Baixe o app para aproveitar ainda mais
Prévia do material em texto
Secretaria de Fiscalização de Tecnologia da Informação 1 Auditoria de Governança de TI Secretaria de Fiscalização de Tecnologia da Informação André Luiz Furtado Pacheco, CISA Novembro de 2009 Secretaria de Fiscalização de Tecnologia da Informação 2 Agenda Objetivos Governança? O que é? Para quê? Por quê? Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC 38500 Falta de Governança de TI Auditoria de Governança de TI Governança de TI e compras públicas Levantamento acerca da Governança de TI na Administração Pública Federal 2 Secretaria de Fiscalização de Tecnologia da Informação 3 Objetivos Conhecer conceitos atinentes à governança de TI; Compreender a importância da governança de TI no contexto organizacional e como ela se relaciona com a prestação de serviços à sociedade; Conhecer o Cobit e como ele é utilizado como critério de auditoria; Conhecer formas de atuação da Sefti/TCU em trabalhos de auditoria de governança de TI; Discutir algumas questões de auditoria relacionadas à auditoria de governança de TI. 3 Secretaria de Fiscalização de Tecnologia da Informação 4 Agenda Objetivos Governança? O que é? Para quê? Por quê? Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC 38500 Falta de Governança de TI Auditoria de Governança de TI Governança de TI e compras públicas Levantamento acerca da Governança de TI na Administração Pública Federal 4 Secretaria de Fiscalização de Tecnologia da Informação 5 Governança “É a maneira pela qual o poder é exercido na administração dos recursos sociais e econômicos de um país visando o desenvolvimento”. (tradução livre da definição dada pelo Banco Mundial no documento “Governance and Development”, 1992) Envolve o processo pelo qual a autoridade é exercida na administração dos recursos de um país e influi na capacidade dos governos de planejar, formular e implementar políticas e cumprir funções. 5 Secretaria de Fiscalização de Tecnologia da Informação 6 Governança Corporativa “Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade”. (IBGC - Instituto Brasileiro de Governança Corporativa) “O Sistema pelo qual as organizações são dirigidas e controladas” (NBR ISO/IEC 38500, item 1.6.2) 6 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 http://www.ibgc.org.br/Secao.aspx?CodSecao=17 Secretaria de Fiscalização de Tecnologia da Informação 7 Governança Corporativa Surgiu para superar o “conflito de agência”, decorrente da separação entre a propriedade (acionistas) e a gestão empresarial (agentes especializados com poder de decisão sobre a propriedade). O conflito de agência ou conflito agente-principal ocorre quando os interesses do gestor não estão alinhados com os do proprietário. (IBGC - Instituto Brasileiro de Governança Corporativa) Trabalho interessante: Acórdão nº 1.074/2009- TCU-Plenário 7 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 http://www.ibgc.org.br/Secao.aspx?CodSecao=18 Secretaria de Fiscalização de Tecnologia da Informação 8 Governança de TI “Governança de TI é uma estrutura de relacionamentos e processos para dirigir e controlar a TI a fim de alcançar as metas da instituição pela agregação de valor, enquanto se mantém o equilíbrio dos riscos versus retorno sobre esta função e seus processos.” (tradução livre de texto do ITGI – IT Governance Institute) “O Sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.” (NBR ISO/IEC 38500, item 1.6.3) 8 http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657 http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657 http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657 http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657 http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657 http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657 http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657 http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657 http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657 Secretaria de Fiscalização de Tecnologia da Informação 9 Governança x Gestão Gestão: “O sistema de controles e processos necessário para alcançar os objetivos estratégicos estabelecidos pela direção da organização” (NBR ISO/IEC 38500, item 1.6.9) Gestão controla tarefas executivas, enquanto governança controla a gestão. Governança não controla diretamente tarefas executivas. Controla se há controles sobre as tarefas executivas, monitorando-os e adotando medidas corretivas sob certas situações de risco pré-definidas. 9 Secretaria de Fiscalização de Tecnologia da Informação 10 Agenda Objetivos Governança? O que é? Para quê? Por quê? Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC 38500 Falta de Governança de TI Auditoria de Governança de TI Governança de TI e compras públicas Levantamento acerca da Governança de TI na Administração Pública Federal 10 Secretaria de Fiscalização de Tecnologia da Informação 11 Cobit IT Governance Institute - ITGI - versão 4.1 O Cobit (COntrol, governance and audit for Business Information and related Technology) é um modelo de governança de TI que auxilia as organizações a gerenciarem seus requisitos de controle, suas demandas técnicas e seus riscos de negócio, em consonância com as exigências regulatórias e com os objetivos organizacionais Recomendado pela Information Systems Audit and Control Association (Isaca) 11 Secretaria de Fiscalização de Tecnologia da Informação 12 Cobit Padrão de melhores práticas em controles sobre o uso e a gestão de recursos de TI (incorpora os melhores padrões mundiais da área de TI) Controles induzidos pelos requisitos e necessidades de negócio As práticas de gestão recomendadas ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados Independe das plataformas de TI adotadas nas organizações 12 Secretaria de Fiscalização de Tecnologia da Informação 13 CobitAcordo do Comitê da Basiléia II (2004). Resolução nº 2.554 do Banco Central de 1998 (Dispõe sobre a implantação e implementação de sistema de controles internos). Lei americana Sarbanes-Oxley de 2002 (Section 404: Assessment of internal control). Circular nº 249 da Susep de 2004 (Dispõe sobre a implantação e implementação de sistema de controles internos nas sociedades seguradoras, nas sociedades de capitalização e nas entidades abertas de previdência complementar). 13 Secretaria de Fiscalização de Tecnologia da Informação 14 Cobit Pilares da Governança de TI no Cobit: Alinhamento estratégico Entrega de valor Gerência de recursos Gerência de riscos Avaliação do desempenho Foco em controle (o quê) e não na execução (como)! 14 Secretaria de Fiscalização de Tecnologia da Informação 15 Cobit Planejar e Organizar Monitorar e Avaliar Entregar e Dar suporte Adquirir e Implementar 15 Secretaria de Fiscalização de Tecnologia da Informação 16 Cobit Está dividido em quatro domínios: Planejamento e Organização: avalia o alinhamento estratégico da TI, cobrindo o uso de informação e tecnologia e como isso pode ser usado para que organização atinja seus objetivos e metas. Aquisição e Implementação: cobre os requisitos de TI, aquisição de tecnologia e implementação dentro dos processos de negócios da organização. Entrega e Suporte: avalia a entrega de valor ao negócio, cobrindo aspectos de entrega de serviços de TI. Monitoração e Avaliação: visa medir o desempenho, por meio do monitoramento e avaliação do atual sistema de TI da organização. 16 Secretaria de Fiscalização de Tecnologia da Informação 17 Cobit Como o Cobit é utilizado nas auditorias? Seus objetivos de controle são utilizados como critérios de auditoria. Ele é referenciado como um guia, uma referência de boas práticas de Governança de TI. Não possui o mesmo peso de uma lei ou norma ! Utilizado principalmente para propor recomendações a órgãos e entidades. Contudo, ele pode ser utilizado para propor determinações quando combinado com os normativos existentes (ex: Acórdão nº 669/2008-TCU-Plenário) ou caso a equipe de auditoria considere que a sua não-implementação ocasiona riscos muito elevados (ex: Acórdão 1033/2009-TCU- Plenário, PCN na IN). 17 Secretaria de Fiscalização de Tecnologia da Informação 18 Agenda Objetivos Governança? O que é? Para quê? Por quê? Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC 38500 Falta de Governança de TI Auditoria de Governança de TI Governança de TI e compras públicas Levantamento acerca da Governança de TI na Administração Pública Federal 18 Secretaria de Fiscalização de Tecnologia da Informação 19 Histórico: Publicada em 2008 pela ISO; Recepcionada pela ABNT como NBR ISO/IEC 38500 em abril de 2009. NBR ISO/IEC 38500 19 Secretaria de Fiscalização de Tecnologia da Informação 20 NBR ISO/IEC 38500 Tecnologia da Informação: “Os recursos necessários para adquirir, processar, armazenar e disseminar informações.” (NBR ISO/IEC 38500, item 1.6.7) Recursos: “Pessoas, procedimentos, software, informações, equipamentos, consumíveis, infraestrutura, capital e tempo” (NBR ISO/IEC 38500, item 1.6.13) 20 Secretaria de Fiscalização de Tecnologia da Informação 21 NBR ISO/IEC 38500 Governar a TI é realizar 3 tarefas sobre 6 princípios: Responsabilidade Estratégia Aquisição Desempenho Conformidade Procedimentos humanos Avaliar Dirigir Monitorar 21 Secretaria de Fiscalização de Tecnologia da Informação 22 NBR ISO/IEC 38500 Responsabilidades: “A responsabilidade por aspectos específicos de TI pode ser delegada aos gerentes da organização. No entanto, a responsabilidade pelo uso e entrega aceitável, eficaz e eficiente da TI pela organização permanece com os dirigentes e não pode ser delegada”. (NBR ISO/IEC 38500, Nota do item 2.2) Ex: Acórdão nº 2.079/2009-TCU-Plenário 22 Secretaria de Fiscalização de Tecnologia da Informação 23 Agenda Objetivos Governança? O que é? Para quê? Por quê? Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC 38500 Falta de Governança de TI Auditoria de Governança de TI Governança de TI e compras públicas Levantamento acerca da Governança de TI na Administração Pública Federal 23 Secretaria de Fiscalização de Tecnologia da Informação 24 Falta de Governança de TI Ausência de posse de seus sistemas e bases de dados. Acórdão 2.023/2005-Plenário 24 http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] Secretaria de Fiscalização de Tecnologia da Informação 25 Falta de Governança de TI Acórdão 2.023/2005-Plenário: “Documentação técnica e programas fontes não estão disponíveis para a Administração Pública e, por mais absurdo que possa parecer, ela não tem acesso aos dados gerados por esses sistemas, a não ser da forma como a dita empresa oferece. Ademais, atualmente é impossível para a Administração Pública auditar esses dados, para verificar se são fidedignos ou buscar indícios de fraudes. A [contratada] condiciona sua entrega, bem como da documentação técnica dos sistemas, à assinatura de um Termo de Ajuste, objeto de pendência judicial que se arrasta há mais de um ano, numa verdadeira afronta à soberania nacional.” 25 http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] Secretaria de Fiscalização de Tecnologia da Informação 26 Falta de Governança de TI Completa dependência tecnológica. Acórdão 889/2007-Plenário 26 http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001] Secretaria de Fiscalização de Tecnologia da Informação 27 Falta de Governança de TI Acórdão 889/2007-Plenário: “Tal providência, de inserção nos contratos de manutenção a serem celebrados, de cláusula que possibilite a migração dos dados, de propriedade do [ente público] para base de padrão aberto reconhecida por outros softwares, obviamente depende de negociação junto à empresa [contratada] e do seu interesse em prestar o serviço, especialmente se esse processo migratório depender dos conhecimentos exclusivos dessa empresa sobre o sistema, ...” “..., não compartilhados por outras empresas ou profissionais de informática. Tal providência, em verdade, deveria ter sido adotada desde a licitação realizada para a aquisição do sistema, época em que ainda não havia qualquer dependência do [ente público] junto ao fornecedor da solução pretendida.” 27 http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001] Secretaria de Fiscalização de Tecnologia da Informação 28 Falta de Governança de TI Ações paralelas, sem coordenação. TC 022.059/2008-0 28 Secretaria de Fiscalização de Tecnologia da Informação 29 Falta de Governança de TI TC 022.059/2008-0: “A deficiência da área de governança de TI aparece também por conta do desdobramento do projeto [...], oriundo de aditivo ao Contrato [...].” “De acordo com a [Comissão], existe outro projeto em desenvolvimento [em outro setor do ente público], chamado Sistema [...], que teria a mesma finalidade do projeto [acima]. “ “Em reunião com a Assessoria [...], levantou-se que, embora haja certa diferença com relação à abrangência dos dois projetos, há uma superposição entre os mesmos, com relação a finalidades e a informações que devem ser encaminhadas [...].” 29 Secretaria de Fiscalização de Tecnologia da Informação 30 Falta de Governança de TI TC 022.059/2008-0 (continuação): “Registra-se que esta equipe de auditoria não chegou a avaliar a congruência entre os dois projetos citados e outros atualmente em desenvolvimento na instituição, e que podem também conter ações paralelas, como o Sistema [...] e o Sistema [...].” “A presença de atividades paralelas e superpostas evidencia a lacuna na governança de TI e a importância da centralização, no mínimo da supervisão, das ações de TI, consubstanciadas em um Plano Estratégico de TI e coordenadas por um Comitê Gestor de TI (Cobit PO4.3).” 30 Secretaria de Fiscalização de Tecnologia da Informação 31 Falta de Governança de TI Sistema contratado, pago, mas inservível. TC 031.963/2008-0 31 Secretaria de Fiscalização de Tecnologia da Informação 32 Falta de Governança de TI TC 031.963/2008-0: “O produto entregue pela [contratada] apresentou problemas de funcionamento, os quais foram identificados desde 2004 e também apontados após a entrega da solução completa em 2007. Os problemas de funcionamento foram também identificados no treinamento dos multiplicadores (setembro/2006) e na implantação piloto (julho/2007).” “Apesar de não ter sido possível a implementação e utilização do [Sistema] em sua versão final entregue pela [contratada], o produto foi homologado e pago, inclusive a última parcela reservada para efetivação após o aceite final da solução de TI contratada.” 32 Secretaria de Fiscalização de Tecnologia da Informação 33 Falta de Governança de TI Sistema contratado, pago, desenvolvido, servível, mas não implantado. Acórdão 2.023/2005-Plenário 33 http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] Secretaria de Fiscalização de Tecnologia da Informação 34 Falta de Governança de TI Acórdão 2.023/2005-Plenário: “Um exemplo real constatado nesta auditoria concernente à falta de planejamento foi o desenvolvimento do sistema (...). Trata-se de sistema desenvolvido entre 2000 e 2001 e que, até os dias atuais, não foi implantado, embora já tenham sido feitos vários testes satisfatórios e o gestor do negócio ache de extrema relevância (...) o problema da não implantação do [sistema] está relacionado à falta de infra-estrutura necessária que comporte a execução desse sistema: infra-estrutura de rede, servidores ...” 34 http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001] Secretaria de Fiscalização de Tecnologia da Informação 35 Agenda Objetivos Governança? O que é? Para quê? Por quê? Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC 38500 Falta de Governança de TI Auditoria de Governança de TI Governança de TI e compras públicas Levantamento acerca da Governança de TI na Administração Pública Federal 35 Secretaria de Fiscalização de Tecnologia da Informação 36 Auditoria de Governança de TI Aborda aspectos gerenciais da área de TI e visa a certificar-se de que a gestão dos serviços oferecidos, dos investimentos de TI, das pessoas integrantes, das políticas, do processo de controle e da própria estrutura organizacional concorrem para que a organização atinja seus objetivos de forma eficiente. Governança pressupõe gestão contínua dos riscos tecnológicos. 36 Secretaria de Fiscalização de Tecnologia da Informação 37 Aspectos abordados: Organizacionais, estrutura, planejamento, comitês diretivos e deliberativos, políticas e normas, pessoas, terceirização, contratação, cargos e funções, segregação de funções, treinamento, central de serviços, compatibilidade, acordos, níveis de serviços, gerência de projetos, investimentos, auditoria, conformidade Auditoria de Governança de TI 37 Secretaria de Fiscalização de Tecnologia da Informação 38 Auditoria de Governança de TI Objetivo de controle: assegurar que a organização é orientada por um plano estratégico adequado Possíveis questões de auditoria: Há planejamento institucional em vigor? O ente executa a função de planejamento institucional segundo as boas práticas? 38 Secretaria de Fiscalização de Tecnologia da Informação 39 Auditoria de Governança de TI Critérios: Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º CF, art. 37, caput (princípio da eficiência) Gespública: Critério 2 - Planos e Estratégias Possíveis achados: planejamento estratégico institucional inexistente processo de planejamento estratégico institucional informal ou deficiente 39 Secretaria de Fiscalização de Tecnologia da Informação 40 Auditoria de Governança de TI Objetivo de controle: assegurar que a área de TI é orientada por um plano estratégico adequado Possíveis questões de auditoria: Há planejamento estratégico para a área de TI em vigor? O setor de TI executa a função de planejamento estratégico segundo as boas práticas? O planejamento de TI está em conformidade com a missão e as metas organizacionais? 40 Secretaria de Fiscalização de Tecnologia da Informação 41 Auditoria de Governança de TI Critérios: Acórdãos nos 1.558/2003, item 9.3.9; 2.094/2004, item 9.1.1; 2.023/2005, item 9.1.9; todos do Plenário-TCU Cobit 4.1 PO1.1 Gestão do valor de TI; PO1.2 Alinhamento da TI ao negócio PO1.4 Plano Estratégico de TI; PO1.5 Planos operacionais de TI Possíveis achados: planejamento estratégico de TI inexistente processo de planejamento estratégico de TI informal ou deficiente 41 Secretaria de Fiscalização de Tecnologiada Informação 42 Auditoria de Governança de TI Objetivo de controle: certificar-se sobre a existência e o papel exercido por comitês diretivos Possíveis questões de auditoria: Existe um comitê diretivo formalmente constituído para resolver questões atinentes à TI? Há comitê que decida sobre a priorização das ações e investimentos de TI? O comitê diretivo de TI é composto por gerentes de diferentes áreas, com competência para decidirem sobre os rumos a serem seguidos pela área de TI? O comitê diretivo de TI reúne-se periodicamente e suas resoluções são comunicadas? 42 Secretaria de Fiscalização de Tecnologia da Informação 43 Auditoria de Governança de TI Critérios: CF, art. 37, caput (princípio da eficiência) Acórdão nº 2.023/2005-TCU-Plenário, item 9.3.1 Cobit 4.1 PO4.2 Comitê estratégico de TI; PO4.3 Comitê diretor de TI Possíveis achados: comitê diretivo de TI inexistente comitê diretivo de TI existe, porém, informal ou ineficaz 43 Secretaria de Fiscalização de Tecnologia da Informação 44 Auditoria de Governança de TI Objetivo de controle: assegurar que a estrutura organizacional proporciona independência da área de TI com relação às demais áreas usuárias Possíveis questões de auditoria: A posição da área de TI dentro do organograma geral da organização proporciona a ela autoridade, poder de crítica e independência diante dos departamentos dos usuários? 44 Secretaria de Fiscalização de Tecnologia da Informação 45 Auditoria de Governança de TI Critérios: CF, art. 37, caput (princípio da eficiência) Acórdão nº 2.023/2005-TCU-Plenário, item 9.3.2.1 Cobit 4.1 PO4.4 Localização organizacional da área de TI Possíveis achados: a localização da área de TI na estrutura organizacional está inadequada com relação à alta direção e/ou não permite atuação de forma independente dos departamentos usuários 45 Secretaria de Fiscalização de Tecnologia da Informação 46 Auditoria de Governança de TI Objetivo de controle: certificar-se de que as contratações para terceirização de serviços de TI são planejadas e se inserem numa estratégia mais ampla de terceirização Possíveis questões de auditoria: A organização adota processo de trabalho formal na contratação de bens e serviços de TI? A terceirização de serviços de TI é devidamente controlada e guarda relação com o planejamento institucional e de TI? 46 Secretaria de Fiscalização de Tecnologia da Informação 47 Auditoria de Governança de TI Critérios: CF, art. 37, caput (princípio da eficiência) Decreto-Lei nº 200/67, art. 6º, I, art. 10, 7º e 8º Acórdãos nos 1.558/2003, item 9.3.11 e 2.094/2004, item 9.1.1, todos do Plenário-TCU Possíveis achados: Inexistência de um processo formal para contratações de TI As contratações de TI são feitas aleatoriamente 47 Secretaria de Fiscalização de Tecnologia da Informação 48 Agenda Objetivos Governança? O que é? Para quê? Por quê? Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC 38500 Falta de Governança de TI Auditoria de Governança de TI Governança de TI e compras públicas Levantamento acerca da Governança de TI na Administração Pública Federal 48 Secretaria de Fiscalização de Tecnologia da Informação 49 Compras Públicas A necessidade de estrutura para gerir contratos bem feitos ... ...decorrente do novo modelo de contratação que não é tão simples... ...vamos ver alguns exemplos? 49 Secretaria de Fiscalização de Tecnologia da Informação 50 Compras Públicas IN 04/08 SLTI: Art. 3º As contratações de que trata esta Instrução Normativa deverão ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informação - PDTI, alinhado à estratégia do órgão ou entidade. Corolário: os entes públicos só podem contratar se possuírem planejamento de longo prazo institucional e de TI (Cobit 4.1, PO1 – Planejamento Estratégico de TI). 50 http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm Secretaria de Fiscalização de Tecnologia da Informação 51 Compras Públicas LDO 2008/2009 (art. 12) e LOA 2009: Os gestores deverão prever e acompanhar a execução do seu orçamento de TI. Corolário: sem planejamento orçamentário (Cobit 4.1, PO5 – Gerenciar investimentos em TI), o orçamento de TI pode não ser aprovado ou sua execução não ser autorizada! 51 Secretaria de Fiscalização de Tecnologia da Informação 52 Compras Públicas IN 04/08 SLTI (continuação): Art. 11. Compete ao Requisitante do Serviço definir os seguintes requisitos, quando aplicáveis: ... Art. 12. Compete à Área de Tecnologia da Informação definir, quando aplicáveis, os seguintes requisitos tecnológicos, em adequação àqueles definidos pelo Requisitante do Serviço: ... Corolário: deve ser implantado um processo de gestão de requisitos como pré-requisitos às contratações (Cobit 4.1, AI1.1 – definir requisitos funcionais (do negócio) e técnicos). 52 http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm Secretaria de Fiscalização de Tecnologia da Informação 53 Compras Públicas E não é só para os entes do Sisp, pois... O modelo conceitual da IN 04/2008-SLTI está baseado em princípios e a súmula TCU nº 222 diz... As Decisões do Tribunal de Contas da União, relativas à aplicação de normas gerais de licitação,sobre as quais cabe privativamente à União legislar, devem ser acatadas pelos administradores dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios. Ver também Acórdão nº 1215/2009-TCU-Plenário. 53 Secretaria de Fiscalização de Tecnologia da Informação 54 Agenda Objetivos Governança? O que é? Para quê? Por quê? Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC 38500 Falta de Governança de TI Auditoria de Governança de TI Governança de TI e compras públicas Levantamento acerca da Governança de TI na Administração Pública Federal 54 Secretaria de Fiscalização de Tecnologia da Informação 55 Levantamento de Governança da TI ME3 – Assegurar conformidade às normas: Supervisão regulatória eficaz requer o estabelecimento de um processo de revisão independente para assegurar conformidade com leis e normas. Este processo inclui a definição de um grupo de auditoria independente, ética e padrões profissionais, planejamento, desempenho do trabalho da auditoria, e relatório e acompanhamento de atividades da auditoria. O propósito deste processo é fornecer garantia positiva relacionada à conformidade da TI com leis e normas. 55 Secretaria de Fiscalização de Tecnologia da Informação 56 Levantamento de Governança da TI Principais objetivos: Levantar informações para elaboração de mapa com a situação da Governança de TI na Administração Pública Federal com vistas a subsidiar o planejamento das fiscalizações da Sefti. Verificar onde a situação da Governança de TI está mais crítica. Identificar as áreas onde o TCU pode atuar como indutor do processo de aperfeiçoamento da Governança de TI. Identificar os principais sistemas e bases de dados da Administração Pública Federal. 56 Secretaria de Fiscalização de Tecnologia da Informação 57 Levantamento de Governança da TI Etapas do trabalho: Elaboração de questionário (39 questões). http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_infor macao/boas_praticas Identificação do público alvo (255 órgãos/entidades da APF). Identificação dos responsáveis pela resposta. Utilização de software para coleta das respostas. Resposta à pesquisa (respostas declarativas, com anexação de evidências). Suporte ao processo de resposta dos questionários. Encerramento da pesquisa. Avaliação dos dados coletados. 57 http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas Secretaria de Fiscalização de Tecnologia da Informação 58 Levantamento de Governança da TI Critérios utilizados: Constituição Federal. Legislação Brasileira. Jurisprudência do TCU . NBR ISO/IEC 27002 (à época 17799) – Segurança da Informação. NBR ISO/IEC 15999-1 – Gestão de Continuidade de Negócios Cobit 4.1. 58 Secretaria de Fiscalização de Tecnologia da Informação 59 Levantamento de Governança da TI Alguns resultados... 59 Secretaria de Fiscalização de Tecnologia da Informação 60 Levantamento de Governança da TI Planejamento Estratégico Institucional 53% 47% Sim Não 19% 81% 40% 60% Relação entre Plano Estratégico Institucional e Plano Estratégico de TI (PETI): PETI 60 Secretaria de Fiscalização de Tecnologia da Informação 61 Levantamento de Governança da TI Deficiências em Governança de TI 0% 20% 40% 60% 80% 100% Não aloca gastos de TI de acordo com planejamento (51%) Não adota processo de trabalho p/ contratação de TI (46%) Não há transferência de conhecimento (57%) Não há planejamento estratégico em vigor (59%) Não segue metodologia de desenvolvimento sistemas (51%) Não é efetuada gestão de níveis de serviços (74%) Não foi realizada auditoria de TI nos últimos 5 anos (60%) Não há carreiras específicas para TI (57%) Não há política de segurança de informação (64%) Não faz análise de riscos de TI (75%) Não faz classificação da informação (80%) Não há plano de continuidade de negócios (88%) 61 Secretaria de Fiscalização de Tecnologia da Informação 62 Levantamento de Governança da TI 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% PC N (8 8% ) ge st ão d e m ud an ça s ( 88 % ) ge st ão d e ca pa cid ad e (8 4% ) cla ss ific aç ão d a in fo rm aç ão (8 0% ) ge rê nc ia de in cid en te s (7 6% ) an ál ise d e ris co s d e TI (7 5% ) ár ea e sp ec ífi ca p ar a SI (6 4% ) PS I ( 64 % ) pr oc ed . c on tro le ac es so (4 8% ) Deficiências na segurança da informação 62 Secretaria de Fiscalização de Tecnologia da Informação 63 Levantamento de Governança da TI Resultou no Acórdão nº 1.603/2008 – TCU - Plenário com recomendações para: CNJ. CNMP. Senado Federal. Câmara dos Deputados. TCU. MP (especialmente SLTI). GSI/PR. CGU. 63 Secretaria de Fiscalização de Tecnologia da Informação 64 Algumas recomendações: promovam ações com o objetivo de disseminar a importância do planejamento estratégico, procedendo, inclusive mediante orientação normativa, ações voltadas à implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI, com vistas a propiciar a alocação dos recursos públicos conforme as necessidades e prioridades da organização; atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores efetivos necessário ao pleno desempenho das atribuições do setor; 64 Levantamento de Governança da TI Secretaria de Fiscalização de Tecnologia da Informação 65 Algumas recomendações: orientem sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive mediante normatização, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso; estimulem a adoção de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse sentido, níveis razoáveis de padronização e bom grau de confiabilidade e segurança; 65 Levantamento de Governança da TI Secretaria de Fiscalização de Tecnologia da Informação 66 Algumas recomendações: promovam ações voltadas à implantação e/ou aperfeiçoamento de gestão de níveis de serviço de TI, de forma a garantir a qualidade dos serviços prestados internamente, bem como a adequação dos serviços contratados externamente às necessidades da organização; envidem esforços visando à implementação de processo de trabalho formalizado de contratação de bens e serviços de TI, bem como de gestão de contratos de TI; envidem esforços visando à implementação de processo de trabalho formalizado de contratação de bens e serviços de TI, bem como de gestão de contratos de TI; 66 Levantamento de Governança da TI Secretaria de Fiscalização de Tecnologia da Informação 67 Algumas recomendações: adotem providências com vistas a garantir que as propostas orçamentárias para a área de TI sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos do negócio; introduzam práticas voltadas à realização de Auditorias de TI, que permitam a avaliação regular da conformidade, da qualidade, da eficácia e da efetividade dos serviços prestados. 67 Levantamento de Governança da TI Secretaria de Fiscalização de Tecnologia da Informação 68 FOC realizada em 2007: Coordenação da Sefti, participação da 2ª, 5ª e 6ª Secex e das Secex nos estados de Santa Catarina, Piauí, Pernambuco, Rondônia, Paraíba e Rio Grande do Sul; 6 ministérios, 2 tribunais, 2 bancos, 1 estatal, 1 universidade Verificações in-loco e confronto com as informações prestadas de forma declarativa no Levantamento de Governança Informações solicitadas aos órgãos/entidades: http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_inf ormacao/boas_praticas - 68 TMS de Governança da TI http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticashttp://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas Secretaria de Fiscalização de Tecnologia da Informação 69 • Acórdão nº 2.471/2008-TCU-Plenário: • 9.4. recomendar, com fulcro no art. 43, I, da Lei nº 8.443/1992, à Secretaria-Executiva do Ministério do Planejamento, Orçamento e Gestão que: • 9.4.4. elabore um modelo de governança de TI para os entes integrantes do Sisp a partir das boas práticas existentes sobre o tema (Cobit, Itil, NBR ISO/IEC 27002) e promova sua implementação nos diversos órgãos e entidades sob sua coordenação, mediante orientação normativa. Referida orientação deve conter, no mínimo: o conjunto de processos que devem ser considerados de alta importância; o processo de trabalho utilizado para identificar quais processos de TI devem ter sua implementação priorizada; um guia para implantação dos processos de TI e os níveis de maturidade mínima para os processos implementados; 69 TMS de Governança da TI Secretaria de Fiscalização de Tecnologia da Informação 70 Obrigado! André Luiz Furtado Pacheco, CISA andrefp@tcu.gov.br Ramal 5900 70 mailto:andrefp@tcu.gov.br
Compartilhar