tribunal de contas da uniÃo ciclo de palestras 2011: tecnologia da informação – controle...

TRIBUNAL DE CONTAS DA UNIÃO

Ciclo de palestras 2011:Tecnologia da Informação – Controle Externo em ação

Brasília, 4 de agosto de 2011

Ministro Aroldo Cedraz

Governança de TI na Administração Pública Federal

Agenda

Por que estamos fazendo este evento?

Situação da governança de TI em 2007

Ações indutoras do Controle Externo


Visão sistêmica da governança de TI na APF

“9.4. determinar à Secretaria de Fiscalização de Tecnologia da Informação - Sefti que:

(...)

9.4.2. desenvolva ações de estímulo à conscientização da alta administração das unidades da administração pública federal acerca de conceitos, objetivos, indicadores, ações e estruturas de governança de tecnologia da informação;”

Acórdão 2.308/2010-Plenário

Incrementar a divulgação

Agenda






“O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.”(NBR 38.500)

• TI deve agregar valor ao negócio• Riscos aceitáveis

Governança de TI

Definição

Governança de TI

Responsabilidade

A responsabilidade por prover uma boa governança de TI é da alta administração da organização (NBR 38.500)

Deliberações do TCU sobre contratações de serviços de TI

Fonte: Pesquisa textual na base do Sistema Juris (TCU)

Acórdão 1.603/2008-TCU-Plenário(Min. Guilherme Palmeira)

Acórdão 2.471/2008-TCU-Plenário(Min. Benjamin Zymler)

Em 2007 o TCU realizou duas grandes fiscalizações no tema TI


Acórdão 1.603/2008-TCU-Plenário(Min. Guilherme Palmeira)

TC 008.380/2007-1

Alguns dados do TC 008.380/2007-1

1º Levantamento de Governança de TI

• 255 jurisdicionados pesquisados

• Questionário com 39 questões

• Jurisdicionados deveriam anexar evidências

Acórdão 1.603/2008-TCU-Plenário

Deficiências em Governança de TI51% NÃO alocam gastos de TI de acordo com planejamento51% NÃO seguem metodologia de desenvolvimento de sistemas57% NÃO têm carreira específica para TI59% NÃO têm planejamento estratégico em vigor64% NÃO têm política de segurança da informação75% NÃO fazem análise de riscos de TI80% NÃO fazem classificação da informação88% NÃO têm plano de continuidade de negócios


Acórdão 2.471/2008-TCU-Plenário(Min. Benjamin Zymler)

TC 019.230/2007-2


Verificação da Governança de TI in loco

• 12 auditorias, em 7 UF

• 25 questões de auditoria

• 77 achados (auditoria integrada)


• VRF (Volume dos Recursos Fiscalizados)

• R$ 1,5 bilhão

• Benefícios financeiros potenciais

• R$ 772 milhões

• 92% de satisfação dos auditados



Conclusão:

• confirmada a falta de governança nos 12 casos

• situação pior que a declarada no questionário


Agenda






Criação da Sefti

SEFTI

Agosto de 2006 (Resolução TCU 193/2006)

“A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal.”

Criação daSEFTI

Fonte: Pesquisa textual na base do Sistema Juris (TCU)

Deliberações do TCU sobre contratações de serviços de TI

Acórdãos estruturantes

OGS

1.603/2008

371/2008

353/2008

786/2006

2.094/2004E outros que estão por vir...

2.308/2010

2.079/2009

2.471/2008

1.827/2008

Órgãos Governantes Superiores(OGS)

“Têm a responsabilidade por normatizar e fiscalizar o uso e a

gestão de TI em seus respectivos segmentos da

Administração Pública Federal” (Voto do Acórdão 1.145/2011-TCU-Plenário)

AGU

CGU

CNJ

CNMP

Dest/MP

Enap/MP

GSI/PR

SLTI/MP

SOF/MP

STN/MF

Órgãos governantes superiores de TI (OGS)

Agenda






O Questionário

• 300 jurisdicionados pesquisados

• 30 perguntas – 152 subitens

• Divididas segundo 7 dimensões do Gespública

LiderançaEstratégias e planosCidadãosSociedadeInformações e conhecimentoPessoas Processos

• Evidências conforme solicitado

2º Levantamento de Governança de TI

Acórdão 2.308/2010-TCU-Plenário: Temas que merecem atenção

53% NÃO têm processo de software ao menos gerenciado63% NÃO aprovam e publicam PDTI interna ou externamente65% NÃO possuem política corporativa de segurança da informação74% NÃO inventariam todos os ativos de informação75% NÃO gerenciam os incidentes de segurança da informação83% NÃO analisam os riscos aos quais a informação está submetida89% NÃO classificam a informação para o negócio97% NÃO possuem plano de continuidade de negócio em vigor

Resultados(Dimensão Processos)

Acórdão 2.308/2010-TCU-Plenário: Temas que merecem atenção

• ... se responsabiliza pelas políticas de TI (51%)

• ... designou formalmente um comitê de TI (48%)

• ... estabeleceu objetivos de desempenho de gestão e uso de TI (57%)

• ... definiu indicadores de desempenho de gestão e uso de TI (76%)

Resultados(Dimensão Liderança)

A Alta Administração NÃO :

Planejamento estratégico institucional• 2007 – 53%• 2010 – 79% (p.ex. Res CNJ 70/2009)

Carreira de TI• 2007 – 43%• 2010 – 78% (p.ex. SISP – ATI+GSISP)

Acórdão 2.308/2010-TCU-Plenário: Melhorias observadas

Mas houve melhorias?

Acórdão 2.308/2010-TCU-Plenário: Melhorias observadas

Conclusão:

Os indicativos de melhoria em planejamento e em quadro de pessoal sinalizam possibilidade

de avanço em outras dimensões no futuro.

2010 - iGovTI

0 25 50 75 100 125 150 175

iGovTI de 0,0 a 0,39



Quantidade de Instituições

Í n d

i c

e

Aprimorado Intermediário Inicial

38%

57%

5%

Instituições x estágios do iGovTI

Risco de TI em função de iGovTI e Orçamento de TI

R$ 100.000,00

R$ 1.000.000,00

R$ 10.000.000,00

R$ 100.000.000,00

R$ 1.000.000.000,00

R$ 10.000.000.000,00

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Orça

mento

TI

2010

iGovTI

Governança de TI x Orçamento de TI

Risco de TI em função de iGovTI , Orçamento de TI e sistemas críticos

R$ 100.000,00

R$ 1.000.000,00

R$ 10.000.000,00

R$ 100.000.000,00

R$ 1.000.000.000,00

R$ 10.000.000.000,00

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Orça

mento

TI

2010

iGovTI

Governança de TI x Orçamento de TI x Sistemas Críticos

Possui sistema críticoNão possui sistema crítico

Risco de TI em função de iGovTI, na visão da Sefti

R$ 100.000,00

R$ 1.000.000,00

R$ 10.000.000,00

R$ 100.000.000,00

R$ 1.000.000.000,00

R$ 10.000.000.000,00

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

Orça

mento

TI

2010

iGovTI

Governança de TI x Orçamento de TI x Sistemas Críticos

Possui sistema críticoNão possui sistema crítico

Riscos de TI: IGovTI - Segurança da Informação

101

56

4044

23

127 9 7

2

0

20

40

60

80

100

120

10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Qua

ntida

de d

e In

stitu

içõe

s

iGovTI-Seg

Distribuição por iGovTI-Seg

1/3

Riscos de TI: IGovTI - Segurança da Informação

101

56

4044

23

127 9 7

2

0

20

40

60

80

100

120

10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Qua

ntida

de d

e In

stitu

içõe

s

iGovTI-Seg

Distribuição por iGovTI-Seg

88%

Papel da liderança na Governança de TI

Dimensão Liderança Estratégias e Planos

Gestão de Pessoas

Liderança --- --- ---

Estratégias e Planos 0,48 --- ---

Gestão de Pessoas 0,32 0,23 ---

Processos 0,60 0,46 0,29

Análise de correlaçãoentre as dimensões avaliadas

Papel da liderança na Governança de TI

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

gove

rnan

ça e

m p

roce

ssos

de

TI

governança em liderança de TI

Correlação entre governança em liderança e governança em processos de TI

• objetivos institucionais de TI

• indicadores para cada objetivo

• metas para cada indicador

• mecanismos para acompanhar desempenho da TI

Acórdão 2308/2010-TCU-Plenário: Recomendações aos OGS

Orientações à Alta Administração:

Agenda






Alta Administração

Orientações(2308/2010)

Situação de GovTI

Orientações

ObjetivosIndicadores

Metas

GestoresTCU

Situação de GestãoTI

Informaçõesconsolidadas

(4)

(3) (5)

(1)

(2)

(6)

E essa dinâmica deve gerar mudanças...

Governança de TI

Implementação/aprimoramento

do modelo de governança

Desgovernança de TI

Alta Administração(responsabilidade)


Ciclo de palestras 2011:Tecnologia da Informação – Controle Externo em ação

Brasília, 4 de agosto de 2011

Ministro Aroldo Cedraz

Governança de TI na

Administração Pública Federal

tribunal de contas da uniÃo ciclo de palestras 2011: tecnologia da informação – controle...

Documents