auditando governança de ti na administração pública federal - andré luiz pacheco
TRANSCRIPT
Auditando Governança de TI na AdministraçãoPública Federal
André Luiz Furtado Pacheco, CISA
36° Secop – agosto de 2008
2
Agenda
Papel do TCUSecretaria de Fiscalização de TI (Sefti/TCU)Levantamento acerca da Governança de TICritérios UtilizadosPrincipais AchadosAções Previstas
3
1.1 Papel do TCU
O Tribunal de Contas da União tem jurisdição própria e privativa, em todo o território nacional. Julga as contas dos administradores e demais responsáveis por dinheiros, bens e valores públicos federais, bem como de qualquer pessoa física ou jurídica, pública ou privada, que der causa a perda, extravio ou outra irregularidade de que resulte prejuízo ao Erário.
4
1.2 Dados do TCU em 2007Cerca de 3.000 órgãos ou entidades da
Administração Pública Federal jurisdicionados;Recebeu 1.546 prestação de contas anuais;Adotou 116 medidas cautelares;Aplicou sanções no valor de R$ 521 milhões;Realizou 723 fiscalizações;Gerou benefícios no valor de R$ 5,6 bilhões;Para cada R$ 1,00 gasto, o TCU proporcionou
uma economia de R$ 5,23.
5
1.3 Histórico da ATI no TCU Curso de Introdução à Auditoria de Sistemas (1992) Elaboração da 1ª versão do PA (1993) Execução da 1ª Auditoria da TI (1994) Especialização de Divisão Técnica - DIPEA (1996) Projeto de Desenvolvimento da Auditoria de TI - PDTI -
Manual de Auditoria de Sistemas e curso regular de ATI (1997/1998)
Projeto de Auditoria da TI (2001) Criação da Diretoria de Auditoria da TI - Dati/Adfis (2003) Criação da Secretaria de Fiscalização de TI - Sefti (2006)
6
1.4 Criação da SeftiResolução nº 193 (agosto 2006)
realizar fiscalizações que requeiram conhecimento especializado na área de TI
realizar trabalhos de fiscalização e de avaliação de programas de governo na área de TI
fiscalizar a gestão e o uso de recursos de TI pela APF
realizar pesquisas, desenvolver e disseminar métodos em ATI
elaborar e aplicar cursos e treinamentos
7
1.5 Papel da Sefti Negócio: Controle externo da governança de
tecnologia da informação na Administração Pública Federal.
Missão: Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em beneficio da sociedade.
Visão: Ser unidade de excelência no controle e no aperfeiçoamento da governança de tecnologia da informação.
8
1.6 Ações da Sefti em 2007Levantamentos realizados em 2007
informações para criação do referencial estratégico da Sefti e identificar formas de atuação de entidades fiscalizadoras de TI
informações acerca de gastos e referência de preços em TI na Administração Pública Federal
informações sobre legislação, jurisprudência, normas e estudos na área de TI
informações acerca da governança de TI
9
1.7 Resultados da Sefti em 2008
37 trabalhos realizados até julho de 2008 (15 fiscalizações / 22 processos);
23 profissionais, 5 CISA;Para cada R$ 1,00 gasto, a Sefti deverá
proporcionar uma economia de R$ 1.071,00.
10
1.8 Materialidade do gasto em TI
Hoje não é possível identificar precisamente a despesa com TI na Administração Pública nem a despesa autorizada nem a executada Acórdão 371/2008-Plenário Ação e Elemento de Despesa próprios para 2009 (LDO)
Estima-se: União: R$ 6 bilhões em 2006 (fonte: Siafi e Dest/MP) Todas as esferas de Governo: R$ 15 bilhões em 2008
(fonte: e-Consulting)
11
Fonte: TC 007.972/2007-8Origem da classificação: Portaria STN 448/02
Despesa de TI liquidada no SIAFI em 2006 (por subelemento de despesa)
Aquisicao De Softwares De Base
0,41%Manut. Cons. Equip. de Processamento de
Dados1,78%
Locação de Softwares2,39%
Material de Processamento de
Dados5,83%
Serviços de Processamentos de
Dados60,15%
Despesas de Teleproc.7%
Equipamentos de Processamento de
Dados13,59%
Aquisição de Softwares de
Aplicação5,55%Manutenção de
Software3,93%
12
2. Levantamento Governança de TI Levantar informações para elaboração de mapa
com a situação da Governança de TI na Administração Pública Federal com vistas a subsidiar o planejamento das fiscalizações da Sefti
Verificar onde a situação da Governança de TI está mais crítica
Identificar as áreas onde o TCU pode atuar como indutor do processo de aperfeiçoamento da Governança de TI
Identificar os principais sistemas e bases de dados da Administração Pública Federal
13
2.1 Etapas do levantamentoElaboração do questionário (39 questões) Identificação do público alvo (255 órgãos/entidades da APF) Identificação dos responsáveis pela respostaResposta à pesquisa (respostas declarativas, com
anexação de evidências)Suporte ao processo de resposta dos questionáriosEncerramento da pesquisaAvaliação dos dados coletados
14
2.2 Questionário Composto de 39 questões nas áreas de:
Planejamento Estratégico e PETI Estrutura de Pessoal de TI dos Órgãos/Entidades Segurança da Informação Desenvolvimento de Sistemas Gestão dos Acordos de Níveis de Serviço (SLA) Processo de Contratação de Bens e Serviços de TI Gestão dos Contratos de TI Controle de Gastos de TI Realização de Auditorias de TI pelos Órgãos/Entidades
15
2.3 Critérios Utilizados
NBR ISO/IEC 27002 (à época 17799) – Segurança da Informação
NBR ISO/IEC 15999-1 – Gestão de Continuidade de Negócios
Cobit 4.1 – Governança de TI
16
2.4 Resumo dos Achados
A partir dos dados coletados, observou-se que: Situação da governança de TI na APF é
bastante heterogênea; A estrutura de pessoal de TI é bastante
diversa e está atrelada à natureza jurídica da organização;
Situação da governança de TI está mais crítica é no que diz respeito ao tratamento da segurança da informação.
17
2.4.1 Planejamento Estratégico Institucional e de TI
47 % Ausência de planejamento estratégico institucional em vigor
59 % Ausência de planejamento estratégico de TI em vigor
67 % Ausência de comitê diretivo sobre ações e investimentos em TI
18
2.4.2 Estrutura de Pessoal de TI
Quantidade reduzida de servidores na área de TI (29 % menos de 1/3)
63 % Ausência de formação específica em TI 60 % Inobservância das competências
necessárias para funções comissionadas 57 % Ausência de carreira específica para a
área de TI
19
2.4.3 Segurança da Informação
64 % Ausência de política de segurança da informação em vigor
88 % Ausência de plano de continuidade de negócios em vigor
80 % Ausência de classificação das informações 48 % Ausência de procedimentos de controle de
acesso em vigor
20
Segurança da Informação (cont.) 64 % Ausência de área específica para lidar com
segurança da informação 76 % Ausência de área específica para gerência de
incidentes 88 % Ausência de gestão de mudanças 84 % Ausência de gestão de capacidade e
compatibilidade das soluções de TI 75 % Ausência de análise de riscos na área de TI
21
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Deficiências na segurança da informação
22
2.4.4 Desenvolvimento de Sistemas
51 % Não-adoção de metodologia de desenvolvimento de sistemas
23
2.4.5 Gestão de Acordos de Níveis de Serviço (SLA)
89 % Ausência de gestão de acordos de níveis de serviços prestados internamente
74 % Ausência de gestão de acordos de níveis de serviços contratados externamente
24
2.4.6 Processo de Contratação de Bens e Serviços de TI
46 % Ausência de processo formal de trabalho para contratações de TI
47 % Ausência de análise de custo/benefício da solução de TI contratada
40 % Ausência de explicitação dos benefícios nas contratações de TI
50 % Não-exigência de demonstrativo de formação de preço antes da adjudicação
25
2.4.7 Processo de Gestão de Contratos de TI
55 % Ausência de processo formal de trabalho para gestão de contratos de TI
65 % Não-realização de reuniões periódicas para avaliar o andamento dos contratos de TI
47 % Não-definição prévia de itens para atestação técnica das faturas de contratos de TI
26
Processo de Gestão de Contratos de TI (cont.)
45 % Monitoração administrativa dos contratos de TI feita pela área de TI
57 % Não-transferência de conhecimento relativo aos produtos e serviços terceirizados para os servidores dos órgãos/entidades
27
2.4.8 Processo Orçamentário de TI
39 % Não-consideração das ações planejadas para o próximo ano quando da solicitação de orçamento para a área de TI
51 % Não-alocação dos recursos previstos no orçamento às ações constantes do planejamento de TI no início do ano
28
2.4.9 Auditoria de TI
60 % Inexecução de auditoria de TI pelos órgãos/entidades (nos últimos cinco anos)
81 % Inexistência de equipe própria para realizar auditoria de TI
29
2.5 Acórdão 1603/2008 - PlenárioRecomendaçõesCNJCNMPSenado FederalCâmara dos DeputadosTCUMP (especialmente SLTI)GSI/PRCGU
30
2.6 Ações Previstas Monitorar ações em prol da Governança de TIRealização de Seminários para discussão de
assuntos relativos à Governança de TIExecução de fiscalizações que permitam a
consolidação da jurisprudência do Tribunal em Governança de TI
Elaboração de cartilha de boas práticas em Governança de TI
Acompanhamento permanente da evolução da Governança de TI