilidade das solues de TI (NBR item

    10.3.1, PO3.4 e DS3)75 % Ausncia de anlise de riscos na rea de TI

    (NBR item 4.1 e PO9.4)

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    20/31

    20

    0%

    10%

    20%

    30%

    40%

    50%

    60%

    70%

    80%

    90%

    PCN

    (88%)

    gest

    odem

    udan

    as(

    88%)

    gest

    odec

    apac

    idade

    (84%)

    classifica

    od

    ainfo

    rma

    o(80

    %)

    ger

    ncia

    dein

    ciden

    tes(7

    6%)

    an

    lisede

    risco

    sdeT

    I(75%

    )

    rea

    espe

    cfica

    para

    SI(64

    %)

    PSI(6

    4%)

    proc

    ed.c

    ontro

    leace

    sso(

    48%)

    Deficincias na segurana da informao

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    21/31

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    22/31

    22

    5.6 Gesto de Acordos de Nveis

    de Servio (SLA)

    89 % Ausncia de gesto de acordos de nveisde servios prestados internamente (DS1)

    74 % Ausncia de gesto de acordos de nveisde servios contratados externamente (DS1)

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    23/31

    23

    5.7 Processo de Contratao de

    Bens e Servios de TI

    46 % Ausncia de processo formal detrabalho para contrataes de TI (AI5.1)47 % Ausncia de anlise de custo/benefcio

    da soluo de TI contratada (AI1.3 e AI1.4)

    40 % Ausncia de explicitao dos benefciosnas contrataes de TI (AI1.3, AI1.4, item 9.3.11 doAcrdo 1.558/2003-TCU-Plenrio e item 9.1.1 doAcrdo 2.094/2004-TCU-Plenrio)

    50 % No-exigncia de demonstrativo deformao de preo antes da adjudicao

    (Lei 8.666/1993)

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    24/31

    24

    5.8 Processo de Gesto de

    Contratos de TI

    55 % Ausncia de processo formal de trabalhopara gesto de contratos de TI (AI5.1 e Captulo IIIda Lei 8.666/1993)

    65 % No-realizao de reunies peridicaspara avaliar o andamento dos contratos de TI(AI5.2, DS2.2, DS2.3, DS2.4 e art. 67 da Lei 8.666/1993)

    47 % No-definio prvia de itens para

    atestao tcnica das faturas de contratos de TI(DS2.4)

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    25/31

    25

    Processo de Gesto de

    Contratos de TI (cont.)

    45 % Monitorao administrativa doscontratos de TI feita pela rea de TI (DS2.2 earts. 29 e 55 da Lei 8.666/1993)

    57 % No-transferncia de conhecimentorelativo aos produtos e servios terceirizadospara os servidores dos rgos/entidades (AI4.4)

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    26/31

    26

    5.9 Processo Oramentrio de TI

    39 % No-considerao das aesplanejadas para o prximo ano quando dasolicitao de oramento para a rea de TI

    (PO5.3)51 % No-alocao dos recursos previstos

    no oramento s aes constantes do

    planejamento de TI no incio do ano (PO5.3)

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    27/31

    27

    5.10 Auditoria de TI

    60 % Inexecuo de auditoria de TI pelosrgos/entidades nos ltimos cinco anos (ME2,NBR itens 6.1.8 e 15.2)

    81 % Inexistncia de equipe prpria pararealizar auditoria de TI (ME2 e NBR item 15.2)

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    28/31

    28

    5.11 Acrdo 1603/2008 - Plenrio

    Recomendaes:CNJCNMPSenado Federal

    Cmara dos DeputadosTCUMP (especialmente SLTI)GSI/PR

    CGU

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    29/31

    29

    6. Aes Previstas

    Monitorar aes em prol da Governana de TI

    Realizao de Seminrios para discusso deassuntos relativos Governana de TI

    Execuo de fiscalizaes que permitam aconsolidao da jurisprudncia do Tribunal emGovernana de TI

    Elaborao de cartilha de boas prticas emGovernana de TI

    Acompanhamento permanente da evoluo daGovernana de TI

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    30/31

    30

    Obrigado

    Equipe do Levantamento:

    Andr Luiz Furtado PachecoLuisa Helena Santos Franco

    Superviso:

    Cludia Augusto Dias

    [email protected](61) 3316-5371

    www.tcu.gov.br/fiscalizacaoti

  • 8/7/2019 04_Levantamento_Governanca_TI_Andre_Luiz

    31/31

    31

    www.tcu.gov.br

    Valores

    ticaJustia

    EfetividadeIndependnciaProfissionalismo

    http://www.tcu.gov.br/http://www.tcu.gov.br/