Auditoria_de_Governança_TI

Prévia do material em texto

Secretaria de Fiscalização de Tecnologia da Informação 1
Auditoria de Governança de TI
Secretaria de Fiscalização
de Tecnologia da Informação
André Luiz Furtado Pacheco, CISA
Novembro de 2009
Secretaria de Fiscalização de Tecnologia da Informação 2
Agenda
 Objetivos
 Governança? O que é? Para quê? Por quê?
 Governança de TI e o Cobit 4.1
 Governança de TI e a NBR ISO/IEC 38500
 Falta de Governança de TI
 Auditoria de Governança de TI
 Governança de TI e compras públicas
 Levantamento acerca da Governança de TI na 
Administração Pública Federal
2
Secretaria de Fiscalização de Tecnologia da Informação 3
Objetivos
Conhecer conceitos atinentes à governança de TI;
Compreender a importância da governança de TI
no contexto organizacional e como ela se
relaciona com a prestação de serviços à
sociedade;
Conhecer o Cobit e como ele é utilizado como
critério de auditoria;
Conhecer formas de atuação da Sefti/TCU em
trabalhos de auditoria de governança de TI;
Discutir algumas questões de auditoria 
relacionadas à auditoria de governança de TI.
3
Secretaria de Fiscalização de Tecnologia da Informação 4
Agenda
 Objetivos
 Governança? O que é? Para quê? Por quê?
 Governança de TI e o Cobit 4.1
 Governança de TI e a NBR ISO/IEC 38500
 Falta de Governança de TI
 Auditoria de Governança de TI
 Governança de TI e compras públicas
 Levantamento acerca da Governança de TI na 
Administração Pública Federal
4
Secretaria de Fiscalização de Tecnologia da Informação 5
Governança
“É a maneira pela qual o poder é exercido na
administração dos recursos sociais e
econômicos de um país visando o
desenvolvimento”. (tradução livre da definição dada
pelo Banco Mundial no documento “Governance and
Development”, 1992)
Envolve o processo pelo qual a autoridade é
exercida na administração dos recursos de um
país e influi na capacidade dos governos de
planejar, formular e implementar políticas e
cumprir funções.
5
Secretaria de Fiscalização de Tecnologia da Informação 6
Governança Corporativa
 “Governança Corporativa é o sistema pelo qual as
organizações são dirigidas, monitoradas e incentivadas,
envolvendo os relacionamentos entre proprietários,
conselho de administração, diretoria e órgãos de
controle. As boas práticas de governança corporativa
convertem princípios em recomendações objetivas,
alinhando interesses com a finalidade de preservar e
otimizar o valor da organização, facilitando seu acesso
ao capital e contribuindo para a sua longevidade”. (IBGC
- Instituto Brasileiro de Governança Corporativa)
 “O Sistema pelo qual as organizações são dirigidas e
controladas” (NBR ISO/IEC 38500, item 1.6.2)
6
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
http://www.ibgc.org.br/Secao.aspx?CodSecao=17
Secretaria de Fiscalização de Tecnologia da Informação 7
Governança Corporativa
Surgiu para superar o “conflito de agência”,
decorrente da separação entre a propriedade
(acionistas) e a gestão empresarial (agentes
especializados com poder de decisão sobre a
propriedade). O conflito de agência ou conflito
agente-principal ocorre quando os interesses do
gestor não estão alinhados com os do
proprietário. (IBGC - Instituto Brasileiro de
Governança Corporativa)
Trabalho interessante: Acórdão nº 1.074/2009-
TCU-Plenário
7
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
http://www.ibgc.org.br/Secao.aspx?CodSecao=18
Secretaria de Fiscalização de Tecnologia da Informação 8
Governança de TI
“Governança de TI é uma estrutura de
relacionamentos e processos para dirigir e
controlar a TI a fim de alcançar as metas da
instituição pela agregação de valor, enquanto se
mantém o equilíbrio dos riscos versus retorno
sobre esta função e seus processos.” (tradução
livre de texto do ITGI – IT Governance Institute)
“O Sistema pelo qual o uso atual e futuro da TI é
dirigido e controlado.” (NBR ISO/IEC 38500,
item 1.6.3)
8
http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657
http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657
http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657
http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657
http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657
http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657
http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657
http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657
http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657
Secretaria de Fiscalização de Tecnologia da Informação 9
Governança x Gestão
Gestão: “O sistema de controles e processos
necessário para alcançar os objetivos
estratégicos estabelecidos pela direção da
organização” (NBR ISO/IEC 38500, item 1.6.9)
Gestão controla tarefas executivas, enquanto
governança controla a gestão.
Governança não controla diretamente tarefas
executivas. Controla se há controles sobre as
tarefas executivas, monitorando-os e adotando
medidas corretivas sob certas situações de risco
pré-definidas.
9
Secretaria de Fiscalização de Tecnologia da Informação 10
Agenda
 Objetivos
 Governança? O que é? Para quê? Por quê?
 Governança de TI e o Cobit 4.1
 Governança de TI e a NBR ISO/IEC 38500
 Falta de Governança de TI
 Auditoria de Governança de TI
 Governança de TI e compras públicas
 Levantamento acerca da Governança de TI na 
Administração Pública Federal
10
Secretaria de Fiscalização de Tecnologia da Informação 11
Cobit
 IT Governance Institute - ITGI - versão 4.1
O Cobit (COntrol, governance and audit for
Business Information and related Technology) é
um modelo de governança de TI que auxilia as
organizações a gerenciarem seus requisitos de
controle, suas demandas técnicas e seus riscos
de negócio, em consonância com as exigências
regulatórias e com os objetivos organizacionais
Recomendado pela Information Systems Audit
and Control Association (Isaca)
11
Secretaria de Fiscalização de Tecnologia da Informação 12
Cobit
Padrão de melhores práticas em controles sobre
o uso e a gestão de recursos de TI (incorpora os
melhores padrões mundiais da área de TI)
Controles induzidos pelos requisitos e
necessidades de negócio
As práticas de gestão recomendadas ajudam a
otimizar os investimentos de TI e fornecem
métricas para avaliação dos resultados
 Independe das plataformas de TI adotadas nas
organizações
12
Secretaria de Fiscalização de Tecnologia da Informação 13
CobitAcordo do Comitê da Basiléia II (2004).
Resolução nº 2.554 do Banco Central de 1998
(Dispõe sobre a implantação e implementação de
sistema de controles internos).
Lei americana Sarbanes-Oxley de 2002 (Section
404: Assessment of internal control).
Circular nº 249 da Susep de 2004 (Dispõe sobre
a implantação e implementação de sistema de
controles internos nas sociedades seguradoras,
nas sociedades de capitalização e nas entidades
abertas de previdência complementar).
13
Secretaria de Fiscalização de Tecnologia da Informação 14
Cobit
 Pilares da Governança de TI no Cobit:
Alinhamento estratégico
Entrega de valor
Gerência de recursos
Gerência de riscos
Avaliação do desempenho
Foco em controle (o quê) e não na execução
(como)!
14
Secretaria de Fiscalização de Tecnologia da Informação 15
Cobit
Planejar e 
Organizar
Monitorar e
Avaliar
Entregar e
Dar suporte
Adquirir e
Implementar
15
Secretaria de Fiscalização de Tecnologia da Informação 16
Cobit
 Está dividido em quatro domínios:
 Planejamento e Organização: avalia o alinhamento
estratégico da TI, cobrindo o uso de informação e
tecnologia e como isso pode ser usado para que
organização atinja seus objetivos e metas.
Aquisição e Implementação: cobre os requisitos de
TI, aquisição de tecnologia e implementação dentro
dos processos de negócios da organização.
 Entrega e Suporte: avalia a entrega de valor ao
negócio, cobrindo aspectos de entrega de serviços de
TI.
Monitoração e Avaliação: visa medir o desempenho,
por meio do monitoramento e avaliação do atual
sistema de TI da organização.
16
Secretaria de Fiscalização de Tecnologia da Informação 17
Cobit
 Como o Cobit é utilizado nas auditorias?
 Seus objetivos de controle são utilizados como critérios de
auditoria.
 Ele é referenciado como um guia, uma referência de boas
práticas de Governança de TI.
Não possui o mesmo peso de uma lei ou norma !
Utilizado principalmente para propor recomendações a
órgãos e entidades.
Contudo, ele pode ser utilizado para propor determinações
quando combinado com os normativos existentes (ex:
Acórdão nº 669/2008-TCU-Plenário) ou caso a equipe de
auditoria considere que a sua não-implementação ocasiona
riscos muito elevados (ex: Acórdão 1033/2009-TCU-
Plenário, PCN na IN).
17
Secretaria de Fiscalização de Tecnologia da Informação 18
Agenda
 Objetivos
 Governança? O que é? Para quê? Por quê?
 Governança de TI e o Cobit 4.1
 Governança de TI e a NBR ISO/IEC 38500
 Falta de Governança de TI
 Auditoria de Governança de TI
 Governança de TI e compras públicas
 Levantamento acerca da Governança de TI na 
Administração Pública Federal
18
Secretaria de Fiscalização de Tecnologia da Informação 19
 Histórico:
Publicada em 2008 pela ISO;
Recepcionada pela ABNT como NBR
ISO/IEC 38500 em abril de 2009.
NBR ISO/IEC 38500
19
Secretaria de Fiscalização de Tecnologia da Informação 20
NBR ISO/IEC 38500
 Tecnologia da Informação:
“Os recursos necessários para adquirir,
processar, armazenar e disseminar
informações.” (NBR ISO/IEC 38500, item
1.6.7)
 Recursos:
“Pessoas, procedimentos, software,
informações, equipamentos, consumíveis,
infraestrutura, capital e tempo” (NBR ISO/IEC
38500, item 1.6.13)
20
Secretaria de Fiscalização de Tecnologia da Informação 21
NBR ISO/IEC 38500
 Governar a TI é realizar 3 tarefas sobre 6
princípios:
Responsabilidade
Estratégia
Aquisição
Desempenho
Conformidade
Procedimentos humanos
Avaliar
Dirigir
Monitorar
21
Secretaria de Fiscalização de Tecnologia da Informação 22
NBR ISO/IEC 38500
 Responsabilidades:
“A responsabilidade por aspectos específicos
de TI pode ser delegada aos gerentes da
organização. No entanto, a responsabilidade
pelo uso e entrega aceitável, eficaz e eficiente
da TI pela organização permanece com os
dirigentes e não pode ser delegada”. (NBR
ISO/IEC 38500, Nota do item 2.2)
Ex: Acórdão nº 2.079/2009-TCU-Plenário
22
Secretaria de Fiscalização de Tecnologia da Informação 23
Agenda
 Objetivos
 Governança? O que é? Para quê? Por quê?
 Governança de TI e o Cobit 4.1
 Governança de TI e a NBR ISO/IEC 38500
 Falta de Governança de TI
 Auditoria de Governança de TI
 Governança de TI e compras públicas
 Levantamento acerca da Governança de TI na 
Administração Pública Federal
23
Secretaria de Fiscalização de Tecnologia da Informação 24
Falta de Governança de TI
Ausência de posse de seus sistemas e 
bases de dados.
Acórdão 2.023/2005-Plenário
24
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
Secretaria de Fiscalização de Tecnologia da Informação 25
Falta de Governança de TI
 Acórdão 2.023/2005-Plenário:
“Documentação técnica e programas fontes não estão
disponíveis para a Administração Pública e, por mais
absurdo que possa parecer, ela não tem acesso aos
dados gerados por esses sistemas, a não ser da forma
como a dita empresa oferece. Ademais, atualmente é
impossível para a Administração Pública auditar esses
dados, para verificar se são fidedignos ou buscar
indícios de fraudes. A [contratada] condiciona sua
entrega, bem como da documentação técnica dos
sistemas, à assinatura de um Termo de Ajuste, objeto
de pendência judicial que se arrasta há mais de um
ano, numa verdadeira afronta à soberania nacional.”
25
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
Secretaria de Fiscalização de Tecnologia da Informação 26
Falta de Governança de TI
Completa dependência tecnológica.
Acórdão 889/2007-Plenário
26
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]
Secretaria de Fiscalização de Tecnologia da Informação 27
Falta de Governança de TI
 Acórdão 889/2007-Plenário:
 “Tal providência, de inserção nos contratos de manutenção a
serem celebrados, de cláusula que possibilite a migração dos
dados, de propriedade do [ente público] para base de padrão
aberto reconhecida por outros softwares, obviamente depende
de negociação junto à empresa [contratada] e do seu interesse
em prestar o serviço, especialmente se esse processo migratório
depender dos conhecimentos exclusivos dessa empresa sobre o
sistema, ...”
 “..., não compartilhados por outras empresas ou profissionais de
informática. Tal providência, em verdade, deveria ter sido
adotada desde a licitação realizada para a aquisição do sistema,
época em que ainda não havia qualquer dependência do [ente
público] junto ao fornecedor da solução pretendida.”
27
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+889/2007+adj+plenario)[idtd][b001]
Secretaria de Fiscalização de Tecnologia da Informação 28
Falta de Governança de TI
Ações paralelas, sem coordenação.
TC 022.059/2008-0
28
Secretaria de Fiscalização de Tecnologia da Informação 29
Falta de Governança de TI
 TC 022.059/2008-0:
 “A deficiência da área de governança de TI aparece também por
conta do desdobramento do projeto [...], oriundo de aditivo ao
Contrato [...].”
 “De acordo com a [Comissão], existe outro projeto em
desenvolvimento [em outro setor do ente público], chamado
Sistema [...], que teria a mesma finalidade do projeto [acima]. “
 “Em reunião com a Assessoria [...], levantou-se que, embora haja
certa diferença com relação à abrangência dos dois projetos, há
uma superposição entre os mesmos, com relação a finalidades e
a informações que devem ser encaminhadas [...].”
29
Secretaria de Fiscalização de Tecnologia da Informação 30
Falta de Governança de TI
 TC 022.059/2008-0 (continuação):
 “Registra-se que esta equipe de auditoria não chegou a avaliar a
congruência entre os dois projetos citados e outros atualmente
em desenvolvimento na instituição, e que podem também conter
ações paralelas, como o Sistema [...] e o Sistema [...].”
 “A presença de atividades paralelas e superpostas evidencia a
lacuna na governança de TI e a importância da centralização, no
mínimo da supervisão, das ações de TI, consubstanciadas em
um Plano Estratégico de TI e coordenadas por um Comitê Gestor
de TI (Cobit PO4.3).”
30
Secretaria de Fiscalização de Tecnologia da Informação 31
Falta de Governança de TI
Sistema contratado, pago, 
mas inservível.
TC 031.963/2008-0
31
Secretaria de Fiscalização de Tecnologia da Informação 32
Falta de Governança de TI
 TC 031.963/2008-0:
 “O produto entregue pela [contratada] apresentou problemas de
funcionamento, os quais foram identificados desde 2004 e
também apontados após a entrega da solução completa em
2007. Os problemas de funcionamento foram também
identificados no treinamento dos multiplicadores (setembro/2006)
e na implantação piloto (julho/2007).”
 “Apesar de não ter sido possível a implementação e utilização do
[Sistema] em sua versão final entregue pela [contratada], o
produto foi homologado e pago, inclusive a última parcela
reservada para efetivação após o aceite final da solução de TI
contratada.”
32
Secretaria de Fiscalização de Tecnologia da Informação 33
Falta de Governança de TI
Sistema contratado, pago, desenvolvido, 
servível, 
mas não implantado.
Acórdão 2.023/2005-Plenário
33
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
Secretaria de Fiscalização de Tecnologia da Informação 34
Falta de Governança de TI
 Acórdão 2.023/2005-Plenário:
 “Um exemplo real constatado nesta auditoria concernente à falta
de planejamento foi o desenvolvimento do sistema (...). Trata-se
de sistema desenvolvido entre 2000 e 2001 e que, até os dias
atuais, não foi implantado, embora já tenham sido feitos vários
testes satisfatórios e o gestor do negócio ache de extrema
relevância (...) o problema da não implantação do [sistema] está
relacionado à falta de infra-estrutura necessária que comporte a
execução desse sistema: infra-estrutura de rede, servidores ...”
34
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=(acordao+adj+2023/2005+adj+plenario)[idtd][b001]
Secretaria de Fiscalização de Tecnologia da Informação 35
Agenda
 Objetivos
 Governança? O que é? Para quê? Por quê?
 Governança de TI e o Cobit 4.1
 Governança de TI e a NBR ISO/IEC 38500
 Falta de Governança de TI
 Auditoria de Governança de TI
 Governança de TI e compras públicas
 Levantamento acerca da Governança de TI na 
Administração Pública Federal
35
Secretaria de Fiscalização de Tecnologia da Informação 36
Auditoria de Governança de TI
 Aborda aspectos gerenciais da área de TI e visa a
certificar-se de que a gestão dos serviços oferecidos,
dos investimentos de TI, das pessoas integrantes, das
políticas, do processo de controle e da própria estrutura
organizacional concorrem para que a organização atinja
seus objetivos de forma eficiente.
 Governança pressupõe gestão contínua dos riscos
tecnológicos.
36
Secretaria de Fiscalização de Tecnologia da Informação 37
Aspectos abordados:
Organizacionais, estrutura, planejamento, comitês diretivos
e deliberativos, políticas e normas, pessoas, terceirização,
contratação, cargos e funções, segregação de funções,
treinamento, central de serviços, compatibilidade, acordos,
níveis de serviços, gerência de projetos, investimentos,
auditoria, conformidade
Auditoria de Governança de TI
37
Secretaria de Fiscalização de Tecnologia da Informação 38
Auditoria de Governança de TI
Objetivo de controle: assegurar que a organização é
orientada por um plano estratégico adequado
Possíveis questões de auditoria:
 Há planejamento institucional em vigor?
 O ente executa a função de planejamento institucional
segundo as boas práticas?
38
Secretaria de Fiscalização de Tecnologia da Informação 39
Auditoria de Governança de TI
Critérios:
 Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º
 CF, art. 37, caput (princípio da eficiência)
 Gespública: Critério 2 - Planos e Estratégias
Possíveis achados:
 planejamento estratégico institucional inexistente
 processo de planejamento estratégico institucional
informal ou deficiente
39
Secretaria de Fiscalização de Tecnologia da Informação 40
Auditoria de Governança de TI
Objetivo de controle: assegurar que a área de TI é
orientada por um plano estratégico adequado
Possíveis questões de auditoria:
 Há planejamento estratégico para a área de TI em
vigor?
 O setor de TI executa a função de planejamento
estratégico segundo as boas práticas?
 O planejamento de TI está em conformidade com a
missão e as metas organizacionais?
40
Secretaria de Fiscalização de Tecnologia da Informação 41
Auditoria de Governança de TI
Critérios:
 Acórdãos nos 1.558/2003, item 9.3.9; 2.094/2004, item 
9.1.1; 2.023/2005, item 9.1.9; todos do Plenário-TCU
 Cobit 4.1
PO1.1 Gestão do valor de TI; PO1.2 Alinhamento da TI ao negócio
PO1.4 Plano Estratégico de TI; PO1.5 Planos operacionais de TI
Possíveis achados:
 planejamento estratégico de TI inexistente
 processo de planejamento estratégico de TI informal ou
deficiente
41
Secretaria de Fiscalização de Tecnologiada Informação 42
Auditoria de Governança de TI
Objetivo de controle: certificar-se sobre a existência e o papel exercido
por comitês diretivos
Possíveis questões de auditoria:
 Existe um comitê diretivo formalmente constituído para resolver
questões atinentes à TI?
 Há comitê que decida sobre a priorização das ações e
investimentos de TI?
 O comitê diretivo de TI é composto por gerentes de diferentes
áreas, com competência para decidirem sobre os rumos a serem
seguidos pela área de TI?
 O comitê diretivo de TI reúne-se periodicamente e suas resoluções
são comunicadas?
42
Secretaria de Fiscalização de Tecnologia da Informação 43
Auditoria de Governança de TI
Critérios:
 CF, art. 37, caput (princípio da eficiência)
 Acórdão nº 2.023/2005-TCU-Plenário, item 9.3.1
 Cobit 4.1
PO4.2 Comitê estratégico de TI; PO4.3 Comitê diretor de TI
Possíveis achados:
 comitê diretivo de TI inexistente
 comitê diretivo de TI existe, porém, informal ou ineficaz
43
Secretaria de Fiscalização de Tecnologia da Informação 44
Auditoria de Governança de TI
Objetivo de controle: assegurar que a estrutura
organizacional proporciona independência da área de TI
com relação às demais áreas usuárias
Possíveis questões de auditoria:
 A posição da área de TI dentro do organograma geral da
organização proporciona a ela autoridade, poder de
crítica e independência diante dos departamentos dos
usuários?
44
Secretaria de Fiscalização de Tecnologia da Informação 45
Auditoria de Governança de TI
Critérios:
 CF, art. 37, caput (princípio da eficiência)
 Acórdão nº 2.023/2005-TCU-Plenário, item 9.3.2.1
 Cobit 4.1
PO4.4 Localização organizacional da área de TI
Possíveis achados:
 a localização da área de TI na estrutura organizacional
está inadequada com relação à alta direção e/ou não
permite atuação de forma independente dos
departamentos usuários
45
Secretaria de Fiscalização de Tecnologia da Informação 46
Auditoria de Governança de TI
Objetivo de controle: certificar-se de que as contratações
para terceirização de serviços de TI são planejadas e se
inserem numa estratégia mais ampla de terceirização
Possíveis questões de auditoria:
 A organização adota processo de trabalho formal na 
contratação de bens e serviços de TI?
 A terceirização de serviços de TI é devidamente 
controlada e guarda relação com o planejamento 
institucional e de TI? 
46
Secretaria de Fiscalização de Tecnologia da Informação 47
Auditoria de Governança de TI
Critérios:
 CF, art. 37, caput (princípio da eficiência) 
 Decreto-Lei nº 200/67, art. 6º, I, art. 10, 7º e 8º
 Acórdãos nos 1.558/2003, item 9.3.11 e 2.094/2004, item 
9.1.1, todos do Plenário-TCU
Possíveis achados:
 Inexistência de um processo formal para contratações
de TI
 As contratações de TI são feitas aleatoriamente
47
Secretaria de Fiscalização de Tecnologia da Informação 48
Agenda
 Objetivos
 Governança? O que é? Para quê? Por quê?
 Governança de TI e o Cobit 4.1
 Governança de TI e a NBR ISO/IEC 38500
 Falta de Governança de TI
 Auditoria de Governança de TI
 Governança de TI e compras públicas
 Levantamento acerca da Governança de TI na 
Administração Pública Federal
48
Secretaria de Fiscalização de Tecnologia da Informação 49
Compras Públicas
A necessidade de estrutura para gerir 
contratos bem feitos ...
...decorrente do novo modelo de contratação que não 
é tão simples...
...vamos ver alguns exemplos?
49
Secretaria de Fiscalização de Tecnologia da Informação 50
Compras Públicas
 IN 04/08 SLTI:
 Art. 3º As contratações de que trata esta Instrução Normativa
deverão ser precedidas de planejamento, elaborado em
harmonia com o Plano Diretor de Tecnologia da Informação -
PDTI, alinhado à estratégia do órgão ou entidade.
 Corolário: os entes públicos só podem contratar se possuírem
planejamento de longo prazo institucional e de TI (Cobit 4.1, PO1
– Planejamento Estratégico de TI).
50
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
Secretaria de Fiscalização de Tecnologia da Informação 51
Compras Públicas
 LDO 2008/2009 (art. 12) e LOA 2009:
 Os gestores deverão prever e acompanhar a execução do seu
orçamento de TI.
 Corolário: sem planejamento orçamentário (Cobit 4.1, PO5 –
Gerenciar investimentos em TI), o orçamento de TI pode não ser
aprovado ou sua execução não ser autorizada!
51
Secretaria de Fiscalização de Tecnologia da Informação 52
Compras Públicas
 IN 04/08 SLTI (continuação):
 Art. 11. Compete ao Requisitante do Serviço definir os seguintes
requisitos, quando aplicáveis: ...
 Art. 12. Compete à Área de Tecnologia da Informação definir,
quando aplicáveis, os seguintes requisitos tecnológicos, em
adequação àqueles definidos pelo Requisitante do Serviço: ...
 Corolário: deve ser implantado um processo de gestão de
requisitos como pré-requisitos às contratações (Cobit 4.1, AI1.1 –
definir requisitos funcionais (do negócio) e técnicos).
52
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
http://www.comprasnet.gov.br/legislacao/in/IN04_08.htm
Secretaria de Fiscalização de Tecnologia da Informação 53
Compras Públicas
 E não é só para os entes do Sisp, pois...
 O modelo conceitual da IN 04/2008-SLTI está baseado em
princípios e a súmula TCU nº 222 diz...
As Decisões do Tribunal de Contas da União, relativas à aplicação
de normas gerais de licitação,sobre as quais cabe privativamente à
União legislar, devem ser acatadas pelos administradores dos
Poderes da União, dos Estados, do Distrito Federal e dos
Municípios.
 Ver também Acórdão nº 1215/2009-TCU-Plenário.
53
Secretaria de Fiscalização de Tecnologia da Informação 54
Agenda
 Objetivos
 Governança? O que é? Para quê? Por quê?
 Governança de TI e o Cobit 4.1
 Governança de TI e a NBR ISO/IEC 38500
 Falta de Governança de TI
 Auditoria de Governança de TI
 Governança de TI e compras públicas
 Levantamento acerca da Governança de TI na 
Administração Pública Federal
54
Secretaria de Fiscalização de Tecnologia da Informação 55
Levantamento de Governança da TI
 ME3 – Assegurar conformidade às normas:
 Supervisão regulatória eficaz requer o estabelecimento de
um processo de revisão independente para assegurar
conformidade com leis e normas. Este processo inclui a
definição de um grupo de auditoria independente, ética e
padrões profissionais, planejamento, desempenho do
trabalho da auditoria, e relatório e acompanhamento de
atividades da auditoria. O propósito deste processo é
fornecer garantia positiva relacionada à conformidade da
TI com leis e normas.
55
Secretaria de Fiscalização de Tecnologia da Informação 56
Levantamento de Governança da TI
 Principais objetivos:
 Levantar informações para elaboração de mapa com a situação
da Governança de TI na Administração Pública Federal com
vistas a subsidiar o planejamento das fiscalizações da Sefti.
 Verificar onde a situação da Governança de TI está mais crítica.
 Identificar as áreas onde o TCU pode atuar como indutor do
processo de aperfeiçoamento da Governança de TI.
 Identificar os principais sistemas e bases de dados da
Administração Pública Federal.
56
Secretaria de Fiscalização de Tecnologia da Informação 57
Levantamento de Governança da TI
 Etapas do trabalho:
 Elaboração de questionário (39 questões).
 http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_infor
macao/boas_praticas Identificação do público alvo (255 órgãos/entidades da APF).
 Identificação dos responsáveis pela resposta.
 Utilização de software para coleta das respostas.
 Resposta à pesquisa (respostas declarativas, com anexação
de evidências).
 Suporte ao processo de resposta dos questionários.
 Encerramento da pesquisa.
 Avaliação dos dados coletados.
57
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
Secretaria de Fiscalização de Tecnologia da Informação 58
Levantamento de Governança da TI
 Critérios utilizados:
 Constituição Federal.
 Legislação Brasileira.
 Jurisprudência do TCU .
 NBR ISO/IEC 27002 (à época 17799) – Segurança da
Informação.
 NBR ISO/IEC 15999-1 – Gestão de Continuidade de Negócios
 Cobit 4.1.
58
Secretaria de Fiscalização de Tecnologia da Informação 59
Levantamento de Governança da TI
Alguns resultados...
59
Secretaria de Fiscalização de Tecnologia da Informação 60
Levantamento de Governança da TI
Planejamento Estratégico Institucional
53%
47%
Sim Não
19% 81%
40%
60%
 Relação entre Plano Estratégico Institucional e Plano 
Estratégico de TI (PETI):
PETI
60
Secretaria de Fiscalização de Tecnologia da Informação 61
Levantamento de Governança da TI
Deficiências em Governança de TI
0% 20% 40% 60% 80% 100%
Não aloca gastos de TI de acordo com planejamento (51%)
Não adota processo de trabalho p/ contratação de TI (46%)
Não há transferência de conhecimento (57%)
Não há planejamento estratégico em vigor (59%)
Não segue metodologia de desenvolvimento sistemas (51%)
Não é efetuada gestão de níveis de serviços (74%)
Não foi realizada auditoria de TI nos últimos 5 anos (60%)
Não há carreiras específicas para TI (57%)
Não há política de segurança de informação (64%)
Não faz análise de riscos de TI (75%)
Não faz classificação da informação (80%)
Não há plano de continuidade de negócios (88%)
61
Secretaria de Fiscalização de Tecnologia da Informação 62
Levantamento de Governança da TI
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
PC
N 
(8
8%
)
ge
st
ão
 d
e 
m
ud
an
ça
s (
88
%
)
ge
st
ão
 d
e 
ca
pa
cid
ad
e 
(8
4%
)
cla
ss
ific
aç
ão
 d
a 
in
fo
rm
aç
ão
 (8
0%
)
ge
rê
nc
ia 
de
 in
cid
en
te
s 
(7
6%
)
an
ál
ise
 d
e 
ris
co
s d
e 
TI
 (7
5%
)
ár
ea
 e
sp
ec
ífi
ca
 p
ar
a 
SI
 (6
4%
)
PS
I (
64
%
)
pr
oc
ed
. c
on
tro
le 
ac
es
so
 (4
8%
)
Deficiências na segurança da informação
62
Secretaria de Fiscalização de Tecnologia da Informação 63
Levantamento de Governança da TI
 Resultou no Acórdão nº 1.603/2008 – TCU - Plenário 
com recomendações para:
 CNJ.
 CNMP.
 Senado Federal.
 Câmara dos Deputados.
 TCU.
 MP (especialmente SLTI).
 GSI/PR.
 CGU.
63
Secretaria de Fiscalização de Tecnologia da Informação 64
 Algumas recomendações:
 promovam ações com o objetivo de disseminar a importância do
planejamento estratégico, procedendo, inclusive mediante
orientação normativa, ações voltadas à implantação e/ou
aperfeiçoamento de planejamento estratégico institucional,
planejamento estratégico de TI e comitê diretivo de TI, com
vistas a propiciar a alocação dos recursos públicos conforme as
necessidades e prioridades da organização;
 atentem para a necessidade de dotar a estrutura de pessoal de
TI do quantitativo de servidores efetivos necessário ao pleno
desempenho das atribuições do setor;
64
Levantamento de Governança da TI
Secretaria de Fiscalização de Tecnologia da Informação 65
 Algumas recomendações:
 orientem sobre a importância do gerenciamento da segurança da
informação, promovendo, inclusive mediante normatização, ações que
visem estabelecer e/ou aperfeiçoar a gestão da continuidade do
negócio, a gestão de mudanças, a gestão de capacidade, a
classificação da informação, a gerência de incidentes, a análise de
riscos de TI, a área específica para gerenciamento da segurança da
informação, a política de segurança da informação e os procedimentos
de controle de acesso;
 estimulem a adoção de metodologia de desenvolvimento de sistemas,
procurando assegurar, nesse sentido, níveis razoáveis de padronização
e bom grau de confiabilidade e segurança;
65
Levantamento de Governança da TI
Secretaria de Fiscalização de Tecnologia da Informação 66
 Algumas recomendações:
 promovam ações voltadas à implantação e/ou aperfeiçoamento de
gestão de níveis de serviço de TI, de forma a garantir a qualidade dos
serviços prestados internamente, bem como a adequação dos serviços
contratados externamente às necessidades da organização;
 envidem esforços visando à implementação de processo de trabalho
formalizado de contratação de bens e serviços de TI, bem como de
gestão de contratos de TI;
 envidem esforços visando à implementação de processo de trabalho
formalizado de contratação de bens e serviços de TI, bem como de
gestão de contratos de TI;
66
Levantamento de Governança da TI
Secretaria de Fiscalização de Tecnologia da Informação 67
 Algumas recomendações:
 adotem providências com vistas a garantir que as propostas
orçamentárias para a área de TI sejam elaboradas com base nas
atividades que efetivamente pretendam realizar e alinhadas aos
objetivos do negócio;
 introduzam práticas voltadas à realização de Auditorias de TI, que
permitam a avaliação regular da conformidade, da qualidade, da eficácia
e da efetividade dos serviços prestados.
67
Levantamento de Governança da TI
Secretaria de Fiscalização de Tecnologia da Informação 68
 FOC realizada em 2007:
 Coordenação da Sefti, participação da 2ª, 5ª e 6ª Secex e das
Secex nos estados de Santa Catarina, Piauí, Pernambuco,
Rondônia, Paraíba e Rio Grande do Sul;
 6 ministérios, 2 tribunais, 2 bancos, 1 estatal, 1 universidade
 Verificações in-loco e confronto com as informações prestadas
de forma declarativa no Levantamento de Governança
 Informações solicitadas aos órgãos/entidades:
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_inf
ormacao/boas_praticas -
68
TMS de Governança da TI
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticashttp://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas
Secretaria de Fiscalização de Tecnologia da Informação 69
• Acórdão nº 2.471/2008-TCU-Plenário:
• 9.4. recomendar, com fulcro no art. 43, I, da Lei nº 8.443/1992, à 
Secretaria-Executiva do Ministério do Planejamento, Orçamento e 
Gestão que:
• 9.4.4. elabore um modelo de governança de TI para os entes
integrantes do Sisp a partir das boas práticas existentes sobre o tema
(Cobit, Itil, NBR ISO/IEC 27002) e promova sua implementação nos
diversos órgãos e entidades sob sua coordenação, mediante orientação
normativa. Referida orientação deve conter, no mínimo: o conjunto de
processos que devem ser considerados de alta importância; o processo
de trabalho utilizado para identificar quais processos de TI devem ter
sua implementação priorizada; um guia para implantação dos processos
de TI e os níveis de maturidade mínima para os processos
implementados;
69
TMS de Governança da TI
Secretaria de Fiscalização de Tecnologia da Informação 70
Obrigado!
André Luiz Furtado Pacheco, CISA
andrefp@tcu.gov.br
Ramal 5900
70
mailto:andrefp@tcu.gov.br