Secretaria de Fiscalização de Tecnologia da Informação

SEFTI

Brasília, novembro 2012

Cláudio Souza Castello Branco, CGAP, CIA1

Comissão de Fiscalização Financeira e Controle da Câmara dos Deputados

Agenda

• Sobre a Sefti• Forma de atuação• O que já fizemos• Trabalhos mais relevantes• Resultados alcançados

2

Sobre a Sefti

3

Criação da Sefti

• Criada em agosto de 2006 (Resolução TCU 193/2006)

“A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal.”

4

NegócioControle externo da governança de tecnologia da informação

na Administração Pública Federal

MissãoAssegurar que a tecnologia da informação agregue valor ao

negócio da Administração Pública Federal em benefício da sociedade

VisãoSer unidade de excelência no controle e no aperfeiçoamento da governança de tecnologia da informação

5

Áreas de atuação

•Governança •Programas e políticas•Sistemas•Dados•Segurança•Infra-estrutura•Contratações

Fiscalização operacional e/ou

conformidade

6

26 auditores e 2 técnicos

6 Mestres 8 MBA

11 CISA 6 outras

certificações

Estrutura da Secretaria

DireitoComputaçãoEngenharia

Sefti(6 anos)

03 diretorias

02 assessorias

01 serviço de administração

Competência Profissional• Formação em áreas de tecnologia

– Ciência da Computação, Engenharia e afins

• Certificações– 11 auditores CISA (Certified Information Systems Auditor)– 2 auditores CGEIT (Certified in the Governance of Enterprise)– 2 auditores CGAP (Certified Government Auditor Professional)– 1 auditor CISSP (Certified Information Systems Security

Professional)– 1 auditor CIA (Certified Internal Auditor)

• Mestrados – 6 servidores• MBA – 8 servidores

8

Forma de atuação

9

MIS

SÃO

Desenvolver competências gerenciais e profissionais

Estruturar a gestão do conhecimento organizacional

Desenvolver cultura de inovação

Modernizar e integrar as práticas de gestão

de pessoas

Fortalecer cultura orientada a resultados

Ser reconhecido como instituição de excelência no controle e no aperfeiçoamento da Administração

Pública

Atuar em cooperação com a Administração Pública e com a rede

de controle

Aprimorar o relacionamento com o Congresso Nacional

Parcerias

Intensificar a comunicação com a

sociedade

Induzir a administração

pública a divulgar informações de sua

gestão

Transparência

Facilitar a atuação do controle social

Promover a melhoria da governança no

TCU

Assegurar adequado suporte logístico às

necessidades do TCU

Assegurar recursos orçamentários para

modernização do TCU

Atuar de forma seletiva e sistêmica em áreas de risco e

relevância

Assegurar razoabilidade no

tempo de apreciação dos processos

Intensificar ações que promovam a melhoria da gestão de riscos e

de controles da Administração Pública

Aprimorar as ações de controle voltadas à

melhoria do desempenho da

Administração Pública

Governança e desempenho

Tempestividade e seletividade

MAPA ESTRATÉGICO

Otimizar o uso de TI na gestão do TCU

Intensificar e aprimorar o uso de TI nas ações de controle

Intensificar ações de controle para combate ao

desperdício de recursos públicos

Contribuir para melhoria da gestão e do

desempenho da Administração Pública

Contribuir para a transparência da

Administração Pública

Condenar efetiva e tempestivamente os

responsáveis por irregularidades e desvios

Coibir a ocorrência de fraudes e desvios de

recursos

Tribunal de Contas da União

Controlar a Administração Pública para promover seu aperfeiçoamento em benefício da sociedade

APRE

ND

IZA

DO

E

CON

HEC

IMEN

TOPR

OCE

SSO

S IN

TERN

OS

RESU

LTAD

OS

VISÃ

OO

RÇA

MEN

TO E

LO

GÍS

TICA

PRO

CESS

OS

INTE

RNO

SRE

SULT

ADO

S

Parcerias

Induzir a administração

pública a divulgar informações de sua

gestão

Transparência

Tempestividade e seletividade

MAPA ESTRATÉGICO

Intensificar ações que promovam a melhoria da gestão de riscos e

de controles da Administração Pública

Aprimorar as ações de controle voltadas

à melhoria do desempenho da Administração

Pública

Governança e desempenho

Intensificar ações de controle para

combate ao desperdício de

recursos públicos

Tribunal de Contas da UniãoPR

OCE

SSO

S IN

TERN

OS

PRO

CESS

OS

INTE

RNO

S

Atores relevantes

• Governante (alta administração)• Gestores• Auditoria interna• Controle Externo

Sociedade(principal)

ControleExterno

Dirig. máx.(Agente)

Gestorsubordinado

Gestorsubordinado

Gestorsubordinado

Gestorsubordinado

AuditoriaInterna

Ch. Poder(Agente)

Atores relevantes em Governança

14

Alta Administração

• A responsabilidade por aspectos específicos de recursos organizacionais pode ser delegada para os gerentes da organização. Entretanto, a prestação de contas (accountability) pelo uso desses recursos de forma efetiva, eficiente e aceitável na organização permanece com a alta administração e não pode ser delegada. (adaptado da NBR ISO/IEC 38.500)

Gestores

• “O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização.” (IIA, IPPF, 2120-1)

15

Auditores x gestores

• Auditores são parte do modelo governamental de controle interno, mas eles não são responsáveis pela implementação dos procedimentos de controle numa organização. Este trabalho é específico do gestor. (INTOSAI -Padrões de Controle Interno, tradução livre)

16

17

Auditoria Interna

• A auditoria interna é uma atividade independente e objetiva que presta serviços de avaliação e de consultoria com o objetivo de adicionar valor e melhorar as operações de uma organização. A auditoria auxilia a organização a alcançar seus objetivos através de uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa. (IIA IPPF, tradução livre)

18

Auditoria Interna

• A atividade de auditoria interna tem que avaliar a adequação e eficácia dos controles em resposta aos riscos relativos à governança da organização, operações e sistemas de informação, quanto à:– confiabilidade e integridade da informação financeira e

operacional;– eficiência e eficácia das operações;– salvaguarda dos ativos;– conformidade com as leis, regulamentos e contratos. (IIA IPPF,

Padrão 2130.A1, tradução livre)

Controle Externo

• À semelhança da auditoria interna, a função das Entidades de Fiscalização Superiores é avaliar a eficácia dos processos de governança, gestão e controles dos seus jurisdicionados. (INTOSAI ISSAI 9100 Governança)

Órgãos Governantes Superiores(OGS)

“Têm a responsabilidade por normatizar e fiscalizar o uso e a

gestão de TI em seus respectivos segmentos da

Administração Pública Federal” (Voto do Acórdão 1.145/2011-TCU-Plenário)

• AGU• CGU• CNJ• CNMP• Dest/MP• Enap/MP• GSI/PR• SLTI/MP• SOF/MP• STN/MF• Segep/MP

Sociedade

APF

Ações de controle

Situação de GovTI

Recomendações

Boas práticas

OGSTCU

Critérios de auditoria

Normatização, orientações, fiscalizações

(1)

(2)(4)

(6)

(3)

(5)

Mais e melhores serviços

Ratifica legitmidade

(7) (8)

21

Induzindo a mudança

Governança

Implementação/Aprimoramento do modelo de governança

Desgovernança

Alta Administração

(responsabilidade)

22

23

O que já fizemos

23

O que já fizemos (2007/2012)• Processos (223) • Fiscalizações (113)• Palestras ministradas (126)• Treinamentos ministrados (31)• Orientações Formais aos Gestores

– Cartilha de Boas Práticas em Segurança da Informação - 4ª edição

– Base de Normas e Jurisprudência de TI www.tcu.gov.br/fiscalizacaoti

24

O que já fizemos (2007-2012)• Notas Técnicas

1 – Termo de Referência 2 – Uso do Pregão3 – Credenciamento de licitantes pelos fabricantes4 – Amostra5 – Certificação para qualidade de processo de

software6 – Níveis de Serviço em Contratos de TI

Divulgação

26

28

Trabalhos mais relevantes

28

Trabalhos mais relevantesLevantamentos

29

30

Diagnóstico da APFLevantamento – GovTI 2012

ASPECTOS QUE DEMANDAM ATENÇÃO

45%

37%

31%

24%

23%

18%

17%

17%

16%

10%

Possui política de segurança da informação

Estabeleceu indicadores de desempenho de TI

Possui processo formalizado de gestão de contratos de TI

Inventaria os ativos de informação

Acompanha os indicadores de benefícios dos principais sistemas

Possui processo formal de planejamento das contratações de TI

Realiza gestão da continuidade dos serviços

Possui processo de classificação da informação

Realiza gestão de incidentes de seg. da informação

Realiza análise de risco

85%

81%

78%

78%

Realiza planejamento estratégico institucional

Utiliza os benefícios reais como critério para prorrogar o contrato

Realiza planejamento estratégico de TI

Designou Comitê de TI

Diagnóstico da APFLevantamento – GovTI 2012

ASPECTOS POSITIVOS

32

Diagnóstico da APF Levantamento – GovTI 2012

PRINCIPAIS EVOLUÇÕES 2007 – 2012

43%

53%

41%

32%

78%

80%

67%

50%

43%

47%

78%

85%

78%

78%

54%

54%

Possuem Carreira de TI

Planejamento Estratégico Institucional

Planejamento Estratégico de TI

Alta Administração designou Comitê de TI

Estabeleceu objetivos de desempenho de TI

Alta Administração responsabiliza-se pelas políticas de TI

2012 2010 2007

33

INSTITUIÇÕES x ESTÁGIOS DO iGovTI

Diagnóstico da APF Levantamento – GovTI

57%

34%

38%

50%

5%

16%

Perfil GovTI 2010

Perfil GovTI 2012

60 a 100%(aprimorado) 40 a 59%(intermediário) 0 a 39%(inicial)

34

Levantamento – GovTI 2012

R$ 100.000,00

R$ 1.000.000,00

R$ 10.000.000,00

R$ 100.000.000,00

R$ 1.000.000.000,00

R$ 10.000.000.000,00

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Orça

mento

TI

2012

iGovTI2012

Governança de TI x Orçamento de TI

35

Levantamento – GovTI 2012

R$ 100.000,00

R$ 1.000.000,00

R$ 10.000.000,00

R$ 100.000.000,00

R$ 1.000.000.000,00

R$ 10.000.000.000,00

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Orça

mento

TI

2012

iGovTI2012

Governança de TI x Orçamento de TI x Sistemas Críticos

Possui sistema críticoNão possui sistema crítico

Visão dos dirigentes máximos:51%: o negócio para em até uma semana

Trabalhos mais relevantesLevantamentos

36

Trabalhos mais relevantesLevantamentos (cont.)

37

ObservatórioSefti

Trabalhos mais relevantesAuditorias

38

39

Trabalhos mais relevantesAuditorias

Trabalhos mais relevantesOrientação/Divulgação

Manual de Auditoria de

Tecnologia da Informação

40

• Siconv• Auditoria para avaliar a economia, eficiência e

eficácia das empresas públicas prestadoras de serviços de TI (Acórdão 906/2009-P)

• Avaliação mensurável dos resultados da aplicação das boas práticas

• Avaliação das políticas públicas de TI

Trabalhos mais relevantesem andamento ou planejados

Resultados

91

Benefícios das ações de controle

• Financeiros: R$ 7,5 bilhões (2007-2012)– Relação custo/benefício: R$ 266 para R$ 1– Débitos, multas, economias e ganhos

• Benefícios não financeiros– melhorias na organização administrativa, nos

controles internos, na gestão de riscos, na governança e na forma de atuação dos órgãos fiscalizados;

– fornecimento de subsídios para a atuação do Ministério Público e do Congresso Nacional;

– recomendações para aprimoramento de normas.

92

Alguns Resultados• Judiciário

CNJ–Resolução 70, de 18.03.2009 –dispõe sobre o Planejamento e a Gestão Estratégica no âmbito do Poder Judiciário

CNJ–Resolução 99, de 24.11.2009 –dispõe sobre o Planejamento Estratégico de TI no âmbito do Judiciário

Resolução-CNMP 70/2011 – Criação do Comitê Estratégico de TI

• Executivo– GSI/PR–IN GSI/PR 01, de 13.06.2008 – disciplina a Gestão

de Segurança da Informação na APF– GSI/PR–7 Notas Complementares (entre outubro de 2008 e maio de 2010)

93

Alguns Resultados• Executivo MP–IN/SLTI 04/2008, de 19.05.2008 –dispõe sobre

processo de trabalho para contratações de TI MP–Portaria 63, de 27.03.2009 e Portaria nº 107 de

04.03.2010 –autorizam a realização de concurso público para provimento e a contratação de 230 Analistas de TI

MP–Indução da previsão e execução das despesas de TI no OGU (Acórdão 371/2008 –Plenário)

94

Estímulo ao desenvolvimento do marco normativo para governança de TI

• Ac 1603/2008-P, 2471/2008-P, 1233/2012-P

• Critérios gerais de controle interno, gestão de risco e governança na administração pública – PLS 229/2009 e subsídio para elaboração de normativo

Resumo

• Sobre a Sefti• Forma de atuação• O que já fizemos• Trabalhos mais relevantes• Resultados alcançados

96

Induzindo a mudança

Governança de TI

Implementação/Aprimoramento do modelo de governança

Desgovernança de TI

Alta Administração

(responsabilidade)

97

Avaliação do gestor (TMS 6/2010)

• É comum no Serviço Público a expressão "Sofremos fiscalização do TCU", após essa segunda auditoria, a primeira fora realizada no ano de 2007, posso dizer que a expressão contém imprecisão grande.

Avaliação do gestor (TMS 6/2010)

• A Divisão de Informática do Itamaraty não "sofreu" fiscalização, pois cada uma das observações serviu para o aprimoramento de nossos processos, sobretudo os de contratação, que já passaram por modificações extensas que culminarão em Pregão Eletrônico a ser realizado nesta segunda-feira 14 de fevereiro.

Avaliação do gestor (TMS 6/2010)

• Dessa maneira, a palavra "sofreu" que implica dizer que houve sofrimento da parte auditada, não é a mais adequada para descrever o processo ao qual nos submetemos. Ao contrário, as diversas reuniões com a equipe de auditores proporcionou ao Ministério momentos de aprendizado e aprimoramento de práticas únicos.

“A TI é o coração da Administração Pública, podendo fazê-la avançar ou

parar ”

Ministro Augusto Sherman

101

102

Grato pela atenção.

Missão da Sefti: “Assegurar que a tecnologia da informação agregue valor ao negócio da Administração

Pública em benefício da sociedade.”

http://www.tcu.gov.br/fiscalizacaotisefti@tcu.gov.br