Abordagem prtica de Governana

e Gesto de TI Viso de auditoria

Governana de TI
Wadson Sampaio Pereira
Coordenador de Auditoria de TI - STJ

Agenda

Organizao da CAUT;
Quebra de paradigma;
Cenrio encontrado;
Abordagem conceitual (vantagens e
desvantagens);
Abordagem pontual (vantagens e
desvantagens);
Auditoria baseadas em riscos;
Novos mecanismos.

Organizao da CAUT
Presidncia
do Tribunal

Secretaria de
Controle
Interno

Secretaria do
Tribunal

CAUD

CAUT

SAETI

Seo de
Auditoria
Especializada

COAD

SAGTI

Seo de
Auditoria de
Gesto de TI

COAP

Quebra de paradigma... A SOGRA!

Como o
auditado nos
via...

Como o
auditado
nos
recebia...
O que o auditado
gostaria de fazer
com a SCI...

Cenrio encontrado
Ausncia de Controles internos; (Quem so?
Onde vivem? Como se reproduzem)
Ausncia de PLANEJAMENTO

E assim vai...

O resultado?

Cenrio encontrado
Sndrome de Chic (Como foram implantados os
controles?)

Abordagem conceitual

Modelos/Normas para Gesto e Governana de TI

COBIT

Governana de TI

Qualidade

Planejamento

Contrataes

Projetos

Segurana

Aplicaes

Servios

ITIL
ISO 20000

ISO 9000
Six Sigma

Gesto de TI
CMMI
MPS.BR
ISO 15504

ISO 27002
ISO 27001

PMBOK
PRINCE 2

eSCM-CL
eSCM-SP

BSC-TI

Princpios do COBIT 5

Separando Governana de Gesto

NECESSIDADE DO
NEGCIO

GOVERNANA

ANALISAR
(EVALUATE)
DIRIGIR
(DIRECT)

Retorno do
gerenciamento

MONITORAR
(MONITOR)

Gesto
Planejamento
(APO)

Construo
(BAI)

Execuo
(DSS)

Monitoramento
(MEA)

Abordagem pontual
Dividir para conquistar

Direcionamento interno do CNJ

Resoluo 198/2015
Institui o Comit de
Governana de Tecnologia da
Informao e Comunicao
(CGTIC) no CNJ para formular
e conduzir diretrizes de
governana, bem como
analisar periodicamente a
efetividade dessas diretrizes,
propor normas e
mecanismos institucionais
para
melhoria 210/2015
contnua do
Resoluo
CNJ.
Define os procedimentos
de
transferncia de bens de TIC
do CNJ, para atender ao
projeto Modernizao da
Infraestrutura da Tecnologia
da Informao no Poder
Judicirio.

Direcionamento externo do CNJ

Portaria113/2013
Planejamento e Gesto
estratgica no PJ Estratgia
do Judicirio 2020
Resoluo 182/2013
Dispe sobre diretrizes
para as contrataes de
Soluo de Tecnologia da
Informao e Comunicao
pelos rgos submetidos
ao controle administrativo
e financeiro do Conselho
Nacional de Justia (CNJ).

Resoluo 211/2015
institui a Estratgia Nacional de Tecnologia
da Informao e Comunicao do Poder
Judicirio (ENTIC-JUD) para o sexnio 20152020, em harmonia com os macrodesafios do
Poder Judicirio, em especial o que
estabelece a Melhoria da infraestrutura e
governana de TIC.
Art. 12. Os rgos devero constituir e manter estruturas
organizacionais adequadas e compatveis com a relevncia
e demanda de TIC, considerando, no mnimo, os seguintes
macroprocessos:
I - macroprocesso de governana e de gesto:
a) de planejamento;
b) oramentria;
c) de aquisies e contrataes de solues;
d) de projetos;
e) de capacitao;
II macroprocesso de segurana da informao:
a) de continuidade de servios essenciais;
b) de incidentes de segurana;
c) de riscos;
III macroprocesso desoftware:
a) de escopo e requisitos;
b) de arquitetura;
c) de processos de desenvolvimento e sustentao;
IV macroprocesso de servios:
a) de catlogo;
b) de requisies;
c) de incidentes;
d) de ativos de microinformtica;
e) de central de servios;
V macroprocesso de infraestrutura:
a) de disponibilidade;
b) de capacidade;

Modelos/Normas para Gesto e Governana de TI

Portaria113/2013
Planejamento e Gesto
estratgica no PJ Estratgia
do Judicirio 2020

Resoluo 198/2015
(CGTIC)

COBIT

Governana de TI

Qualidade

Planejamento

Contrataes

CMMI
MPS.BR
ISO 15504

Projetos

Resoluo 182/2013
Contrataes de Soluo de
TIC

Segurana

Resoluo 211/2015
(ENTIC-JUD) para o
sexnio 2015-2020,

Aplicaes

ITIL
ISO 20000

Servios

Resoluo 210/2015
Transferncia de bens de
TIC do CNJ

ISO 9000
Six Sigma

Gesto de TI
ISO 27002
ISO 27001

PMBOK
PRINCE 2

eSCM-CL
eSCM-SP

BSC-TI

Desafio - Objetivos em diferentes aspectos

Estratgico Ttico
Assegurar o alinhamento entre a estratgia de TI e a
estratgia de negcios
Direcionar a execuo da estratgia de TI
Decises sobre priorizao de investimentos e
alocao de recursos
Assegurar o cumprimento da estratgia de TI
Diretrizes claras, indicadores e metas objetivas
Promover cultura de abertura e colaborao entre as
reas de negcios e a rea de TI (Ex: Qualidade de
software)

Auditoria Baseada em Riscos

Anlise de GAP
Levantamento

Monitoramento

Anlise de
Riscos

Auditoria

Conscientizao

Alguns Controles Riscos

Mecanismo

Objetivo

Risco

Comit
executivo

Viso holstica da alta direo

sobre o negcio, incluindo TI

Decises tomadas sem

bases adequadas

Gerentes de
relacionament
o

Compreenso mtua e
comunicao entre TI e negcios

Conflitos com
gerentes da rea de TI

Comits
setoriais

Otimizao do valor agregado

pela TI s reas de negcio

Equipes de
processos

Suporte efetivo da TI a
processos de negcio

Acordos de
nvel de
servio

Especificao e mensurao dos

servios providos pela TI

Comit de
arquitetura

Identificao de padres e
tecnologias estratgicas

Conflitos internos
pelos recursos de TI
Fragmentao das
solues de TI
Foco nos indicadores e
no no negcio
Engessamento e
atraso na inovao

Levantamentos de Informao
Foco em controles

Qual o objetivo?
Obteno e o alinhamento do conhecimento
acerca das unidades auditadas e de seus
processos internos;
Identificao de carncias de atuao em
relao aos temas de Tecnologia da
Informao.
E se mudasse o nome de Levantamento para
Consultoria?

Levantamentos de Informao - GAP

Foco em controles

Governana e Gesto de TI
Segurana da Informao
Infraestrutura de TI
Engenharia de Software
Sustentabilidade

Case Segurana da Informao

Controles definidos pela rea (ISO 27002):
Polticas de segurana da informao;
Organizao da Segurana da
Informao;
Segurana em Recursos Humanos;
Gesto de Ativos;
Resultados
Criao dos Comits
Criao de Polticas e Normas

Case Contrataes de TI
Atualizao de parque tecnolgico
Compras com controles definidos e alinhados
com os objetivos estratgicos do rgo;

Resultados
Instruo Normativa N 04/2013 STJ
Processo de Contratao;

Case Aquisio e Desenvolvimento

de Software

Fbrica de Software

Padro de desenvolvimento arquitetural;

Processo de Garantia da Qualidade;
Fluxo de Gerncia de Configurao e Mudanas;
Portflio e Catlogo de Servios;

Resultados

Metodologia de Gerenciamento de configurao e

Mudanas;
Processo de Gerenciamento de Demandas;
Metodologia de Desenvolvimento de Software;
Metodologia de Gerenciamento de Projetos;

Novo mecanismo Avaliao peridica do

Questionrio de Governana do TCU

Item obrigatrio do PAA (Plano Anual

de Auditoria);
Feedback constante para a
Administrao;
Incentivo Governana e Gesto.

Novo mecanismo Avaliao peridica do

Questionrio de Governana do TCU

Novo mecanismo Avaliao peridica do

Questionrio de Governana do TCU

SCI/CAUT

Novo mecanismo Avaliao peridica do

Questionrio de Governana do TCU

Resposta
STJ

Item
a. A

organizao

define

comunica

formalmente

Adota

papis e responsabilidades mais relevantes para a integralmen

governana e gesto de TI.
a. A organizao dispe de
formalmente

institudo,

um

comit

de

composto

TI

te
Adota

por integralmen

representantes de reas relevantes da organizao.

a. O comit de TI realiza as atividades previstas em
seu ato constitutivo.
a. A organizao prioriza as aes de TI com apoio do

te
Adota
integralmen

No adota

Adota
integralmente

No adota

te
Adota

comit de TI (ou colegiado equivalente), que atua integralmen

como instncia consultiva da alta administrao.

Avaliao
Controle
Interno

te

No adota

Novo mecanismo Avaliao peridica do

Questionrio de Governana do TCU

SCI/CAUT

A maior parte das divergncias se deu pela descontinuidade em

pontos importantes do processo de planejamento de Tecnologia da

Novo mecanismo Avaliao peridica do

Questionrio de Governana do TCU

Resposta
STJ

Item

Avaliao
Controle
Interno

Processo
a. A

organizao

executa

periodicamente

processo de planejamento de TI.

Adota
integralme

No adota

nte

a. O processo de planejamento de TI prev a

Adota

participao das reas mais relevantes da integralme

organizao.
a. O processo de planejamento de TI prev o
apoio do comit de TI.

No adota

nte
Adota
integralme

No adota

nte

a. O processo de planejamento de TI est

Adota

formalmente institudo, como norma de integralme

nte

Adota
SCI/CAUT
parcialmente

cumprimento
A
maior parte obrigatrio.
das divergncias se deu pela descontinuidade em
pontos importantes do processo de planejamento de Tecnologia da

Exemplo de ao conscientizadora da Unidade de

Controle

Folder com os principais

controles a serem
observados na fase de
planejamento das
contrataes.

Exemplo de ao conscientizadora da Unidade de

Controle

Cartilha orientadora
sobre Segurana da
Informao.

E os resultados?

Atos
Normativos
Publicao
Material Conscientizao

Quebrou o paradigma da sogra?

N
O!
MAS AGORA UMA
SOGRA LEGAL!

Governa Brasil www.governabrasil.com.br

O analfabeto do sculo XXI no ser

aquele que no consegue ler e escrever,
mas aquele que no consegue aprender,
desaprender, e reaprender.
Alvin Tofler

Wadson Sampaio Pereira

Coordenador de Auditoria de TI STJ

wadson@stj.jus.br
stj.caut@stj.jus.br

governabrasil@governabrasil.com.br