Levantamento

da Governança de TI na
Administração Pública
Federal

André Luiz Furtado Pacheco, CISA

Brasília – novembro de 2008

Sumário

1. Contextualização
2. Auditoria de Governança de TI
3. Levantamento acerca da Governança de TI
4. Critérios Utilizados
5. Principais Achados
6. Ações Previstas

2
1. Contextualização
Negócio da Sefti: Controle externo da
governança de tecnologia da informação
na Administração Pública Federal.
Materialidade dos Gastos com TI: a União
gastou cerca de R$ 6 bilhões em 2006
(fonte: Siafi e Dest/MP).
Ausência de informação: não havia
informação consolidada acerca da
governança de TI na Administração Pública
Federal
2. Auditoria de Governança de TI

Cobit 4.1 (Control Objectives for Information

and related Technology)
Monitorar e Avaliar
Todos os processos de TI precisam ter sua
qualidade regularmente avaliada e ter sua
conformidade com os controles especificados
verificada.

4
2.1 Foco do Levantamento

Monitorar e Avaliar
 ME1 - Monitorar e avaliar o desempenho da TI
 ME2 - Monitorar e avaliar os controles internos
 ME3 - Assegurar conformidade às normas
 ME4 - Prover governança de TI

5
2.2 Cobit 4.1 - ME3 - Assegurar
Aderência às Normas
Supervisão regulatória eficaz requer o
estabelecimento de um processo de revisão
independente para assegurar conformidade com
leis e normas. Este processo inclui a definição de
um grupo de auditoria independente, ética e padrões
profissionais, planejamento, desempenho do
trabalho da auditoria, relatório e acompanhamento
de atividades da auditoria. O propósito deste
processo é fornecer garantia positiva relacionada à
conformidade da TI com leis e normas.

6
2.3 Governança Corporativa e de TI

COSO

COBIT

ISO 27002
ISO 9000
O quê ITIL Como

Escopo

7
2.4 Objetivos da Governança de TI
 assegurar que as ações de TI estejam
alinhadas com o negócio da organização,
agregando-lhe valor;
 medir o desempenho da área de TI, alocar
propriamente os recursos e mitigar os riscos
inerentes;
 gerenciar e controlar as iniciativas de TI nas
organizações para garantir o retorno de
investimentos e a adoção de melhorias nos
processos organizacionais

8
2.5 Responsabilidade sobre a
Governança de TI

Alta administração das organizações

9
3. Levantamento Governança de TI
Levantar informações para elaboração de mapa
com a situação da Governança de TI na
Administração Pública Federal com vistas a
subsidiar o planejamento das fiscalizações da Sefti
Verificar onde a situação da Governança de TI
está mais crítica
Identificar as áreas onde o TCU pode atuar como
indutor do processo de aperfeiçoamento da
Governança de TI
Identificar os principais sistemas e bases de
dados da Administração Pública Federal

10
3.1 Etapas do levantamento
 Elaboração de questionário (39 questões)
 Identificação do público alvo
(255 órgãos/entidades da APF)
 Identificação dos responsáveis pela resposta
 Utilização de software para coleta das respostas
 Resposta à pesquisa (respostas declarativas,
com anexação de evidências)
 Suporte ao processo de resposta dos questionários
 Encerramento da pesquisa
 Avaliação dos dados coletados

11
3.2 Questionário
Composto de 39 questões nas áreas de:
 Planejamento Estratégico e PETI
 Estrutura de Pessoal de TI dos Órgãos/Entidades
 Segurança da Informação
 Desenvolvimento de Sistemas
 Gestão dos Acordos de Níveis de Serviço (SLA)
 Processo de Contratação de Bens e Serviços de TI
 Gestão dos Contratos de TI
 Controle de Gastos de TI
 Realização de Auditorias de TI pelos Órgãos/Entidades

12
4. Critérios Utilizados
Constituição Federal
Legislação Brasileira
Jurisprudência do TCU
NBR ISO/IEC 27002 (à época 17799) –
Segurança da Informação
NBR ISO/IEC 15999-1 – Gestão de
Continuidade de Negócios
Cobit 4.1 (Control Objectives for Information
and related Technology) – Governança de TI

13
5. Principais Achados
A partir dos dados coletados, observou-se que:
Situação da governança de TI na APF é
bastante heterogênea;
A estrutura de pessoal de TI é bastante
diversa e está atrelada à natureza jurídica da
organização;
Situação da governança de TI está mais
crítica no que diz respeito ao tratamento e à
segurança da informação.

14
5.1 Planejamento Estratégico
Institucional e de TI
47 % Ausência de planejamento estratégico
institucional em vigor (PO1.2 e item 9.3.9 do Acórdão
nº 1.558/2003-TCU-Plenário)
59 % Ausência de planejamento estratégico de
TI em vigor (PO1.4 e item 9.3.9 do Acórdão nº
1.558/2003-TCU-Plenário)
67 % Ausência de comitê diretivo sobre ações e
investimentos em TI (PO4.3)

15
5.2 Relação PEI x PETI
Planejamento Estratégico Institucional

Sim Não
47%

53%

19% 81% 60%

40%

Planejamento Estratégico de TI

16
5.3 Estrutura de Pessoal de TI
Quantidade reduzida de servidores na área de TI
– 29 % menos de 1/3 (PO7.5 e Acórdão nº 140/2005-
TCU-Plenário)
63 % Ausência de formação específica em TI
(PO7.2 e Acórdão nº 140/2005-TCU-Plenário)
60 % Inobservância das competências
necessárias para funções comissionadas (Art. 3o,
incisos VI e VII do Decreto no 5.707, de 23.02.2006)
57 % Ausência de carreira específica para a área
de TI (PO7.1)

17
5.4 Segurança da Informação
64 % Ausência de política de segurança da
informação em vigor (NBR item 5.1 e DS5.2)
88 % Ausência de plano de continuidade de
negócios em vigor (NBR itens 8.6 e 14.1.3 e DS4)
80 % Ausência de classificação das informações
(NBR item 7.2 e PO2.3)
48 % Ausência de procedimentos de controle de
acesso em vigor (NBR item 11.1.1, DS5.3, DS5.4,
DS12.2 e DS12.3)

18
Segurança da Informação (cont.)
64 % Ausência de área específica para lidar com
segurança da informação (NBR item 6.1 e DS5.1)
76 % Ausência de área específica para gerência
de incidentes (NBR item 13.2, DS5.5 e DS5.6)
88 % Ausência de gestão de mudanças (NBR itens
10.1.2 e 12.5.1 e AI6)
84 % Ausência de gestão de capacidade e
compatibilidade das soluções de TI (NBR item
10.3.1, PO3.4 e DS3)
75 % Ausência de análise de riscos na área de TI
(NBR item 4.1 e PO9.4)

19
Deficiências na segurança da informação

90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
) ) ) ) ) ) ) ) )
8 % % 4 % % % % 4 % 4 % %
(8 8 0 6 5 (6 6 8
N s (8 e (8 (8 (7 I (7 I I( (4
o s S S o
PC n ça idad açã
e nte
d e T a ra P e ss
u da pac o rm c id o s ca p e ac
f n c l
d em ec
a
a in
d e i e ris ecí fi n tro
d d co
s t ão t ão ão n c ia
is e d e sp d .
ge ge
s
i c aç erê nál r ea o c e
si f g a á pr
as
cl 20
5.5 Desenvolvimento de Sistemas

51 % Não-adoção de metodologia de

desenvolvimento de sistemas (AI2.7)

21
5.6 Gestão de Acordos de Níveis
de Serviço (SLA)

89 % Ausência de gestão de acordos de níveis

de serviços prestados internamente (DS1)
74 % Ausência de gestão de acordos de níveis
de serviços contratados externamente (DS1)

22
5.7 Processo de Contratação de
Bens e Serviços de TI
46 % Ausência de processo formal de
trabalho para contratações de TI (AI5.1)
47 % Ausência de análise de custo/benefício
da solução de TI contratada (AI1.3 e AI1.4)
40 % Ausência de explicitação dos benefícios
nas contratações de TI (AI1.3, AI1.4, item 9.3.11 do
Acórdão 1.558/2003-TCU-Plenário e item 9.1.1 do
Acórdão 2.094/2004-TCU-Plenário)
50 % Não-exigência de demonstrativo de
formação de preço antes da adjudicação
(Lei 8.666/1993)
23
5.8 Processo de Gestão de
Contratos de TI
55 % Ausência de processo formal de trabalho
para gestão de contratos de TI (AI5.1 e Capítulo III
da Lei 8.666/1993)
65 % Não-realização de reuniões periódicas
para avaliar o andamento dos contratos de TI
(AI5.2, DS2.2, DS2.3, DS2.4 e art. 67 da Lei 8.666/1993)
47 % Não-definição prévia de itens para
atestação técnica das faturas de contratos de TI
(DS2.4)

24
Processo de Gestão de
Contratos de TI (cont.)

45 % Monitoração administrativa dos

contratos de TI feita pela área de TI (DS2.2 e
arts. 29 e 55 da Lei 8.666/1993)
57 % Não-transferência de conhecimento
relativo aos produtos e serviços terceirizados
para os servidores dos órgãos/entidades (AI4.4)

25
5.9 Processo Orçamentário de TI

39 % Não-consideração das ações

planejadas para o próximo ano quando da
solicitação de orçamento para a área de TI
(PO5.3)
51 % Não-alocação dos recursos previstos
no orçamento às ações constantes do
planejamento de TI no início do ano (PO5.3)

26
5.10 Auditoria de TI

60 % Inexecução de auditoria de TI pelos

órgãos/entidades nos últimos cinco anos (ME2,
NBR itens 6.1.8 e 15.2)
81 % Inexistência de equipe própria para
realizar auditoria de TI (ME2 e NBR item 15.2)

27
5.11 Acórdão 1603/2008 - Plenário
Recomendações:
 CNJ
 CNMP
 Senado Federal
 Câmara dos Deputados
 TCU
 MP (especialmente SLTI)
 GSI/PR
 CGU

28
6. Ações Previstas
 Monitorar ações em prol da Governança de TI
 Realização de Seminários para discussão de
assuntos relativos à Governança de TI
 Execução de fiscalizações que permitam a
consolidação da jurisprudência do Tribunal em
Governança de TI
 Elaboração de cartilha de boas práticas em
Governança de TI
 Acompanhamento permanente da evolução da
Governança de TI

29
 Obrigado

Equipe do Levantamento:
André Luiz Furtado Pacheco
Luisa Helena Santos Franco

Supervisão:
Cláudia Augusto Dias

sefti@tcu.gov.br
(61) 3316-5371
www.tcu.gov.br/fiscalizacaoti

30
www.tcu.gov.br

Valores

Ética
Justiça
Efetividade
Independência
Profissionalismo

31